Sobre la base del seu mandat de fomentar la resiliència de la ciberseguretat en el mercat únic de la UE, ENISA ha estat treballant més activament en el desenvolupament de mecanismes per a fomentar l'ús de pràctiques de divulgació coordinada de vulnerabilitats
(CVD). ENISA va promoure activament les ECV i va recolzar als CSIRT de la UE en l'adopció i el desenvolupament de polítiques d'ECV a nivell nacional. Per a açò, l'Agència ha publicat contínuament directrius, recomanacions i anàlisis. Diversos Estats membres de la UE ja han implementat amb èxit polítiques de drets compensatoris.
ENISA està ampliant el seu recolze en matèria de drets compensatoris als Estats membres amb una nova funció que oferix un servici de registre de vulnerabilitats. Després d'incorporar-se com a Autoritat de Numeració CVE (CNA) , l'Agència ara està autoritzada a assignar Identificadors CVE (ANEU CVE) i publicar Registres CVE per a vulnerabilitats descobertes pels CSIRT de la UE o notificades a ells, d'acord amb les seues funcions de coordinador dedicat.
A més, segons NIS2, ENISA està desenvolupant i mantenint una base de dades europea sobre vulnerabilitats (EUVD) que permet l'accés transparent a informació enriquida sobre vulnerabilitats proporcionada per múltiples fonts, com CSIRT, proveïdors i bases de dades existents. Per a ajudar a les organitzacions a aconseguir una major eficiència en la classificació i priorització dels esforços de gestió de vulnerabilitats, l'EUVD introduïx l'automatització recolzant el Marque Assessor de Seguretat Comuna (CSAF).
Altres desenvolupaments legislatius en curs també abordaran la divulgació de vulnerabilitats, amb requisits de maneig de vulnerabilitats ja previstos en la Llei de Resiliència Cibernètica (CRA).
Les novetats més significatives que suposen este nomenament
- Divulgació coordinada de vulnerabilitats (CVD)
La CVD pot descriure's com un model de divulgació de vulnerabilitats que intenta limitar l'amenaça d'explotació de vulnerabilitats, garantint que les vulnerabilitats es divulguen al públic després que a les parts responsables se'ls haja concedit el temps adequat per a desenvolupar una solució, un pegat o proporcionar mesures de mitigació.
- Programa de vulnerabilitats i exposicions comunes (CVE)
La missió del programa CVE és identificar, definir i catalogar vulnerabilitats de ciberseguretat divulgades públicament. Hi ha un registre CVE per a cada vulnerabilitat del catàleg. Les vulnerabilitats són descobertes, després assignades i publicades per organitzacions de tot el món que s'han associat amb el Programa CVE. Els socis publiquen registres CVE per a comunicar descripcions consistents de vulnerabilitats. Els professionals de tecnologia de la informació i ciberseguretat utilitzen CVE Records per a assegurar-se que estan discutint el mateix tema i per a coordinar els seus esforços per a prioritzar i abordar les vulnerabilitats.
- Autoritats de numeració CVE (CNA)
Les CNA són organitzacions responsables de l'assignació periòdica d'ANEU CVE a vulnerabilitats i de crear i publicar informació sobre la vulnerabilitat en el registre CVE associat. Cada CNA té un àmbit de responsabilitat específic per a la identificació i publicació de vulnerabilitats. ENISA ara està autoritzada a assignar identificadors CVE (ANEU CVE) i publicar registres CVE per a vulnerabilitats descobertes pels CSIRT de la UE o notificades a ells, d'acord amb les seues funcions de coordinador específic.
- Marque Consultiu de Seguretat Comuna (CSAF)
CSAF és un estàndard per a avisos de seguretat llegibles per màquina. Este format estandarditzat per a incorporar informació d'assessorament sobre vulnerabilitats simplifica els processos de classificació i remediación per als propietaris d'actius. En publicar avisos de seguretat utilitzant CSAF, els proveïdors reduiran el temps necessari perquè les empreses comprenguen l'impacte organisacional i impulsen una solució oportuna.
Font original de la notícia (ENISA)
