Vai al contenuto principale
Torna alla panoramica

Il database europeo delle vulnerabilita e la notifica NIS2: guida MSP

Di NIS2Certify
nis2divulgazione-vulnerabilitaeuvdmspcatena-approvvigionamento
Il database europeo delle vulnerabilita e la notifica NIS2: guida MSP

Nel maggio 2025 l'ENISA ha messo in funzione, senza clamore, il database europeo delle vulnerabilità. Da settembre 2026 alimentarlo smette di essere facoltativo per un ampio gruppo di fornitori. Se i vostri clienti sviluppano, rivendono o integrano prodotti ICT, quella scadenza è ora nella vostra roadmap — che lo sappiano o no.

La maggior parte delle conversazioni su NIS2 ruota ancora attorno ai registri dei rischi e alla notifica degli incidenti. Il meccanismo di divulgazione coordinata delle vulnerabilità previsto dall'Articolo 12 viene ignorato. È un errore. È la parte di NIS2 che cambia silenziosamente il modo in cui i vostri clienti scoprono i difetti dei prodotti che gestiscono, e il modo in cui i loro stessi prodotti vengono segnalati quando qualcosa non va.

Questa è una guida pratica per consulenti, MSP e vCISO: cos'è l'EUVD, cosa richiede realmente l'obbligo di notifica di settembre 2026, e come rendere operativa la divulgazione coordinata delle vulnerabilità per clienti che non ci hanno mai pensato.

L'EUVD è la risposta dell'UE a un singolo punto di guasto

Per due decenni, il monitoraggio mondiale delle vulnerabilità è passato attraverso un unico programma finanziato dagli USA: il sistema CVE. All'inizio del 2025 quel finanziamento ha vacillato. Il programma CVE era a pochi giorni da un'interruzione prima di una proroga dell'ultimo minuto. L'Europa lo ha notato.

Il database europeo delle vulnerabilità dell'ENISA — l'EUVD — è la risposta strutturale. È stato lanciato nel maggio 2025 come mandato dell'Articolo 12 di NIS2. Non è una sostituzione di CVE; acquisisce i record CVE, gli avvisi dei fornitori e il catalogo Known Exploited Vulnerabilities della CISA, e vi sovrappone un contesto specifico per l'UE.

Il risultato pratico sono tre viste dashboard che i vostri clienti possono usare oggi, gratuitamente:

  • Vulnerabilità critiche — difetti con impatto grave.
  • Vulnerabilità sfruttate — ciò che è attivamente usato negli attacchi in questo momento.
  • Vulnerabilità coordinate dall'UE — difetti gestiti tramite i CSIRT europei.

La vista «sfruttate» conta di più sul piano operativo. Dice a un cliente quali delle migliaia di CVE mensili vengono effettivamente trasformate in armi — ed è la differenza tra un arretrato di patch e un'esercitazione antincendio.

L'Articolo 12 crea una pipeline di divulgazione, non solo un database

Il database è la parte visibile. Il meccanismo sottostante è la divulgazione coordinata delle vulnerabilità, e cambia con chi parlano i vostri clienti quando trovano un difetto.

Ogni Stato membro ha designato uno dei suoi CSIRT come coordinatore nazionale CVD. Quel coordinatore svolge un lavoro specifico: identifica e contatta le entità colpite da una vulnerabilità segnalata, supporta il ricercatore che l'ha segnalata, negozia un calendario di divulgazione e gestisce i difetti che colpiscono più organizzazioni contemporaneamente. L'ENISA sta al di sopra come segretariato del EU CSIRTs Network, coordinando a livello transfrontaliero quando un singolo difetto minaccia entità in più Paesi.

Per un consulente, la conclusione è concreta. Quando il ricercatore di sicurezza di un cliente — o un cliente, o un partecipante a un programma di bug bounty — segnala un difetto nel prodotto del cliente, esiste ora un canale definito e una controparte definita. «Capiremo a chi rivolgerci» non è più una risposta accettabile.

Cronologia delle Notifiche di Incidenti NIS2

24h

Allerta Precoce

Notificare all'autorità competente (CSIRT/ANC) entro 24 ore dalla conoscenza di un incidente significativo.

72h

Notifica dell'Incidente

Presentare una notifica dettagliata entro 72 ore con una valutazione iniziale della gravità, dell'impatto e degli indicatori di compromissione.

1mo

Rapporto Finale

Consegnare un rapporto finale completo entro un mese che copra la causa principale, le misure adottate e l'impatto transfrontaliero.

Settembre 2026: notificare le vulnerabilità attivamente sfruttate diventa obbligatorio

Ecco la data da presentare ai clienti. Da settembre 2026, notificare le vulnerabilità attivamente sfruttate diventa obbligatorio per i fabbricanti di prodotti ICT.

Questo obbligo non grava in egual misura su ogni entità NIS2. Si rivolge ai fornitori — le organizzazioni che sviluppano e distribuiscono software e hardware connesso. Ma la portata è più ampia di quanto la maggior parte dei clienti immagini, perché viaggia lungo la catena di approvvigionamento. Un MSP che sviluppa un'integrazione su misura, un fornitore SaaS che rientra nell'ambito come entità importante, un fabbricante che incorpora firmware in un dispositivo — tutti possono farsi carico di un obbligo di notifica.

Il requisito è ristretto ma netto. Non è «notificare ogni CVE». È: quando sai che una vulnerabilità del tuo prodotto è attivamente sfruttata, la notifichi. Questa distinzione — attivamente sfruttata, non semplicemente scoperta — rende il feed delle vulnerabilità sfruttate dell'EUVD la spina dorsale operativa dell'obbligo.

Per i clienti che distribuiscono prodotti, tre domande necessitano di una risposta prima di settembre 2026:

  1. Chi all'interno dell'organizzazione è responsabile di decidere che una vulnerabilità è «attivamente sfruttata»?
  2. Qual è il percorso di notifica al CSIRT competente, ed è stato testato?
  3. Con quale rapidità l'organizzazione può passare dalla conoscenza interna alla notifica formale?

Se un cliente non può rispondere a queste tre domande oggi, quella è la lacuna da colmare.

Come l'obbligo di divulgazione si propaga lungo la catena di approvvigionamento

NIS2 è stato deliberatamente costruito affinché gli obblighi non si fermino all'entità nell'ambito. I requisiti della catena di approvvigionamento dell'Articolo 21 trasferiscono le aspettative di sicurezza ai fornitori, e la divulgazione coordinata delle vulnerabilità viaggia con essi.

Un esempio pratico: un'entità essenziale del settore energetico gestisce un componente SCADA di un fornitore di medie dimensioni. Quel fornitore potrebbe non essere di per sé un'entità NIS2. Ma gli obblighi dell'Articolo 21 dell'operatore energetico significano che l'operatore deve gestire il rischio della catena di approvvigionamento — il che significa sempre più spesso esigere dal fornitore un processo CVD funzionante e la notifica dei difetti sfruttati. L'obbligo si propaga per contratto, anche dove non si applica per legge.

Escalation delle sanzioni NIS2 — Oltre la multa

!

Evento scatenante

Non conformità rilevata o incidente verificatosi

Un'autorità di vigilanza identifica una lacuna di conformità o un'organizzazione non soddisfa i requisiti NIS2

Le autorità possono imporre
Sanzioni non finanziarie
1

Ordini di conformità con scadenze vincolanti

2

Audit di sicurezza obbligatori a vostre spese

3

Divulgazione pubblica delle violazioni

4

Istruzioni vincolanti su misure di sicurezza specifiche

Scala verso
Conseguenze operative e personali
1

Sospensione di certificazioni o licenze operative

2

Divieto temporaneo di funzioni dirigenziali per individui

3

Denominazione pubblica delle persone fisiche responsabili

Evento scatenante
Non finanziario
Operativo / personale

È qui che i consulenti si guadagnano la parcella. Il lavoro non è leggere la direttiva ai clienti. È mappare quali fornitori di un cliente portano aspettative di divulgazione delle vulnerabilità, inserire quelle aspettative nei contratti, e dare al cliente un modo per verificare che siano rispettate.

Cosa significa davvero «rendere operativa la CVD» per un MSP

Per gli MSP che gestiscono infrastrutture per conto dei clienti, l'EUVD cambia il flusso di lavoro quotidiano di gestione delle vulnerabilità. Tre cambiamenti concreti:

Monitoraggio. Aggiungi il feed delle vulnerabilità sfruttate dell'EUVD alle fonti che già monitori. Contiene avvisi e contrassegni di sfruttamento specifici per l'UE che un feed incentrato sugli USA potrebbe mostrare più tardi o non mostrare affatto. Per i clienti europei, questo è più vicino alla visione del rischio dei regolatori stessi.

Ricezione. Ogni cliente che distribuisce un prodotto ha bisogno di un modo pubblicato per ricevere segnalazioni di vulnerabilità — un file security.txt, un'email di divulgazione, un contatto definito. È il controllo più economico e di maggior valore che puoi implementare, e la maggior parte dei clienti PMI non lo ha.

Triage e notifica. Definisci, per iscritto, la soglia e il percorso. Quando un difetto segnalato viene confermato come attivamente sfruttato, chi decide, chi notifica al CSIRT, ed entro quale finestra. Documentalo prima di averne bisogno.

Niente di tutto ciò è esotico. È la stessa disciplina della risposta agli incidenti, applicata alle vulnerabilità anziché alle violazioni. I clienti che faticheranno nel 2026 sono quelli che trattano la divulgazione come un ripensamento.

Dove si colloca tutto questo in una valutazione di prontezza

La divulgazione coordinata delle vulnerabilità non è un progetto a sé stante. È una fetta misurabile della postura complessiva di conformità NIS2 di un cliente, accanto alla notifica degli incidenti, ai controlli della catena di approvvigionamento e alle misure dell'Articolo 21.

Se quest'anno stai conducendo un'analisi delle lacune per un cliente, tre verifiche specifiche della CVD appartengono all'elenco: monitorano l'EUVD o un feed equivalente consapevole dell'UE, hanno un canale di ricezione funzionante per le segnalazioni in entrata, e — per i fornitori di prodotti — hanno un percorso testato per notificare le vulnerabilità sfruttate prima di settembre 2026.

Puoi mappare queste lacune rapidamente. Il nostro quick scan NIS2 segnala esattamente dove la postura di gestione delle vulnerabilità e della catena di approvvigionamento di un cliente è carente, così puoi passare direttamente alla remediation invece di partire da una pagina bianca.

La scadenza è reale e il database esiste già

L'EUVD non è una proposta. È online, gratuito, e i vostri clienti possono usarlo domani. Anche l'obbligo di notifica dei fabbricanti di settembre 2026 non è una consultazione — è una data.

I consulenti che si portano avanti passeranno il 2026 ad aiutare i clienti a costruire processi di divulgazione funzionanti. Gli altri lo passeranno a spiegare ai clienti perché nessuno li ha avvisati. Il lavoro è lineare. La finestra non è illimitata.

Per il quadro più ampio di come questi obblighi si connettono, consulta le nostre guide sulla sicurezza della catena di approvvigionamento NIS2 e le dieci misure dell'Articolo 21.