Con el objetivo de mejorar la gestión del riesgo cibernético en el entorno digital europeo, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha lanzado oficialmente la European Vulnerability Database (EUVD), una plataforma que centraliza información fiable y procesable sobre vulnerabilidades en productos y servicios digitales.
Esta iniciativa se enmarca dentro de los requisitos de la Directiva NIS2 y representa un paso estratégico hacia una mayor soberanía tecnológica y resiliencia frente a amenazas digitales.
La EUVD se propone como un repositorio público y centralizado que integra datos procedentes de múltiples fuentes, como los Equipos de Respuesta ante Incidentes de Seguridad Informática (CSIRTs), fabricantes de productos TIC y otras bases de datos existentes. Esta visión holística y conectada permite correlacionar mejor los datos de vulnerabilidad, facilitando análisis más profundos y medidas de mitigación más eficaces. La plataforma está diseñada para ofrecer a los actores del ecosistema digital —desde organismos nacionales hasta proveedores tecnológicos— una herramienta sólida para la toma de decisiones informadas.
“La base de datos de vulnerabilidades de la UE es un gran paso hacia el refuerzo de la seguridad y la resiliencia de Europa”, asegura Henna Virkkunen, vicepresidenta ejecutiva de la Comisión Europea para la soberanía tecnológica, la seguridad y la democracia.
Transparencia y utilidad para múltiples actores
La base de datos, de acceso público, presenta paneles interactivos que organizan la información en tres categorías principales: vulnerabilidades críticas, vulnerabilidades activamente explotadas y vulnerabilidades coordinadas a nivel de la UE. Esta organización permite a los usuarios —incluidos investigadores, empresas tecnológicas y autoridades públicas— consultar rápidamente información relevante, desde la naturaleza del fallo hasta su estado de explotación y las medidas de mitigación disponibles.
Cada entrada en la EUVD puede incluir detalles técnicos, productos o versiones afectadas, gravedad, guías de actualización o parches emitidos por CSIRTs, y referencias a catálogos como el de vulnerabilidades conocidas explotadas de la CISA. Asimismo, incorpora datos de fuentes como el programa de CVE de MITRE y avisos de fabricantes TIC, todo ello con el respaldo de políticas nacionales de divulgación coordinada de vulnerabilidades (CVD).
La EUVD no debe confundirse con la Single Reporting Platform (SRP), herramienta prevista por la Ley de Ciberresiliencia europea (CRA) que será de uso obligatorio para fabricantes a partir de septiembre de 2026
Aunque complementaria, la EUVD no debe confundirse con la Single Reporting Platform (SRP), herramienta prevista por la Ley de Ciberresiliencia europea (CRA) que será de uso obligatorio para fabricantes a partir de septiembre de 2026 para notificar vulnerabilidades activamente explotadas en productos con elementos digitales. El CRA, en vigor desde diciembre de 2024, establece que los productos TIC deberán llevar el marcado CE como garantía de cumplimiento con los requisitos de ciberseguridad. Las obligaciones principales de este reglamento serán aplicables a partir del 11 de diciembre de 2027.
Por su parte, la NIS2 —normativa que da origen a la EUVD— refuerza el papel de ENISA en la gobernanza de la ciberseguridad europea. La agencia actúa como secretaría de la red de CSIRTs de la UE y ha sido reconocida como entidad CNA (CVE Numbering Authority) para vulnerabilidades identificadas por los CSIRTs europeos. Como tal, mantiene un registro de vulnerabilidades y coordina la respuesta a aquellas que puedan afectar a múltiples Estados miembros.
“El cumplimiento del mandato de la Directiva NIS2 con la implementación de esta base de datos marca un hito”, señala Juhan Lepassaar, director ejecutivo de ENISA. “La UE cuenta ahora con una herramienta esencial para mejorar la gestión de vulnerabilidades y los riesgos asociados, asegurando la transparencia para todos los usuarios de los productos TIC afectados”, explica Lepassaar.
Desarrollo continuo y visión a largo plazo
ENISA ha anunciado que durante 2025 se centrará en el perfeccionamiento de la plataforma y sus servicios asociados. Este proceso incluirá la incorporación de comentarios de las partes interesadas y la adaptación a la evolución tecnológica y del panorama de amenazas. En paralelo, la agencia continuará publicando guías, análisis y marcos de buenas prácticas para apoyar a los Estados miembros, en consonancia con otras legislaciones clave como el Reglamento de Ciberseguridad de 2019.
La publicación en marzo del informe NIS360 también refuerza este enfoque estratégico, al evaluar la madurez y criticidad de los sectores cubiertos por la NIS2. Este análisis transversal aporta una base técnica sólida para orientar políticas públicas y estrategias sectoriales de ciberseguridad.
Si (
No(
