ENISA se convierte en Autoridad Raíz de Identificación de Vulnerabilidades, ampliando su papel en la gestión de ciberseguridad en la UE y mejorando la coordinación de vulnerabilidades a nivel europeo.
La Agencia Europea de Ciberseguridad, conocida como ENISA, ha dado un paso significativo en la gestión de vulnerabilidades al convertirse en una Autoridad de Numeración de Vulnerabilidades Comunes (CNA por sus siglas en inglés). Desde enero de 2024, ENISA tiene la autorización para asignar Identificadores de Vulnerabilidad Común (CVE IDs) y publicar Registros CVE para las vulnerabilidades que sean descubiertas o reportadas a los Equipos de Respuesta ante Incidentes de Seguridad Informática (CSIRTs) de la UE. Con este nuevo estatus como Root CNA, ENISA está ampliando su papel dentro del programa CVE.
Juhan Lepassaar, Director Ejecutivo de ENISA, afirmó: “Al convertirnos en Root, ENISA da un paso adelante para mejorar el desarrollo y la capacidad de la Agencia en el apoyo a la gestión de vulnerabilidades en la UE. Con estas nuevas responsabilidades, ENISA extiende su apoyo a la red CSIRTs y a todos sus socios para mejorar aún más la capacidad de la UE para gestionar y coordinar las vulnerabilidades cibernéticas, fortaleciendo así la seguridad digital en toda la Unión”.
Este nuevo rol se inscribe dentro del esfuerzo de la Unión Europea por fortalecer la coordinación y gestión de vulnerabilidades. Complementa las actividades de Divulgación Coordinada de Vulnerabilidades llevadas a cabo por los Estados miembros, además del establecimiento y operación de una base de datos europea sobre vulnerabilidades. También se relaciona con las nuevas tareas que ENISA debe realizar bajo el Reglamento sobre Ciberresiliencia, que incluye proporcionar orientación a los fabricantes sobre el cumplimiento normativo y ayudar en la implementación del nuevo marco de ciberseguridad.
Las nuevas responsabilidades otorgadas a ENISA refuerzan la capacidad del continente europeo para asegurar un manejo consistente y oportuno de las vulnerabilidades a través de fronteras. El Programa CVE, establecido en 1999, proporciona un esquema para identificar, definir y catalogar públicamente las vulnerabilidades divulgadas, creando así una lista estandarizada. Las organizaciones asociadas al programa publican registros CVE que permiten a desarrolladores y profesionales en ciberseguridad identificar rápidamente problemas y abordar fallos de seguridad.
Convertirse en Root implica que ENISA asumirá funciones adicionales dentro del Programa CVE, incluyendo la identificación y soporte a otras CNAs. Además, se asegurará que se sigan las directrices y procesos del programa CVE, desarrollando procedimientos y estándares para gestionar los identificadores CVE. Al mantener su servicio de registro, ENISA apoyará a los CSIRTs europeos en su labor coordinadora.
Como parte del Consejo del Programa CVE, ENISA colaborará con otros Roots internacionales como MITRE, CISA o Google. Dentro de Europa también están involucrados INCIBE Cert y el Grupo Thales. Para aquellas CNAs existentes interesadas en trasladarse bajo el mandato de ENISA, se fomentará una transición colaborativa y voluntaria.
La inclusión como Root marca una expansión significativa del papel que desempeña ENISA en la gestión coordinada de vulnerabilidades. Esto no solo mejora su capacidad para identificar y remediar fallos críticos sino que también promueve una mayor transparencia y confianza entre los CSIRTs, industrias y autoridades públicas. Este compromiso es fundamental para garantizar un ecosistema digital seguro e innovador para ciudadanos y empresas dentro de la UE.
Entre los esfuerzos adicionales que realiza ENISA se encuentra el desarrollo de la Base Europea de Vulnerabilidades, operativa gracias a la Directiva NIS2; así como el diseño de una Plataforma Única para Reportes bajo el Reglamento sobre Ciberresiliencia, cuyo objetivo es notificar sobre vulnerabilidades activamente explotadas antes del 2026.
A medida que avanza esta transición hacia un mejor manejo de las vulnerabilidades, ENISA sigue trabajando junto con sus socios globales para reducir fragmentaciones y acelerar divulgaciones responsables. La Agencia está comprometida con construir un entorno digital más seguro mediante el fortalecimiento continuo del marco normativo europeo relacionado con ciberseguridad.
Con estos avances significativos, ENISA reafirma su papel crucial en el fortalecimiento del ecosistema digital europeo frente a los desafíos cibernéticos actuales y futuros.