Skip to content
CVE

CVE em Crise: ENISA Lança Novo Banco de Vulnerabilidades

O CVE (Common Vulnerabilities and Exposures) é um catálogo amplamente reconhecido que lista publicamente falhas e vulnerabilidades de segurança cibernética. Ele foi criado e é mantido pela MITRE Corporation, nos Estados Unidos. Cada vulnerabilidade recebe um identificador exclusivo (ID CVE), o que facilita a comunicação, o gerenciamento e a colaboração entre organizações, ferramentas e bancos de dados de segurança.

Por meio dessa padronização, o CVE promove a interoperabilidade entre sistemas e amplia a cobertura de segurança, sendo peça-chave no ecossistema global de cibersegurança.

No entanto, em abril de 2025, o futuro do CVE passou a ser incerto. O governo dos Estados Unidos, diante de cortes orçamentários, anunciou que o financiamento do banco de dados será mantido por apenas mais 11 meses, gerando preocupação na comunidade internacional. A possível descontinuidade do programa alarmou especialistas e organizações, que veem no CVE uma infraestrutura crítica para o combate a falhas e ataques cibernéticos.

União Europeia Reage com Criação do EUVD

Diante desse cenário, a ENISA (Agência da União Europeia para a Cibersegurança) anunciou a criação do seu próprio banco de dados de vulnerabilidades: o EUVD (European Vulnerability Database).

A iniciativa, prevista na Diretiva NIS2, tem como objetivo oferecer informações agregadas, confiáveis e acionáveis sobre vulnerabilidades que afetam produtos e serviços de Tecnologia da Informação e Comunicação (TIC) na Europa. Entre os dados disponibilizados estão o status de exploração das falhas e as medidas recomendadas de mitigação.

Com isso, a União Europeia fortalece sua independência estratégica e sua capacidade de resposta a incidentes de segurança, garantindo uma fonte própria e confiável para a comunidade técnica, órgãos reguladores e empresas.

O Papel da ENISA como CNA

Desde janeiro de 2024, a ENISA também atua como uma CNA (CVE Numbering Authority). Isso significa que a agência está autorizada a registrar vulnerabilidades e apoiar sua divulgação coordenada nos seguintes casos:

  • Vulnerabilidades descobertas pelos próprios CSIRTs (Computer Security Incident Response Teams) da UE;

  • Vulnerabilidades relatadas aos CSIRTs da UE que não estejam sob a responsabilidade de outra CNA.

Leia também:  COVID-19 causa aumento dos ciberataques

A agência mantém diálogo com a MITRE para entender os desdobramentos do financiamento do CVE e busca garantir continuidade na colaboração internacional, ao mesmo tempo em que fortalece sua atuação com apoio dos Estados-Membros da União Europeia.

Cada país europeu poderá estabelecer políticas nacionais de Divulgação Coordenada de Vulnerabilidades (CVD) e nomear um CSIRT como coordenador. Isso consolida o EUVD como uma fonte confiável para aumentar a conscientização situacional em toda a União Europeia.

Por que Isso é Importante?

O programa CVE tem como missão identificar, definir e catalogar vulnerabilidades publicamente divulgadas, sendo essencial para profissionais de segurança coordenarem ações e priorizarem correções. A perda dessa referência comum poderia comprometer o entendimento global sobre riscos cibernéticos.

A criação do EUVD pela ENISA surge como uma alternativa estratégica e necessária, garantindo que a Europa mantenha sua capacidade de resposta, ainda que o cenário global passe por instabilidade.

Automatize a Correção de Vulnerabilidades com Syxsense

Com a crescente preocupação sobre bancos de vulnerabilidades e a necessidade de respostas ágeis, soluções como o Syxsense ganham ainda mais relevância. A plataforma permite detecção, correção e automação de patches em tempo real, reduzindo a janela de exposição a falhas conhecidas como as listadas no CVE ou no novo EUVD. Com o Syxsense, sua equipe de TI ganha eficiência e controle total sobre os ativos vulneráveis, antes que se tornem porta de entrada para ataques.

Syxsense

AIQON, The Definitive CyberSecurity

Comente o que achou do artigo