GVision Italia S.r.l., produttore terminale italiano di dispositivi CCTV, switch PoE e apparecchiature professionali per la videosorveglianza IP, ha annunciato di aver completato con successo il proprio onboarding come CVE Numbering Authority (CNA) all’interno del programma Common Vulnerabilities and Exposures (CVE), sotto la supervisione dell’ENISA in qualità di Root europea.
Un ruolo attivo nell’ecosistema europeo della gestione delle vulnerabilità
Lo status di CNA consente a GVision di assegnare direttamente identificativi CVE e pubblicare record CVE ufficiali per le vulnerabilità individuate nei propri prodotti — telecamere IP, switch PoE, appliance NVR/VMS e dispositivi embedded sviluppati su misura — nonché per le vulnerabilità scoperte durante le proprie attività di ricerca su tecnologie di terze parti rilevanti per l’ecosistema della videosorveglianza IP.
Questo traguardo si inserisce in una trasformazione più ampia del programma CVE a livello globale. Il 20 novembre 2025, l’ENISA è diventata una Root del programma CVE, entrando nel Council of Roots insieme a MITRE, CISA, Google, Red Hat, JPCERT/CC e altri, assumendo la responsabilità di identificare, effettuare l’onboarding, formare e supportare nuove CNA all’interno della propria giurisdizione. Entro marzo 2026, il programma ha superato le 504 CNA registrate, mentre le segnalazioni CVE nel primo trimestre del 2026 sono cresciute del 27,9% rispetto allo stesso periodo del 2025.
Un passo avanti rispetto agli obblighi del Cyber Resilience Act
A partire dall’11 settembre 2026, i produttori di prodotti con elementi digitali immessi sul mercato europeo saranno tenuti a notificare le vulnerabilità attivamente sfruttate attraverso la Single Reporting Platform (SRP) sviluppata e gestita dall’ENISA nell’ambito del Cyber Resilience Act.
GVision arriva a questa scadenza con un’infrastruttura di disclosure già pienamente operativa, integrata nei propri processi di sviluppo firmware e nelle procedure di conformità NIS2 richieste per i fornitori di infrastrutture critiche e per le entità essenziali e importanti individuate dall’Agenzia per la Cybersicurezza Nazionale (ACN).
L’ambito CNA di GVision copre l’intero catalogo dei terminali distribuiti sul territorio italiano — dalle telecamere bullet e dome fino a soluzioni PTZ, termiche, fisheye e per il riconoscimento targhe (LPR) — insieme alle appliance VMS Base e Advanced e ai dispositivi embedded personalizzati progettati per clienti enterprise e pubblica amministrazione.
Dalla conformità alla responsabilità attiva
Alberto Patella, Founder & CEO di GVision Italia, CT e CTU presso il Tribunale di Brescia e già docente e coordinatore del corpo docenti del corso di Criminologia Applicata presso l’Università di Bologna, insignito della Medaglia al Valor Policial dalla Guardia Civil spagnola, ha dichiarato:
«Per GVision, questo traguardo non è un punto di arrivo ma un punto di partenza. Siamo convinti che la cybersecurity della videosorveglianza IP in Europa non possa essere delegata a supply chain estere: deve essere gestita, documentata e comunicata da chi conosce il prodotto fino al firmware. Essere riconosciuti come CNA nell’ambito del programma CVE significa assumersi pubblicamente questa responsabilità, nello spirito dell’approccio Secure by Design che guida il nostro lavoro da anni.»
— Alberto Patella, Founder & CEO, GVision Italia S.r.l.
Patella ha aggiunto, sul piano operativo:
«L’approccio tecnico che adottiamo è quello del Secure by Design applicato all’intero ciclo di vita del prodotto: dal firmware alle appliance VMS, ogni vulnerabilità viene tracciata, classificata secondo CVSS e pubblicata come CVE Record nei tempi previsti dal Programma. Questo è il modo corretto di operare ed è ciò che ci aspettiamo da ogni vendor serio nel mercato europeo della videosorveglianza professionale.»
— Alberto Patella, Founder & CEO, GVision Italia S.r.l.
Processo di disclosure e canali ufficiali
GVision Italia ha implementato un processo di divulgazione coordinata delle vulnerabilità allineato alla norma ISO/IEC 29147 (Vulnerability Disclosure) e alla ISO/IEC 30111 (Vulnerability Handling Processes), in conformità alle linee guida ENISA e alle CNA Operational Rules del programma CVE.
Ricercatori di sicurezza, clienti e partner possono segnalare vulnerabilità attraverso il modulo pubblico disponibile su gvision.it/security-policy/. Ogni segnalazione riceve presa in carico entro 72 ore lavorative e viene gestita secondo i tempi previsti dalle regole del Programma CVE per l’assegnazione dei CVE ID e la pubblicazione dei relativi advisory.
Le attività di triage, coordinamento con il Root CNA ENISA e pubblicazione degli advisory sono gestite dal Product Security Incident Response Team (PSIRT) di GVision presso il Security Operations Center della Control Room di Giussano, inaugurata nel 2026.
I canali ufficiali per la segnalazione delle vulnerabilità e la consultazione degli advisory di sicurezza sono disponibili su gvision.it/security-advisories/ e gvision.it/security-policy/.
