{"id":334,"date":"2026-06-23T04:30:41","date_gmt":"2026-06-23T04:30:41","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/23\/cve-foundation-enisa-euvd-265k-vulnerabilita-2025\/"},"modified":"2026-06-23T04:32:13","modified_gmt":"2026-06-23T04:32:13","slug":"cve-foundation-enisa-euvd-265k-vulnerabilita-2025","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/cve-foundation-enisa-euvd-265k-vulnerabilita-2025\/","title":{"rendered":"CVE Foundation e EUVD: 17 Ore di Crisi, 265K Vulnerabilit\u00e0 [2025]"},"content":{"rendered":"\n

Il 16 aprile 2025, per 17 ore, il sistema globale di catalogazione delle vulnerabilit\u00e0 informatiche ha rischiato di fermarsi. Un problema contrattuale tra la CISA e MITRE ha portato il programma CVE (Common Vulnerabilities and Exposures) sull’orlo del collasso. Ventisette giorni dopo, il 13 maggio, l’ENISA ha risposto con una mossa storica: il lancio dell’EUVD, il primo database europeo dedicato alle vulnerabilit\u00e0 software. Il risultato oggi: due sistemi paralleli, oltre 265.000 voci catalogate, ma un gap di oltre 50.000 CVE non ancora coperti dalla versione europea.<\/p>\n\n\n\n

Per i team di sicurezza italiani ed europei, la posta in gioco \u00e8 concreta. Ogni CVE non analizzato in tempo \u00e8 una finestra aperta per attaccanti che gi\u00e0 conoscono la falla. Con l’EUVD che conta oltre 50.000 voci in meno rispetto al NIST NVD americano, la domanda diventa urgente: l’Europa pu\u00f2 davvero gestire in autonomia la propria infrastruttura di gestione delle vulnerabilit\u00e0?<\/p>\n\n\n\n

17 Ore che Hanno Cambiato la Governance del CVE<\/h2>\n\n\n\n

La mattina del 15 aprile 2025, una lettera interna di Yosry Barsoum, vicepresidente di MITRE, \u00e8 trapelata online. Il testo era diretto: il contratto tra CISA e MITRE per finanziare il programma CVE sarebbe scaduto alla mezzanotte del 16 aprile, senza un rinnovo in vista. Senza fondi, nessun nuovo CVE sarebbe stato assegnato agli utenti non accreditati come CNA (CVE Numbering Authorities).<\/p>\n\n\n\n

La reazione della comunit\u00e0 di sicurezza globale fu immediata. Ricercatori, vendor e CERT di tutto il mondo sollevarono l’allarme: il CVE non \u00e8 un database qualunque. \u00c8 l’infrastruttura fondamentale su cui poggiano strumenti di scansione, sistemi SIEM, piattaforme di vulnerability management e processi di patch management in ogni organizzazione del pianeta. Senza di esso, interi workflow automatizzati si sarebbero fermati.<\/p>\n\n\n\n

Dopo 17 ore di incertezza, la CISA ha annunciato un’estensione del contratto con MITRE di 11 mesi, portando la scadenza a marzo 2026. Matt Hartman, direttore generale ad interim della CISA, ha chiarito pubblicamente il 23 aprile 2025: “Non c’\u00e8 stato alcun problema di finanziamento, ma piuttosto un problema amministrativo contrattuale, risolto prima che si verificasse una scadenza.”<\/em><\/p>\n\n\n\n

La crisi era tecnicamente rientrata. Ma la scossa aveva gi\u00e0 prodotto un effetto permanente: lo stesso 16 aprile, un gruppo di membri del CVE Board ha fondato la CVE Foundation<\/strong>, un’organizzazione no-profit indipendente pensata per sottrarre la governance del programma alla dipendenza da un singolo governo. Il costo stimato del programma CVE nell’anno precedente era di circa 40 milioni di dollari, interamente a carico del DHS americano.<\/p>\n\n\n\n

La CVE Foundation: Governance Multi-Stakeholder dopo 26 Anni<\/h2>\n\n\n\n

Il programma CVE esiste dal 1999. Per 26 anni, il suo finanziamento \u00e8 dipeso quasi interamente dal Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) e dalla CISA, con MITRE come gestore operativo. La CVE Foundation nasce per spezzare questa dipendenza strutturale.<\/p>\n\n\n\n

Bruce Allor, membro del CVE Board che ha guidato la transizione, ha dichiarato: “La CVE Foundation potrebbe essere operativa entro dicembre 2025. Decine di aziende private e quattro governi non americani hanno gi\u00e0 confermato il loro supporto.”<\/em> La governance prevede un consiglio multi-stakeholder con rappresentanza da vendor, ricercatori, comunit\u00e0 open source e partner internazionali, strutturato in modo che nessun singolo governo possa esercitare controllo unilaterale.<\/p>\n\n\n\n

Il modello di finanziamento proposto \u00e8 distribuito: i contributi arrivano da grandi vendor tecnologici, organizzazioni di sicurezza e governi partner. Questa struttura \u00e8 progettata per proteggere il CVE da pressioni politiche, in un contesto geopolitico dove i dati sulle vulnerabilit\u00e0 sono considerati informazioni di rilevanza strategica.<\/p>\n\n\n\n

Il team di Checkmarx Security ha sintetizzato il significato dell’episodio con una valutazione netta: “Gli eventi dell’aprile 2025 dimostrano che la comunit\u00e0 non pu\u00f2 permettersi di trattare sistemi fondamentali come il CVE come qualcosa di secondario. Sono infrastrutture strategiche.”<\/em> Questa lettura rispecchia la visione di chi opera nella gestione delle vulnerabilit\u00e0 a livello enterprise: un’interruzione del CVE, anche di sole 48 ore, avrebbe bloccato workflow automatizzati in migliaia di organizzazioni in tutto il mondo.<\/p>\n\n\n\n

ENISA Risponde: L’EUVD Lanciato il 13 Maggio 2025<\/h2>\n\n\n\n

Il 13 maggio 2025, meno di un mese dopo la crisi del CVE americano, l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha lanciato l’EU Vulnerability Database (EUVD)<\/strong>. Il messaggio implicito era chiaro: l’Europa non pu\u00f2 dipendere esclusivamente da infrastrutture americane per la propria sicurezza digitale. La mossa si inserisce in una strategia pi\u00f9 ampia di autonomia digitale europea, parallela al Cyber Resilience Act e alla direttiva NIS2.<\/p>\n\n\n\n

L’EUVD si presenta come un database downstream rispetto al CVE globale: raccoglie gli stessi identificatori di vulnerabilit\u00e0, li arricchisce con contesto europeo specifico (classificazioni CWE, punteggi CVSS aggiuntivi, riferimenti alle direttive NIS2 e CRA) e li rende disponibili in un formato machine-readable ottimizzato per l’ecosistema regolatorio dell’Unione Europea.<\/p>\n\n\n\n

Al lancio, il database contava gi\u00e0 264.920 voci, risultato dell’integrazione automatizzata con i dati del CVE e del NIST NVD accumulati negli anni precedenti. Nel novembre 2025, un passaggio ulteriore ha rafforzato il ruolo dell’agenzia: l’ENISA \u00e8 stata elevata a CVE Program Root<\/strong>, il livello di autorit\u00e0 pi\u00f9 alto nel sistema CVE, che le conferisce la supervisione sui CNA europei. Questa promozione trasforma l’ENISA da semplice fruitore del sistema a co-protagonista della sua governance globale.<\/p>\n\n\n\n

EUVD vs NIST NVD: Il Confronto Tecnico nei Numeri<\/h2>\n\n\n\n

Nonostante la rapida crescita, l’EUVD presenta gap significativi rispetto al NVD americano. Patrick Garrity di VulnCheck, che ha condotto un’analisi indipendente approfondita, \u00e8 stato diretto nella sua valutazione: “L’API e il sito dell’EUVD mostrano meno vulnerabilit\u00e0 rispetto a CVE.org e al NIST NVD, con oltre 50.000 CVE non disponibili tramite l’endpoint API principale delle vulnerabilit\u00e0, anche se molti sono presenti nel sito e la maggior parte sembra accessibile tramite ricerca e query diretta.”<\/em><\/p>\n\n\n\n

Parametro<\/th>NIST NVD<\/th>ENISA EUVD<\/th>CVE.org<\/th><\/tr><\/thead>
Voci totali (maggio 2025)<\/td>294.484<\/td>264.920 (sito)<\/td>~294.000<\/td><\/tr>
Voci disponibili via API<\/td>279.338<\/td>243.969<\/td>N\/D<\/td><\/tr>
Gap rispetto al NVD via API<\/td>N\/A<\/td>+50.000 mancanti<\/td>Minimo<\/td><\/tr>
Supporto CVSS v4.0<\/td>Parziale (v3.1 principale)<\/td>Nei record recenti<\/td>S\u00ec<\/td><\/tr>
Classificazione CWE<\/td>S\u00ec<\/td>Parziale<\/td>No<\/td><\/tr>
Dati CPE (prodotto affetto)<\/td>S\u00ec<\/td>Limitato<\/td>No<\/td><\/tr>
Contesto regolatorio EU (NIS2, CRA)<\/td>No<\/td>S\u00ec<\/td>No<\/td><\/tr>
Accesso API gratuito<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td><\/tr>
Frequenza di aggiornamento<\/td>Alta<\/td>Media<\/td>Alta<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Il gap di 50.000 CVE nell’API dell’EUVD non \u00e8 solo una questione numerica. Incide direttamente sull’efficacia dei processi automatizzati di vulnerability management. Gli strumenti che interrogano l’EUVD come fonte primaria per ottenere liste aggiornate di vulnerabilit\u00e0 potrebbero perdere decine di falle attivamente sfruttate, con conseguenze dirette sul rischio operativo. Per i team di sicurezza europei, la raccomandazione operativa \u00e8 chiara: l’EUVD affianca il NVD, non lo sostituisce.<\/p>\n\n\n\n

L’Ecosistema CVE nel 2025: 300 CNA e 294.000 Voci<\/h2>\n\n\n\n

Il programma CVE non \u00e8 gestito da un’unica entit\u00e0 centralizzata. Opera attraverso una rete di oltre 300 CVE Numbering Authorities (CNA)<\/strong> globali, organizzazioni autorizzate ad assegnare identificatori CVE nell’ambito del proprio perimetro di competenza. Tra i CNA principali figurano MITRE, Microsoft, Red Hat, GitHub, Google, Cisco, Ubuntu e ora anche l’ENISA stessa nella sua veste di Root CVE Program.<\/p>\n\n\n\n

Questo modello distribuito ha una duplice valenza. Da un lato garantisce rapidit\u00e0 nell’assegnazione: i vendor possono emettere CVE per le proprie vulnerabilit\u00e0 senza attendere l’approvazione centralizzata di MITRE, riducendo il tempo dalla scoperta alla pubblicazione dell’identificatore. Dall’altro introduce variabilit\u00e0 nella qualit\u00e0 e completezza dei record, con alcuni CNA che pubblicano schede ricche di metadati e altri che inseriscono informazioni minime.<\/p>\n\n\n\n

In termini di volume, il sistema CVE assegna tra 22.000 e 25.000 nuovi identificatori all’anno. Nel 2023 ne sono stati assegnati 22.497, nel 2024 la cifra \u00e8 salita a 23.812. Il totale complessivo dal 1999 a maggio 2025 supera i 294.000 record. Con l’entrata a regime del Cyber Resilience Act europeo, che impone ai produttori di software e hardware nuovi obblighi di segnalazione, il volume annuale potrebbe superare i 30.000 entro il 2027.<\/p>\n\n\n\n

CVSS v4.0: Il Nuovo Standard per Misurare il Rischio<\/h2>\n\n\n\n

Il Common Vulnerability Scoring System versione 4.0<\/a>, pubblicato da FIRST nel 2023, introduce miglioramenti significativi rispetto al CVSS v3.1 ancora dominante nella maggior parte dei database. Per i professionisti della sicurezza italiani, conoscere le differenze \u00e8 rilevante perch\u00e9 i nuovi strumenti di compliance NIS2 e CRA iniziano ad adottare CVSS v4.0 come riferimento.<\/p>\n\n\n\n

Le novit\u00e0 principali di CVSS v4.0 includono: una nomenclatura strutturata (CVSS-B per il punteggio base, CVSS-BT per base pi\u00f9 temporale, CVSS-BE per base pi\u00f9 ambientale), metriche specifiche per ambienti OT\/ICS e tecnologie operative, e supporto nativo per l’automazione nei workflow di vulnerability management. Il range di punteggi rimane 0.0-10.0, ma la granularit\u00e0 nella distinzione tra impatto sulla riservatezza, integrit\u00e0 e disponibilit\u00e0 \u00e8 aumentata.<\/p>\n\n\n\n

L’adozione nel 2025 rimane parziale. L’EUVD visualizza punteggi CVSS v4.0 nei record recenti, con valori come 9.2 e 6.9 gi\u00e0 visibili nelle schede CVE pubblicate dopo il 2024. Il NIST NVD usa ancora CVSS v3.1 come formato principale. Questo doppio standard crea discontinuit\u00e0 negli strumenti di vulnerability management che devono normalizzare i dati provenienti da fonti diverse: un livello di complessit\u00e0 tecnica che grava soprattutto sui team di sicurezza pi\u00f9 piccoli.<\/p>\n\n\n\n

Il Backlog delle Vulnerabilit\u00e0: un Problema Strutturale<\/h2>\n\n\n\n

Il gap di 50.000 CVE nell’EUVD non nasce dal nulla. Ha radici in un problema strutturale gi\u00e0 emerso al NIST NVD nel 2024: la crisi del backlog. Il database americano aveva rallentato in modo significativo l’arricchimento delle schede CVE con metadati critici come punteggi CVSS, CPE e classificazioni CWE, creando un accumulo di decine di migliaia di vulnerabilit\u00e0 prive di analisi completa.<\/p>\n\n\n\n

L’EUVD ha ereditato parte di questo problema. Lanciato come aggregatore downstream, ha inglobato i dati gi\u00e0 disponibili ma non ha potuto colmare retroattivamente le lacune del NVD. Le schede EUVD per vulnerabilit\u00e0 pre-2024 sono spesso incomplete: mancano i CPE (le specifiche del prodotto affetto), i link alle patch e le classificazioni CWE dettagliate. Per un team di sicurezza che cerca di automatizzare il processo di patch prioritization, questi metadati mancanti rappresentano un ostacolo concreto.<\/p>\n\n\n\n

VulnCheck ha documentato il fenomeno con precisione tecnica: “L’analisi indipendente ha rilevato che l’EUVD mostra meno vulnerabilit\u00e0 rispetto a CVE.org o al NIST NVD, con oltre 50.000 CVE assenti dall’endpoint API principale, anche se molti sono presenti nel sito e la maggior parte risulta accessibile tramite ricerca diretta.”<\/em> Questo impatto \u00e8 particolarmente critico per le organizzazioni che usano l’API per alimentare piattaforme di vulnerability management in modo automatizzato.<\/p>\n\n\n\n

Il Panorama dei Database: CVE, NVD, EUVD, OSV e VulnDB a Confronto<\/h2>\n\n\n\n
Database<\/th>Gestore<\/th>Modello<\/th>Punti di forza<\/th>Limitazioni<\/th><\/tr><\/thead>
CVE.org<\/a><\/td>MITRE \/ CVE Foundation<\/td>Standard globale gratuito<\/td>Identificatore universale, 300+ CNA attivi<\/td>Solo ID, nessun punteggio nativo<\/td><\/tr>
NIST NVD<\/td>NIST (USA)<\/td>Pubblico, gratuito<\/td>CVSS, CPE, CWE completi<\/td>Backlog 2024, controllo americano<\/td><\/tr>
ENISA EUVD<\/a><\/td>ENISA (UE)<\/td>Pubblico, gratuito<\/td>Contesto EU, NIS2\/CRA, CVSS v4.0<\/td>50.000+ CVE mancanti in API<\/td><\/tr>
OSV<\/td>Google + community open source<\/td>Open source<\/td>YAML machine-first, ecosistemi OSS<\/td>Solo software open source<\/td><\/tr>
VulnDB<\/td>Checkmarx<\/td>Commerciale<\/td>Dati exploit, intelligence avanzata<\/td>A pagamento, non pubblico<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La fotografia che emerge \u00e8 quella di un ecosistema frammentato dove nessun database copre tutto. CVE.org fornisce gli identificatori univoci. Il NVD aggiunge il contesto tecnico con CVSS e CPE. L’EUVD aggiunge il contesto regolatorio europeo. OSV serve l’open source. VulnDB serve l’intelligence commerciale con dati sugli exploit. I team di sicurezza maturi non scelgono una sola fonte: integrano le API da fonti multiple per ottenere una visione completa e azionabile.<\/p>\n\n\n\n

Impatto sulle Aziende Italiane: NIS2, CRA e CSIRT-IT<\/h2>\n\n\n\n

Per il mercato italiano, la combinazione EUVD, NIS2 e CRA crea un nuovo standard de facto per la gestione delle vulnerabilit\u00e0. La direttiva NIS2, in vigore dall’ottobre 2024 e recepita in Italia con il Decreto Legislativo, impone alle organizzazioni nei settori critici (energia, trasporti, bancario, sanit\u00e0, infrastrutture digitali) di implementare processi strutturati di vulnerability management con tempi di risposta definiti. L’EUVD diventa il riferimento naturale per questi processi in ambito europeo.<\/p>\n\n\n\n

Il Cyber Resilience Act (CRA), in fase di implementazione nel 2025-2026, aggiunge un livello ulteriore. I produttori di software e hardware con elementi digitali devono segnalare le vulnerabilit\u00e0 attivamente sfruttate entro 24 ore e quelle critiche entro 72 ore all’ENISA. Questo flusso di segnalazioni alimenter\u00e0 direttamente l’EUVD, colmando progressivamente il gap con il NVD. Per le aziende italiane che sviluppano software, il rispetto di questi obblighi richiede processi interni di vulnerability disclosure formalizzati, spesso attraverso l’accreditamento come CNA.<\/p>\n\n\n\n

Secondo il CLUSIT Report 2026<\/a>, l’Italia ha registrato 507 attacchi gravi nel 2025, con il 34% classificato come di gravit\u00e0 critica o elevata. Una quota significativa di questi attacchi ha sfruttato vulnerabilit\u00e0 con CVE noti ma non patchati in tempo. Il ritardo medio tra la pubblicazione di un CVE critico e l’applicazione della patch nelle PMI italiane supera i 90 giorni, un intervallo durante il quale gli attaccanti con accesso ai database di exploit hanno piena libert\u00e0 operativa.<\/p>\n\n\n\n

Il CSIRT-IT, che opera sotto la supervisione dell’ACN (Agenzia per la Cybersicurezza Nazionale), beneficia direttamente dell’upgrade dell’ENISA a CVE Root. Il coordinamento tra CSIRT nazionali per le vulnerabilit\u00e0 che interessano infrastrutture critiche italiane passa ora attraverso una catena di autorit\u00e0 europea consolidata, riducendo i tempi di comunicazione e aumentando la coerenza nella risposta a livello continentale.<\/p>\n\n\n\n

Cronologia: Dal Lancio del CVE all’EUVD Europeo<\/h2>\n\n\n\n
Anno<\/th>Evento<\/th>Impatto sul sistema globale<\/th><\/tr><\/thead>
1999<\/td>Lancio del programma CVE da parte di MITRE<\/td>Primo standard universale per le vulnerabilit\u00e0 software<\/td><\/tr>
2005<\/td>Introduzione del CVSS v1 da parte di FIRST<\/td>Sistema di scoring standardizzato per la gravit\u00e0<\/td><\/tr>
2011<\/td>CVSS v2 adottato da NVD e vendor globali<\/td>Diffusione massiva nei tool commerciali di sicurezza<\/td><\/tr>
2019<\/td>Sistema CNA multi-livello esteso a 100+ organizzazioni<\/td>Decentralizzazione dell’assegnazione degli identificatori<\/td><\/tr>
2023<\/td>CVSS v4.0 pubblicato da FIRST<\/td>Supporto OT\/ICS, granularit\u00e0 aumentata, CVSS-B\/BT\/BE<\/td><\/tr>
2024<\/td>Crisi del backlog NVD<\/td>Decine di migliaia di CVE senza metadati completi<\/td><\/tr>
16 aprile 2025<\/td>Contratto CISA-MITRE a rischio per 17 ore, poi esteso<\/td>CVE Foundation creata; 11 mesi garantiti fino a marzo 2026<\/td><\/tr>
13 maggio 2025<\/td>ENISA lancia EUVD con 264.920 voci<\/td>Primo database europeo autonomo di vulnerabilit\u00e0<\/td><\/tr>
Novembre 2025<\/td>ENISA elevata a CVE Program Root<\/td>Supervisione dei CNA europei centralizzata in ENISA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

5 Previsioni per la Gestione CVE nel 2026-2028<\/h2>\n\n\n\n

L’evoluzione del sistema CVE nei prossimi due anni sar\u00e0 guidata da tre forze: le tensioni geopolitiche sulla sovranit\u00e0 dei dati, le pressioni regolatorie europee del CRA, e l’adozione crescente di strumenti AI per la scoperta e il triage delle vulnerabilit\u00e0. Queste cinque previsioni sintetizzano le traiettorie pi\u00f9 probabili per il mercato italiano ed europeo:<\/p>\n\n\n\n

    \n
  1. La CVE Foundation sar\u00e0 pienamente operativa nel 2026, con il primo bilancio autonomo.<\/strong> Le decine di aziende e i quattro governi che hanno gi\u00e0 promesso supporto forniscono i fondi necessari. Il modello multi-sponsor riduce il rischio di una nuova crisi contrattuale come quella dell’aprile 2025. ENISA e governi europei contribuiranno al pool di finanziamento.<\/li>\n
  2. L’EUVD chiuder\u00e0 il gap con il NVD entro il 2027.<\/strong> Con i nuovi obblighi di segnalazione del CRA, il flusso di dati verso l’EUVD aumenter\u00e0 in modo significativo. Il gap di 50.000 CVE si ridurr\u00e0 progressivamente nel corso del 2026, con parit\u00e0 attesa entro la fine del 2027, a condizione di investimenti tecnici nell’infrastruttura API.<\/li>\n
  3. CVSS v4.0 diventer\u00e0 lo standard principale entro la fine del 2026.<\/strong> I vendor e i CERT europei, guidati dal framework EUVD, accelereranno la migrazione da v3.1. Il NIST seguir\u00e0 con un aggiornamento del NVD nella seconda met\u00e0 del 2026. La pressione regolatori del CRA, che cita esplicitamente il CVSS come metrica di valutazione, sar\u00e0 il driver principale.<\/li>\n
  4. Il numero di CNA superer\u00e0 i 400 entro il 2027.<\/strong> Il CRA impone ai produttori di software e hardware di segnalare e documentare le vulnerabilit\u00e0 nei propri prodotti, spingendo un numero crescente di aziende europee a richiedere l’accreditamento CNA tramite il canale ENISA-Root. Le PMI del settore IT potrebbero rappresentare la quota pi\u00f9 significativa di nuovi accreditamenti.<\/li>\n
  5. L’AI accelerer\u00e0 l’assegnazione automatica dei CVE.<\/strong> Strumenti LLM specializzati in security research inizieranno ad assistere l’identificazione e la classificazione automatica delle vulnerabilit\u00e0, riducendo i tempi medi dalla scoperta all’assegnazione da giorni a ore. Questo non eliminer\u00e0 la revisione umana, ma ridurr\u00e0 il backlog strutturale che affligge il sistema da anni.<\/li>\n<\/ol>\n\n\n\n

    Cosa Fare Subito: Guida Operativa per i Team di Sicurezza Italiani<\/h2>\n\n\n\n

    La moltiplicazione dei database di vulnerabilit\u00e0 non semplifica il lavoro dei team di sicurezza: lo complica. La risposta efficace richiede un approccio strutturato che integri le diverse fonti e le prioritizzi in base al contesto operativo dell’organizzazione.<\/p>\n\n\n\n

    Il primo passo \u00e8 l’integrazione dell’API dell’EUVD negli strumenti di vulnerability management gi\u00e0 in uso, affiancandola all’API del NVD senza sostituirla. Per le organizzazioni soggette a NIS2, l’uso dell’EUVD non \u00e8 opzionale nel lungo termine: diventer\u00e0 il riferimento normativo nelle verifiche condotte dalle autorit\u00e0 competenti. Scanner come Nessus o OpenVAS<\/a> devono essere configurati per integrare i feed EUVD, con aggiornamenti delle configurazioni e, in alcuni casi, connettori personalizzati.<\/p>\n\n\n\n

    Il secondo passo \u00e8 la valutazione dell’accreditamento come CNA. Le organizzazioni che sviluppano software o hardware traggono vantaggio dall’accreditamento: assegnano CVE ai propri prodotti con tempi ridotti, rafforzano la fiducia degli utenti e anticipano gli obblighi del CRA. ENISA gestisce il processo di accreditamento per le organizzazioni europee come CVE Program Root. Per le organizzazioni che segnalano vulnerabilit\u00e0 in prodotti di terze parti, il canale appropriato rimane il programma di vulnerability disclosure coordinato dall’ENISA<\/a>.<\/p>\n\n\n\n

    Copertura Correlata<\/h2>\n\n\n\n