Managementul vulnerabilităților sub NIS2: de la CVE la dovezi de audit
Dintre cele 10 măsuri minime ale Art. 21 din NIS2, gestionarea vulnerabilităților este cea mai măsurabilă — și cea mai ușor de verificat de DNSC: ori ai un registru de vulnerabilități cu date de remediere, ori nu ai.
Acest ghid descrie un proces complet de vulnerability management dimensionat pentru echipe de 1–10 oameni, aliniat cu NIS2 și ISO 27001 A.12.6.1.
Pasul 1: inventarul — știi ce rulezi?
Orice proces de vulnerabilități începe cu lista software-ului pe care îl folosești: sisteme de operare, servere web, baze de date, framework-uri, biblioteci, echipamente de rețea, servicii SaaS critice. Fără inventar, monitorizarea CVE-urilor e zgomot.
Bune practici: menține lista ca un „watchlist" de produse (ex. nginx, PostgreSQL, VMware ESXi, Fortinet) și actualizeaz-o la fiecare schimbare de arhitectură.
Pasul 2: sursele — de unde afli despre vulnerabilități
- ▸NVD (National Vulnerability Database) — baza de referință pentru CVE-uri, cu scoruri CVSS.
- ▸CISA KEV (Known Exploited Vulnerabilities) — lista vulnerabilităților exploatate activ în atacuri reale; dacă un CVE e în KEV, prioritatea e maximă indiferent de scor.
- ▸EUVD — baza de date europeană de vulnerabilități operată de ENISA, relevantă explicit în context NIS2.
- ▸GitHub Security Advisories — esențial dacă dezvolți software: acoperă bibliotecile open-source din dependențele tale.
- ▸Verificarea manuală a 4 surse zilnic nu scalează — agregarea automată este de facto obligatorie pentru un proces serios.
Pasul 3: prioritizarea — CVSS spune cât de grav, EPSS spune cât de probabil
CVSS măsoară severitatea tehnică (0–10), dar peste 20.000 de CVE-uri pe an au scoruri mari și nu poți patch-ui tot imediat. Aici intervine EPSS (Exploit Prediction Scoring System) — probabilitatea, actualizată zilnic, ca un CVE să fie exploatat în următoarele 30 de zile.
Regula practică: un CVE cu CVSS 7.5 și EPSS 40% e mai urgent decât unul cu CVSS 9.8 și EPSS 0,5%. Combinația CVSS × EPSS × prezență în KEV × produs în watchlist îți dă coada de lucru reală.
Pasul 4: SLA-uri de remediere pe severitate
- ▸CRITICAL: remediere în 7 zile de la confirmare.
- ▸HIGH: 14 zile.
- ▸MEDIUM: 30 de zile.
- ▸Aceste termene sunt aliniate cu așteptările NIS2 Art. 21 și sunt ușor de apărat la audit. Important: cronometrul pornește la confirmare (acknowledge), iar depășirile trebuie să genereze alerte, nu să dispară în backlog.
Pasul 5: dovezile — audit trail-ul care te apără
Pentru DNSC sau un auditor ISO 27001, procesul tău există doar dacă e documentat. Minimul necesar pentru fiecare vulnerabilitate relevantă: data publicării CVE, data la care ai aflat de el, decizia (remediat / fals pozitiv / ignorat cu justificare), data remedierii, persoana responsabilă.
Registrul trebuie să fie exportabil (CSV/PDF) și, ideal, imutabil — un audit trail care poate fi editat retroactiv valorează puțin în fața unui auditor sceptic.
Manual vs automatizat: calculul real
Procesul de mai sus, făcut manual, înseamnă 30–60 de minute pe zi: verificat 4 surse, filtrat ce e relevant, actualizat un spreadsheet, calculat termene. La un cost orar modest, depășești rapid 500 EUR/lună în timp — pentru un proces fragil, dependent de o singură persoană și fără dovezi solide.
O platformă dedicată face același lucru pentru o fracțiune din cost și produce automat dovezile: alerte la CVE-uri noi pe produsele tale, SLA tracking și rapoarte de conformitate generate la cerere.
Exact acest proces, gata construit
Awarely Monitor agregă NVD, CISA KEV, EUVD și GitHub, prioritizează cu CVSS + EPSS, urmărește SLA-uri pe severitate și exportă dovezi de audit NIS2 / ISO 27001. De la 59 EUR/lună, cu 14 zile gratuite.
