ENISA, la agencia de ciberseguridad de la Unión Europea, ha comunicado el lanzamiento oficial de la Base de Datos Europea de Vulnerabilidades (EUVD por sus siglas), por mandato de la Directiva NIS2.
Este recurso tiene como objetivo proporcionar información agregada, fiable y práctica, incluyendo el estado de explotación y las medidas de mitigación sobre aquellas brechas de seguridad que atañen a productos de TI, TO e Internet de las Cosas.
La base de datos incluye varios apartados referentes a vulnerabilidades críticas, vulnerabilidades explotadas y vulnerabilidades coordinadas del CSIRT de la Unión Europea.
Además, también cuenta con distintos filtros para hacer consultas por puntuación CVSS, producto, proveedor, asignador, fecha de publicación, etc.
¿De dónde provienen los datos?
Este repositorio incluye información que procede de proveedores, equipos de respuesta a incidentes y otras bases de datos de vulnerabilidades, como el catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ) de CISA y el Programa CVE de MITRE.
“El acceso a información fiable y oportuna sobre las vulnerabilidades que afectan a los productos y servicios de las Tecnologías de la Información y la Comunicación (TIC) contribuye a una mejor gestión de los riesgos de ciberseguridad”, explica el organismo.
“Las fuentes de información pública sobre vulnerabilidades son una herramienta importante para los usuarios de estos servicios, las autoridades competentes y la comunidad de ciberseguridad en general. ENISA ha establecido una Base de Datos Europea de Vulnerabilidades (EUVD) donde las entidades, independientemente de si entran o no en el ámbito de aplicación de la Directiva NIS2, y sus proveedores de redes y sistemas de información, así como las autoridades competentes, en particular los CSIRT, pueden divulgar y registrar voluntariamente las vulnerabilidades conocidas públicamente para que los usuarios puedan tomar las medidas de mitigación adecuadas”; añade.
Para evitar la duplicación de esfuerzos ENISA colabora estrechamente con MITRE y con operadores europeos. Hay que aclarar que desde 2024 ENISA se considera una Autoridad de Numeración CVE (CNA) y puede asignar identificadores CVE a las vulnerabilidades.
El sitio se encuentra todavía en fase beta e irá añadiendo mejoras, estando abierto al feedback que reciba de sus usuarios. La base de datos es de acceso libre y gratuito.