Conforme a lo dispuesto en la Directiva NIS2, la base de datos europea de vulnerabilidades (European Union Vulnerability Database, EUVD), desarrollada por la Agencia de la Unión Europea para la Ciberseguridad (Enisa), es un servicio de acceso público que proporciona información agregada, confiable y procesable sobre ciberseguridad de productos y servicios TIC.
El objetivo del servicio EUVD, cuyo mantenimiento correrá a cargo de Enisa, es garantizar un alto nivel de interconexión de la información pública procedente de múltiples fuentes, como equipos de respuesta ante emergencias informáticas (CSIRT), proveedores y bases de datos existentes.
Para ello, se fundamenta en un enfoque holístico e interconectado, permitiendo un mejor análisis y la correlación de vulnerabilidades mediante el software de código abierto Vulnerability-Lookup. De este modo, limita la exposición a las amenazas, facilita la gestión de riesgos de ciberseguridad, mejora la transparencia y sirve de fuente de información fiable para identificar medidas de mitigación.
Esta base de datos europea se dirige tanto a proveedores de redes y sistemas de información, como a las entidades que utilizan sus servicios, investigadores, empresas privadas y autoridades nacionales.
Información y resolución de vulnerabilidades
La información agregada del servicio EUVD se muestra mediante tres paneles: vulnerabilidades críticas, vulnerabilidades explotadas y vulnerabilidades coordinadas por los CSIRT de la Unión Europea.
Esta información proviene de bases de datos de código abierto. Se añade información adicional mediante avisos y alertas emitidos por los CSIRT nacionales, directrices de mitigación e implementación de parches publicadas por los proveedores, junto con las marcas de vulnerabilidades explotadas.
Los registros de datos pueden incluir una descripción de la vulnerabilidad; productos o servicios TIC y/o versiones afectadas, la gravedad de la vulnerabilidad y cómo podría ser explotada; e información sobre parches existentes u orientación sobre cómo mitigar los riesgos proporcionada por las autoridades competentes, incluidos los CSIRT, dirigida a los usuarios.
A lo largo de este año 2025, Enisa continuará mejorando y desarrollando la base de datos europea de vulnerabilidades y todos los servicios relacionados.