L’Agenzia dell’Ue per la sicurezza informatica (Enisa) ha lanciato l’European Vulnerability Database (Euvd), che punta a rafforzare la sicurezza digitale del Vecchio continente aiutando le aziende a soddisfare i requisiti relativi alla catena di approvvigionamento e alla gestione delle vulnerabilità previsti dalla direttiva Nis2.
La Network and Information Security Directive 2, entrata in vigore il 18 ottobre 2024, ha l’obiettivo di migliorare la sicurezza informatica per settori critici come le telecomunicazioni, l’energia, i trasporti e la sanità, e l’iniziativa punta ad accompagnare le organizzazioni lungo questo percorso. Ma il nuovo database sosterrà anche l’attuazione del Cyber Resilience Act, garantendo che i prodotti con elementi digitali, come software e dispositivi intelligenti, siano protetti dalle minacce informatiche.
Indice degli argomenti
Cosa consente di fare l’Euvd
Più nello specifico, l’Euvd raccoglie informazioni sulle vulnerabilità da fonti attendibili, migliorando la consapevolezza situazionale e proteggendo l’a nostra l’infrastruttura digitale europea da potenziali minacce. Offre strumenti essenziali agli stakeholder del settore pubblico e privato, comprese le autorità nazionali e i ricercatori, per navigare in sicurezza nello spazio digitale. Si tratta dunque di uno strumento che rafforzerà la sovranità tecnologica fornendo risorse affidabili per gestire e mitigare i rischi per la sicurezza informatica nei prodotti e servizi delle tecnologie dell’informazione e della comunicazione.
“L’Eu Vulnerability Database rappresenta un passo importante verso il rafforzamento della sicurezza e della resilienza dell’Europa”, commenta Henna Virkkunen, vicepresidente esecutiva per la Sovranità tecnologica, la Sicurezza e la Democrazia della Commissione di Bruxelles. “Riunendo le informazioni sulle vulnerabilità rilevanti per il mercato dell’Ue, stiamo innalzando gli standard di sicurezza informatica, consentendo agli stakeholder del settore pubblico e privato di proteggere meglio i nostri spazi digitali condivisi con maggiore efficienza e autonomia”.
I nuovi obblighi per le società di telecomunicazioni
Tra i soggetti che beneficeranno del progetto Euvd ci sono anche e soprattutto gli operatori di telecomunicazioni. L’avvento della Nis2 comporta un doppio sforzo da parte del settore, i cui player saranno sia soggetti passivi che attivi nell’ambito della compliance e della sicurezza informatica. La Nis2 infatti avrà un impatto decisivo su su molte delle industrie critiche europee, che ovviamente fanno leva sui servizi – anche di cybersecurity – offerti dagli operatori Tlc. D’altra parte, dato il loro ruolo cruciale, le telecomunicazioni rientrano nel perimetro dei requisiti stabiliti dalla Nis2 come “soggetti essenziali” e sono quindi soggette alle più rigorose misure di sicurezza previste dal framework.
Le reti di telecomunicazione nell’Ue sono sottoposte a un volume significativo di attacchi informatici. La società di consulenza Shoosmiths cita per esempio le statistiche di Deutsche Telekom, che evidenziano come il principale operatore tedesco subisca dai 30mila ai 40mila tentativi di attacco ogni minuto. Il ransomware rimane un’attività di criminalità informatica predominante a livello globale, con il rapporto Cert-Eu che ha identificato almeno 55 operazioni ransomware e un totale di 906 vittime nel 2023. Infine, la proliferazione dell’intelligenza artificiale rappresenta, oltre che un’opportunità, anche una nuova minaccia, considerate le maggiori capacità che fornisce agli attaccanti.
La direttiva Nis2 impone quindi ai fornitori di servizi di telecomunicazione di adottare una strategia di sicurezza commisurata alle sofisticate minacce esterne che incontrano, in particolare quelle poste da attori stranieri. Ciò comporta l’implementazione di solide pratiche di gestione del rischio, un monitoraggio continuo e meccanismi di risposta rapida per individuare e mitigare efficacemente le minacce informatiche. La direttiva sottolinea la necessità per gli operatori di telecomunicazioni di valutare e migliorare le proprie misure di sicurezza informatica, garantendo la resilienza contro potenziali attacchi da parte di stati nazionali e altri avversari esterni.
I benefici del progetto Euvd per gli operatori Tlc
Un elemento cruciale della Nis2 che potrebbe cambiare in modo sostanziale il modo in cui i fornitori di servizi di telecomunicazione affrontano le loro pratiche di gestione, governance e garanzia della sicurezza delle informazioni è l’introduzione di audit rafforzati. La direttiva introduce infatti misure di audit e ispezione rafforzate, con l’esecuzione di controlli periodici (e, in alcuni casi, senza preavviso) da parte di ciascun ente di regolamentazione degli Stati membri dell’Ue dei quadri di gestione della sicurezza delle informazioni e della strategia di sicurezza informatica di un’azienda.
Per i fornitori di servizi di telecomunicazione, audit e supervisione rafforzati sono già previsti dal Codice delle Comunicazioni Elettroniche dell’Ue (European Electronic Communications Code, Eecc), entrato in vigore nel dicembre 2020. Ai sensi dell’Eecc, gli operatori di telecomunicazioni sono soggetti a audit e ispezioni periodiche per garantire la conformità ai requisiti di sicurezza e privacy. Questi audit riguardano in genere le pratiche di gestione del rischio, le procedure di segnalazione degli incidenti e l’implementazione di misure tecniche e organizzative per salvaguardare l’integrità della rete.
Dato che è probabile che agli stessi organismi di regolamentazione previsti dall’Eecc vengano conferiti poteri equivalenti ai sensi della Nis2, il modo in cui tali enti di regolamentazione applicano congiuntamente i loro poteri di audit previsti dai framework sarà seguito con grande interesse nel settore. Ciò è particolarmente vero se si considera che i poteri di audit previsti dalla Nis2 sono molto più ampi di quelli dell’Eecc, e richiedono valutazioni più complete delle infrastrutture critiche, della sicurezza della catena di fornitura e delle capacità di risposta agli incidenti, garantendo che i fornitori di servizi di telecomunicazioni mantengano una solida posizione di sicurezza contro le minacce in continua evoluzione.
Soprattutto alla luce di questa evoluzione, uno strumento come l’European Vulnerability Database si rivelerà estremamente utile per gli operatori che non vogliono scendere a compromessi sul fronte della compliance lungo l’intera catena del valore.
