Trasparenza e sicurezza lungo la filiera digitale nel documento della CISA con la collaborazione di ACN e le agenzie cyber di diversi Paesi.
La sinergia tra CISA e altre agenzie nazionali
Il 3 settembre 2025 l’Agenzia per la cybersicurezza degli USA (CISA) ha pubblicato il documento ‘A Shared Vision of Software Bills of Materials (SBOM) for Cybersecurity’. A questo, ha contribuito e aderito l’Agenzia per la Cybersicurezza Nazionale (ACN), insieme a numerose agenzie di cybersicurezza di diversi Paesi.
Il documento contiene una visione condivisa sull’importanza delle Software Bills of Materials (SBOM). Inoltre, evidenzia i vantaggi derivanti dal loro utilizzo in termini di cybersicurezza e trasparenza del software, lungo tutta la filiera.
“La sicurezza della supply chain è un elemento fondamentale per la protezione e la resilienza delle infrastrutture digitali. L’adozione di una visione condivisa sulle Software Bill of Materials (SBOM) è un risultato importante al quale ACN ha contribuito assieme ai partner internazionali. La cooperazione sulle SBOM persegue l’obiettivo di ridurre il rischio cyber, aumentando la trasparenza e la cybersicurezza dei software”. Così il Direttore dell’Agenzia nazionale per la cybersicurezza, Prefetto Bruno Frattasi.
Il lavoro è in continuità rispetto all’iniziativa Software Bills of Materials for Artificial Intelligence (SBOM for AI – PDF). A promuovere congiuntamente quest’ultima sono stati l’ACN e il BSI tedesco nell’ambito del Gruppo di lavoro G7 sulla Cybersicurezza.
Cosa è SBOM
Una SBOM è, in sintesi, un elenco formale e dettagliato di tutti i componenti che costituiscono un’applicazione software. Ad esempio librerie, dipendenze e moduli open source o di fornitori terzi utilizzati.
Può essere pensata come una “lista di ingredienti” per il software in un formato standardizzato e processabile da un calcolatore. La disponibilità di questo elenco porta diversi vantaggi in termini di cybersicurezza:
- semplifica significativamente la gestione delle vulnerabilità e riduce il tempo necessario alla loro identificazione e risoluzione.
- Supporta le organizzazioni, pubbliche e private, nella gestione del rischio derivante dalla supply chain, consentendo inoltre di indirizzare le attività di procurement secondo specifiche politiche.
- Migliora i processi di sviluppo software, in quanto consente agli sviluppatori di identificare la presenza di vulnerabilità note o componenti fuori supporto direttamente nel ciclo di sviluppo e durante la messa in esercizio.
- Aumenta la trasparenza, permettendo l’identificazione delle informazioni sulle licenze software dei diversi componenti e sulla loro gestione.
Oltre all’Italia, i Paesi che hanno aderito al documento sono Australia, Canada, Repubblica Ceca, Corea del Sud, Francia, Germania, Giappone, India, Nuova Zelanda, Olanda, Polonia, Singapore, Slovacchia.
Nonostante i diversi framework regolatori, Paesi da tutto il Mondo hanno evidenziato l’importanza delle SBOM quale strumento fondamentale per migliorare la trasparenza. E insieme, la resilienza e la postura di cybersicurezza lungo l’intera catena del valore del software. Il tutto, anche grazie a una migliore e più tempestiva gestione delle vulnerabilità.
Spetterà in ogni caso alle singole giurisdizioni declinare in termini normativi e tecnici i requisiti specifici. In questo senso, l’Unione Europea ha già previsto l’adozione delle SBOM con il Regolamento (UE) 2024/2847 – Cyber Resilience Act (articolo 13 del CRA).
