La Base de Datos Europea de Vulnerabilidades (EUVD) es una pieza clave para el cumplimiento en la Directiva NIS2, cuyo objetivo es mejorar la ciberseguridad en sectores considerados críticos, entre los que destacan las empresas energéticas, el transporte o el sector sanitario, con el foco puesto en los requisitos de la cadena de suministro y la gestión de vulnerabilidades. A continuación, una lista de preguntas y respuestas muy sencillas para comprender el funcionamiento de la EUVD, de dónde proceden sus datos, quién puede acceder a ellos y cuál es su alcance y sus implicaciones.
¿Qué funciones tiene la EUVD?
Se trata de una base de datos que facilita información agregada, confiable y procesable para las entidades que están obligadas a adaptarse a los requisitos de la Directiva NIS2. Entre esta información, destacan las medidas de mitigación y estado de explotación de las vulnerabilidades de ciberseguridad que afectan a los productos y servicios de tecnologías de la información y la comunicación (TIC).
Se trata de una base de datos que facilita información agregada, confiable y procesable para las entidades que están obligadas a adaptarse a los requisitos de la Directiva NIS2. Entre esta información, destacan las medidas de mitigación y estado de explotación de las vulnerabilidades de ciberseguridad que afectan a los productos y servicios de tecnologías de la información y la comunicación (TIC).
¿Por qué es importante la EUVD?
Esta base de datos que ha desarrollado Agencia de la Unión Europea para la Ciberseguridad (ENISA) reforzará la seguridad digital de Europa, contribuyendo al cumplimiento de las obligaciones que recoge la Directiva NIS2 y será un elemento de apoyo a la implementación de la Ley de Ciberresiliencia, garantizando que los productos con componentes digitales, como software y dispositivos inteligentes, estén protegidos contra las ciberamenazas.
Esta base de datos que ha desarrollado Agencia de la Unión Europea para la Ciberseguridad (ENISA) reforzará la seguridad digital de Europa, contribuyendo al cumplimiento de las obligaciones que recoge la Directiva NIS2 y será un elemento de apoyo a la implementación de la Ley de Ciberresiliencia, garantizando que los productos con componentes digitales, como software y dispositivos inteligentes, estén protegidos contra las ciberamenazas.
¿Qué tipo de datos contiene la EUVD?
En esta base de datos se incluye información sobre vulnerabilidades que procede de fuentes fiables, de manera que mejora el conocimiento de la situación actual y ayuda a proteger la infraestructura digital frente a posibles amenazas. Asimismo, ofrece herramientas para que las entidades del sector público y privado, incluidas las autoridades nacionales y los investigadores, puedan navegar con seguridad en el espacio digital.
En esta base de datos se incluye información sobre vulnerabilidades que procede de fuentes fiables, de manera que mejora el conocimiento de la situación actual y ayuda a proteger la infraestructura digital frente a posibles amenazas. Asimismo, ofrece herramientas para que las entidades del sector público y privado, incluidas las autoridades nacionales y los investigadores, puedan navegar con seguridad en el espacio digital.
¿Cuál es su objetivo?
La EUVD es una base de datos amplia, fiable e interconectada que tiene un enfoque holístico para cumplir con su objetivo, que es garantizar un alto nivel de interconexión de la información pública procedente de múltiples fuentes, como los equipos de respuesta a incidentes de seguridad (o CSIRT, por sus siglas en inglés), proveedores y bases de datos existentes. Además, permite un mejor análisis y facilita la correlación de vulnerabilidades mediante el software de código abierto Vulnerability-Lookup, que facilita la gestión de riesgos de ciberseguridad. De esta manera, mejora el conocimiento y limita la exposición a las amenazas.
La EUVD es una base de datos amplia, fiable e interconectada que tiene un enfoque holístico para cumplir con su objetivo, que es garantizar un alto nivel de interconexión de la información pública procedente de múltiples fuentes, como los equipos de respuesta a incidentes de seguridad (o CSIRT, por sus siglas en inglés), proveedores y bases de datos existentes. Además, permite un mejor análisis y facilita la correlación de vulnerabilidades mediante el software de código abierto Vulnerability-Lookup, que facilita la gestión de riesgos de ciberseguridad. De esta manera, mejora el conocimiento y limita la exposición a las amenazas.
¿Quién puede acceder a la EUVD?
Es de acceso público y permite consultar información sobre las vulnerabilidades que afectan a los productos y servicios de TI, enfocada especialmente a proveedores de redes y sistemas de información y en las organizaciones que utilizan sus servicios, así como a las autoridades nacionales competentes, empresas privadas e investigadores.
Es de acceso público y permite consultar información sobre las vulnerabilidades que afectan a los productos y servicios de TI, enfocada especialmente a proveedores de redes y sistemas de información y en las organizaciones que utilizan sus servicios, así como a las autoridades nacionales competentes, empresas privadas e investigadores.
La información se podrá ver en paneles con tres vistas: para vulnerabilidades críticas, para vulnerabilidades explotadas y para vulnerabilidades coordinadas por la UE, es decir, por los CSIRT europeos. La información sobre vulnerabilidades recopilada y referenciada proviene de bases de datos de código abierto y se agrega información adicional mediante avisos y alertas.
¿Cómo ha implementado ENISA esta base de datos?
Para cumplir con el requisito de la Directiva NIS2, ENISA abrió vías de colaboración con diferentes organizaciones de la UE e internacionales, incluyendo el Programa de Vulnerabilidades y Exposiciones Comunes (CVE, por sus siglas en inglés) del marco MITRE. Este marco es una base de conocimiento de acceso universal que se actualiza de manera continua para detectar, prevenir y combatir las ciberamenazas a partir del comportamiento de los ciberdelincuentes. ENISA está en contacto con MITRE para comprender el impacto y los próximos pasos tras el anuncio de financiación del CVE. Los datos CVE, proporcionados por los proveedores de tecnologías de la información que divulgan información sobre vulnerabilidades a través de avisos y otros contenidos relevantes, se transfieren automáticamente al EUVD, alimentando su base de datos y asegurando que esté actualizada.
Asimismo, cuenta con el apoyo y colaboración de los Estados miembros que establecieron políticas nacionales de Divulgación Coordinada de Vulnerabilidades (CVD) y que designaron a uno de sus CSIRT como coordinador, convirtiendo finalmente al EUVD en una fuente confiable para un mejor conocimiento de la situación en la UE.
¿Qué diferencia a la EUVD y la Plataforma Única de Notificación?
La Plataforma Única de Notificación (o SRP, por sus siglas en inglés), que se regula en la Ley de Ciberresiliencia, es diferente de la base de datos EUVD, que está regulada por la Directiva NIS2. La notificación de vulnerabilidades explotadas activamente será obligatoria para los fabricantes a partir de septiembre de 2026. Este proceso de notificación se aplicará a las vulnerabilidades que afecten a productos de hardware y software con componentes digitales. La herramienta que se va a utilizar para este fin será la Plataforma Única de Notificación o SRP.