La EUVD
reforzará la seguridad digital de Europa ayudando a las entidades a cumplir los requisitos de la cadena de suministro y la gestión de vulnerabilidades de la Directiva NIS2 , que mejora la ciberseguridad en sectores críticos como la energía, el transporte y la salud. También apoyará la implementación de la Ley de Ciberresiliencia, garantizando que los productos con componentes digitales, como software y dispositivos inteligentes, estén protegidos contra las ciberamenazas.
La base de datos proporciona información agregada, confiable y procesable, como medidas de mitigación y estado de explotación de las vulnerabilidades de ciberseguridad que afectan a los productos y servicios de tecnologías de la información y la comunicación (TIC).
La EUVD recopila información sobre vulnerabilidades de fuentes fiables, lo que mejora el conocimiento de la situación y protege nuestra infraestructura digital de posibles amenazas. Ofrece herramientas esenciales para que las partes interesadas de los sectores público y privado, incluidas las autoridades nacionales y los investigadores, puedan navegar con seguridad en el espacio digital.
Esta iniciativa respalda el compromiso de la UE de fortalecer la soberanía tecnológica proporcionando recursos fiables para gestionar y mitigar los riesgos de ciberseguridad en los productos y servicios de tecnologías de la información y la comunicación.
¿Por qué una base de datos europea sobre vulnerabilidad?
El objetivo de EUVD es garantizar un alto nivel de interconexión de la información pública procedente de múltiples fuentes, como CSIRT, proveedores y bases de datos existentes. Para lograr este objetivo, la plataforma se basa en un enfoque holístico. Como base de datos interconectada, EUVD permite un mejor análisis y facilita la correlación de vulnerabilidades mediante el software de código abierto Vulnerability-Lookup, lo que facilita una mejor gestión de riesgos de ciberseguridad.
De este modo, la EUVD ofrece una fuente de información fiable, más transparente y más amplia y mejora aún más el conocimiento de la situación al tiempo que limita la exposición a las amenazas.
¿A quién va dirigido el EUVD?
La base de datos es de acceso público para consultar información relacionada con las vulnerabilidades que afectan a los productos y servicios de TI. También está dirigida a proveedores de redes y sistemas de información, así como a las entidades que utilizan sus servicios. La información documentada en la EUVD también está dirigida a las autoridades nacionales competentes, como la red de CSIRT de la UE , así como a empresas privadas e investigadores.
¿Cómo funciona?
La información agregada de la base de datos se muestra mediante paneles. El EUVD ofrece tres vistas de panel: para vulnerabilidades críticas, para vulnerabilidades explotadas y para vulnerabilidades coordinadas por la UE. Las vulnerabilidades coordinadas por la UE enumeran las vulnerabilidades coordinadas por los CSIRT europeos e incluyen a los miembros de la red de CSIRT de la UE.
La información sobre vulnerabilidades recopilada y referenciada proviene de bases de datos de código abierto. Se añade información adicional mediante avisos y alertas emitidos por los CSIRT nacionales, directrices de mitigación e implementación de parches publicadas por los proveedores, junto con las marcas de vulnerabilidades explotadas. Los registros de datos de EUVD pueden incluir:
- Una descripción de la vulnerabilidad;
- Productos o servicios TIC afectados y/o versiones afectadas, la gravedad de la vulnerabilidad y cómo podría ser explotada;
- Información sobre parches relevantes existentes disponibles o orientación proporcionada por las autoridades competentes, incluidos los CSIRT, y dirigida a los usuarios sobre cómo mitigar los riesgos.
El papel de ENISA en el ecosistema de vulnerabilidad
Para cumplir con el requisito de la Directiva NIS2, ENISA inició una cooperación con diferentes organizaciones de la UE e internacionales, incluyendo el Programa CVE de MITRE . ENISA está en contacto con MITRE para comprender el impacto y los próximos pasos tras el anuncio de financiación del Programa de Vulnerabilidades y Exposiciones Comunes. Los datos CVE, los datos proporcionados por los proveedores de TIC que divulgan información sobre vulnerabilidades a través de avisos, e información relevante como el Catálogo de Vulnerabilidades Explotadas Conocidas de CISA se transfieren automáticamente al EUVD. Esto también se logrará con el apoyo de los Estados miembros que establecieron políticas nacionales de Divulgación Coordinada de Vulnerabilidades (CVD) y que designaron a uno de sus CSIRT como coordinador, convirtiendo finalmente al EUVD en una fuente confiable para un mejor conocimiento de la situación en la UE.
Como autoridad de numeración CVE (CNA) , ENISA puede registrar vulnerabilidades y respaldar la divulgación de vulnerabilidades desde enero de 2024, en relación con:
- Vulnerabilidades en productos de TI descubiertas por los propios CSIRT de la UE
- Vulnerabilidades notificadas a los CSIRT de la UE para su divulgación coordinada, siempre que no estén dentro del ámbito de otra autoridad de numeración CVE.
¿Cuál es la diferencia entre la EUVD y la Plataforma Única de Informes de la CRA?
La notificación de vulnerabilidades explotadas activamente será obligatoria para los fabricantes a partir de septiembre de 2026. Este proceso de notificación se aplicará a las vulnerabilidades que afecten a productos de hardware y software con componentes digitales. La Plataforma Única de Notificación (SRP), prevista en la Ley de Ciberresiliencia (CRA), será la herramienta a utilizar para tal fin. Cabe destacar que la SRP es, por lo tanto, diferente de la EUVD establecida por la Directiva NIS2.
Un poco de contexto a la EUVD
- Divulgación Coordinada de Vulnerabilidades (CVD)
La CVD puede describirse como un modelo de divulgación de vulnerabilidades que intenta limitar la amenaza de explotación de vulnerabilidades, al garantizar que las vulnerabilidades se divulguen al público después de que a las partes responsables se les haya otorgado tiempo adecuado para desarrollar una solución, un parche o brindar medidas de mitigación.
- Programa de Vulnerabilidades y Exposiciones Comunes (CVE)
La misión del programa CVE es identificar, definir y catalogar las vulnerabilidades de ciberseguridad divulgadas públicamente. Existe un registro CVE para cada vulnerabilidad del catálogo. Las vulnerabilidades son descubiertas, asignadas y publicadas por organizaciones de todo el mundo asociadas con el programa CVE. Los socios publican registros CVE para comunicar descripciones coherentes de las vulnerabilidades. Los profesionales de las tecnologías de la información y la ciberseguridad utilizan los registros CVE para garantizar que abordan el mismo problema y para coordinar sus esfuerzos para priorizar y abordar las vulnerabilidades.
- Autoridades de numeración CVE (CNA)
Las CNA son organizaciones responsables de la asignación periódica de identificadores CVE a las vulnerabilidades, así como de la creación y publicación de información sobre ellas en el registro CVE correspondiente. Cada CNA tiene un ámbito de responsabilidad específico para la identificación y publicación de vulnerabilidades. ENISA está ahora autorizada a asignar identificadores CVE (ID CVE) y publicar registros CVE para las vulnerabilidades descubiertas o notificadas a los CSIRT de la UE, de acuerdo con sus funciones de coordinación.
- Marco Común de Asesoramiento en Seguridad (CSAF)
CSAF es un estándar para avisos de seguridad legibles por máquina. Este formato estandarizado para la ingesta de información de avisos de vulnerabilidades simplifica los procesos de triaje y remediación para los propietarios de activos. Al publicar avisos de seguridad con CSAF, los proveedores reducirán el tiempo que necesitan las empresas para comprender el impacto organizacional e impulsar una remediación oportuna.
