Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
La supply chain informativa delle vulnerabilità si è rotta. Il board lo sa?
Quarantamila CVE nel 2025, sessantamila previsti nel 2026. L'infrastruttura pubblica che alimenta le decisioni di patching ha smesso di garantire copertura completa.
Il dato che cambia le regole del gioco
Nel 2025 sono stati registrati circa 40.000 record CVE. Le proiezioni per il 2026 parlano di 60.000. La curva non rallenta, accelera, anche per effetto di strumenti di scoperta vulnerabilità assistiti da intelligenza artificiale che ampliano il perimetro di analisi. Di fronte a questa traiettoria, il National Vulnerability Database statunitense ha comunicato una scelta operativa netta: l'enrichment dei record CVE non sarà più universale. Verrà applicato un criterio di priorità basato sull'impatto potenziale. Il resto rimarrà privo del contesto necessario per valutare gravità, prodotti coinvolti e vettori di attacco. Harold Booth, Program Manager del NVD presso il NIST, ha confermato pubblicamente questo cambio di rotta. Jessica Sica, CISO di lungo corso, ha riconosciuto la razionalità della decisione ma ha avvertito con chiarezza: alcune vulnerabilità sfuggiranno. E molti vendor di sicurezza dipendono dal NVD come fonte primaria per alimentare i propri prodotti. Tradotto: la base dati su cui migliaia di organizzazioni costruiscono le proprie decisioni di patching ha appena dichiarato i propri limiti strutturali.
Quando la catena decisionale perde un anello
Il vulnerability management non è un processo tecnico confinato al SOC. È una catena decisionale che parte da un dato, il CVE arricchito, e arriva fino alla scelta di allocare risorse, fermare un sistema, posticipare un rilascio. Se l'enrichment non è più garantito per ogni vulnerabilità, le decisioni di patching verranno prese su informazioni incomplete. Alcune esposizioni non verranno rilevate. I tempi di reazione si allungheranno in modo asimmetrico, colpendo più duramente chi ha meno capacità interna di compensare il gap. Per un board, la questione non è tecnica: è di affidabilità della supply chain informativa su cui poggia la resilienza operativa. Chi risponde se un sistema critico resta esposto perché il dato di contesto su una vulnerabilità non è mai arrivato? Il fornitore di sicurezza che dipendeva dal NVD? Il team interno che non ha verificato fonti alternative? La risposta, oggi, in molte organizzazioni semplicemente non esiste.
Una dipendenza che nessuno ha governato
L'intera filiera di gestione delle vulnerabilità si è costruita su un presupposto implicito: che un ente pubblico avrebbe sempre fornito dati completi e tempestivi su ogni falla nota. Quel presupposto è caduto. La responsabilità di colmare il gap informativo ricade ora sulle singole organizzazioni, senza un mandato chiaro su chi debba farlo, con quali risorse e con quale standard di copertura. Chi opera nella gestione della sicurezza si trova a dover garantire visibilità su un perimetro di vulnerabilità in espansione, con un'infrastruttura informativa in contrazione, e senza che questa contrazione generi automaticamente un riallineamento di budget o di aspettative. La frizione è strutturale: la governance della sicurezza ha delegato una funzione critica a una risorsa esterna non contrattualizzata, non ridondante e ora esplicitamente parziale. Nessun comitato rischi ha mai messo a verbale questa dipendenza. Nessun risk register la classifica come tale. Eppure è lì, e condiziona ogni decisione operativa a valle.
Le implicazioni normative che nessuno vuole affrontare
NIS2, all'articolo 21, paragrafo 2, lettera e), impone ai soggetti essenziali e importanti di adottare politiche di gestione delle vulnerabilità, inclusa la divulgazione. Se la fonte primaria di enrichment non è più completa, l'organizzazione deve documentare come garantisce comunque una gestione adeguata del ciclo di vita delle vulnerabilità. Non si tratta di una violazione diretta, nessuna norma prescrive l'uso del NVD. Ma si tratta di una domanda di accountability: su quale base informativa state costruendo la vostra conformità? DORA, agli articoli 28 e seguenti, richiede la gestione del rischio derivante da dipendenze ICT critiche. Il NVD non è un fornitore contrattuale, ma è una dipendenza operativa de facto per la maggior parte delle organizzazioni del settore finanziario europeo. Ignorare questa dipendenza nel proprio framework di rischio terze parti non è una scelta neutrale, è una lacuna documentale che potrebbe emergere in sede di audit o di incidente.
La domanda che manca nei vostri comitati rischi
Se domani l'enrichment di una vulnerabilità critica che colpisce un sistema nel vostro perimetro non arrivasse, il vostro processo di vulnerability management la intercetterebbe comunque? E sapreste dire al board, con evidenza documentale, chi ne porta la responsabilità? Queste due domande non richiedono nuovi strumenti. Richiedono una risposta organizzativa che oggi, nella maggior parte delle strutture, non è stata formulata. Il punto non è se il NVD smetterà di essere utile. Il punto è che ha smesso di essere sufficiente. E la distanza tra "utile" e "sufficiente" è esattamente lo spazio in cui si annida il rischio non governato.
L'infrastruttura pubblica su cui avete costruito le vostre decisioni di sicurezza ha appena ridefinito i propri confini. I vostri processi interni, però, sono ancora disegnati come se quei confini non esistessero.