www.mil21.es
DATOS |

Ciberseguridad en Europa: Nueva base de datos de vulnerabilidades

Lanzan base de datos europea para mejorar la seguridad digital

Lanzan base de datos europea para mejorar la seguridad digital

Iniciativa europea para centralizar información sobre vulnerabilidades y fortalecer la protección digital en el sector tecnológico

miércoles 14 de mayo de 2025, 17:35h

Escucha la noticia

La Comisión Europea ha lanzado la Base de Datos de Vulnerabilidades de la UE, una herramienta esencial para mejorar la seguridad digital en Europa. Esta base de datos ofrece información confiable y procesable sobre vulnerabilidades en productos y servicios de Tecnologías de la Información y Comunicación (TIC), incluyendo medidas de mitigación y estado de explotación. Henna Virkkunen, Vicepresidenta Ejecutiva de la Comisión Europea, destacó que esta iniciativa refuerza la seguridad y resiliencia del continente. La base es accesible al público y está diseñada para ayudar a autoridades nacionales, empresas e investigadores a gestionar mejor los riesgos cibernéticos. Además, se prevé que mejore la coordinación entre diferentes actores del ecosistema digital europeo. Para más información, visita el enlace: https://biblioteca.cibeles.net/consult-the-european-vulnerability-database-to-enhance-your-digital-security/.

La nueva Base de Datos de Vulnerabilidades de la UE se presenta como una herramienta fundamental para mejorar la seguridad digital en Europa. Este recurso ofrece información agregada, confiable y aplicable sobre las vulnerabilidades cibernéticas que afectan a productos y servicios de Tecnologías de la Información y Comunicación (TIC), incluyendo medidas de mitigación y el estado de explotación.

Henna Virkkunen, Vicepresidenta Ejecutiva de la Comisión Europea para la Soberanía Tecnológica, Seguridad y Democracia, ha declarado: “La Base de Datos de Vulnerabilidades de la UE es un paso significativo hacia el refuerzo de la seguridad y resiliencia en Europa. Al reunir información sobre vulnerabilidades relevantes para el mercado europeo, estamos elevando los estándares de ciberseguridad, permitiendo que tanto el sector privado como el público protejan mejor nuestros espacios digitales compartidos con mayor eficiencia y autonomía.”

Un hito en la gestión de riesgos

Por su parte, Juhan Lepassaar, Director Ejecutivo de ENISA, afirmó: “ENISA logra un hito con la implementación del requisito de base de datos de vulnerabilidades establecido por la Directiva NIS 2. La UE ahora cuenta con una herramienta esencial diseñada para mejorar sustancialmente la gestión de vulnerabilidades y los riesgos asociados.” Esta base asegura transparencia a todos los usuarios afectados por productos y servicios TIC, convirtiéndose en una fuente eficiente para encontrar medidas de mitigación.

El objetivo principal del EUVD es garantizar un alto nivel de interconexión entre información pública proveniente de múltiples fuentes como CSIRTs, proveedores y bases de datos existentes. Para lograrlo, se está adoptando un enfoque holístico que permite un análisis más efectivo y facilita la correlación entre vulnerabilidades mediante el software Vulnerability-Lookup, lo que mejora la gestión del riesgo cibernético.

Accesibilidad y utilidad del EUVD

La base está disponible para el público en general, permitiendo consultar información relacionada con las vulnerabilidades que impactan productos y servicios informáticos. También está destinada a proveedores de sistemas e información, así como a entidades que utilizan sus servicios. La información documentada en el EUVD es útil también para autoridades nacionales competentes como la red EU CSIRTs, empresas privadas e investigadores.

El funcionamiento del EUVD se basa en mostrar información agregada a través de paneles interactivos. Estos paneles ofrecen tres vistas: para vulnerabilidades críticas, explotadas y coordinadas a nivel europeo. Las vulnerabilidades coordinadas incluyen aquellas gestionadas por CSIRTs europeos e involucran a los miembros de esta red.

Información detallada sobre vulnerabilidades

La información recopilada sobre vulnerabilidades proviene principalmente de bases de datos de código abierto. Además, se complementa con avisos y alertas emitidas por CSIRTs nacionales, directrices sobre mitigación publicadas por proveedores, así como marcas que indican vulnerabilidades explotadas. Los registros dentro del EUVD pueden incluir:

  • Descripción detallada de la vulnerabilidad;
  • Productos o servicios TIC afectados junto con versiones específicas;
  • Información sobre parches disponibles o guías proporcionadas por autoridades competentes.

El papel crucial de ENISA

Para cumplir con los requisitos establecidos por la Directiva NIS2, ENISA ha iniciado colaboraciones con diversas organizaciones tanto europeas como internacionales, incluyendo el Programa CVE de MITRE. A través del contacto continuo con MITRE, ENISA busca comprender el impacto y los próximos pasos tras el anuncio sobre financiamiento al Programa Común de Vulnerabilidades y Exposiciones (CVE).

Diferencias clave entre EUVD y CRA

A partir del próximo mes de septiembre 2026, se convertirá en obligatorio para los fabricantes notificar sobre las vulnerabilidades activamente explotadas. Este proceso aplicará a hardware y software con elementos digitales mediante la Plataforma Única de Notificación (SRP) establecida por el Reglamento sobre Ciberresiliencia (CRA), diferenciándose así del EUVD creado bajo la Directiva NIS2.

A futuro:

El año 2025 estará dedicado a seguir mejorando y desarrollando el EUVD junto a todos sus servicios relacionados. Para ello, ENISA recogerá retroalimentación valiosa.

Contexto adicional sobre divulgación responsable

Divulgación Coordinada de Vulnerabilidades (CVD)

CVD es un modelo que busca limitar las amenazas derivadas por explotación al asegurar que las vulnerabilidades sean divulgadas al público solo después que las partes responsables hayan tenido tiempo suficiente para desarrollar soluciones adecuadas.

Programa Común de Vulnerabilidades y Exposiciones (CVE)

Este programa tiene como misión identificar, definir y catalogar públicamente las vulnerabilidades cibernéticas. Cada registro CVE corresponde a una única vulnerabilidad catalogada por organizaciones asociadas globalmente.

Autoridades Numeradoras CVE (CNAs)

CNA son organizaciones encargadas del asignado regular identificadores CVE a vulnerabilidades específicas. ENISA ahora puede registrar identificadores CVE desde enero 2024 para aquellas descubiertas o reportadas por CSIRTs europeos.

Código Común para Asesorías en Seguridad (CSAF)

CSAF establece un estándar para asesorías en seguridad legibles por máquinas que simplifican procesos críticos para propietarios ante incidentes relacionados con ciberseguridad.

Preguntas sobre la noticia

¿Por qué una base de datos europea de vulnerabilidades?

El objetivo de la EUVD es asegurar un alto nivel de interconexión de información disponible públicamente proveniente de múltiples fuentes como CSIRTs, proveedores y bases de datos existentes. La plataforma se basa en un enfoque holístico para facilitar el análisis y la correlación de vulnerabilidades.

¿Para quién es la EUVD?

La base de datos es accesible al público en general para consultar información relacionada con vulnerabilidades que impactan productos y servicios de TI. También está dirigida a proveedores de sistemas de red y entidades que utilizan sus servicios, así como a autoridades nacionales competentes y empresas privadas.

¿Cómo funciona?

La información agregada se muestra a través de paneles. La EUVD ofrece tres vistas: para vulnerabilidades críticas, explotadas y coordinadas por la UE. La información proviene de bases de datos de código abierto y se complementa con directrices y alertas emitidas por CSIRTs nacionales.

¿Cuál es el papel de ENISA en el ecosistema de vulnerabilidades?

ENISA colabora con diferentes organizaciones para cumplir con los requisitos de la Directiva NIS2, facilitando la gestión y divulgación responsable de vulnerabilidades. Desde enero de 2024, ENISA puede registrar vulnerabilidades y apoyar su divulgación.

¿Cuál es la diferencia entre la EUVD y la Plataforma Única de Notificación CRA?

A partir de septiembre de 2026, los fabricantes deberán notificar activamente las vulnerabilidades explotadas. Esta notificación aplicará a productos hardware y software con elementos digitales, utilizando la Plataforma Única proporcionada por la Ley de Ciberresiliencia (CRA), que es diferente a la EUVD establecida por la Directiva NIS2.

¿Qué sigue?

El año 2025 estará dedicado a mejorar y desarrollar aún más la EUVD y todos los servicios relacionados, recopilando comentarios para su mejora continua.

Ciberseguridad
Base de Datos
Vulnerabilidades
Tecnología
Unión Europea
Transparencia
¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

Suscríbete a nuestro boletín de noticias

E-Mail :
Acepto las Condiciones de uso

+
0 comentarios

Otras Noticias

Planas resalta la importancia de España en el mercado agroalimentario japonés

Planas resalta la importancia de España en el mercado agroalimentario japonés

El ministro enfatiza el crecimiento y la calidad de los productos españoles en Japón, destacando su papel en el comercio internacional agroalimentario

Yolanda Díaz aboga por una Europa más social en Belgrado

Yolanda Díaz aboga por una Europa más social en Belgrado

Díaz destaca la importancia de los sindicatos para construir un futuro europeo que priorice los derechos sociales y el bienestar de los trabajadores

El BEI financia la modernización del Puerto de Málaga con 50 millones de euros

El BEI financia la modernización del Puerto de Málaga con 50 millones de euros

Inversión significativa para mejorar la infraestructura portuaria y promover un transporte más sostenible en el sur de Europa

EIT destina 63 millones de euros para impulsar la innovación en la educación superior

EIT destina 63 millones de euros para impulsar la innovación en la educación superior

Impulso a la educación superior: una inversión clave para fomentar la innovación y el desarrollo de talento en Europa
siguiente noticia noticia anterior