La agencia europea amplía su mandato dentro del programa global CVE, reforzando la coordinación, el reporte y el manejo de vulnerabilidades en los Estados miembros y consolidando su influencia en la arquitectura de ciberseguridad del bloque.
La Unión Europea sumó un importante hito en materia de ciberseguridad con la designación de la Agencia de Ciberseguridad de la UE (ENISA) como CVE Program-Root, un rol que la posiciona como punto de contacto principal dentro del sistema global Common Vulnerabilities and Exposures (CVE). Hasta ahora, ENISA operaba como Autoridad de Numeración de Vulnerabilidades (CNA), pero desde enero de 2024 comenzó a asignar CVE IDs y publicar registros para fallas reportadas o descubiertas por los CSIRTs europeos, una tarea que ahora se expande de forma significativa.
La agencia explicó que este cambio se enmarca en una estrategia más amplia destinada a robustecer la coordinación entre Estados miembros y mejorar los tiempos de respuesta frente a fallas de seguridad.
Con el estatus de Root, ENISA adquiere nuevas obligaciones, tales como identificar y apoyar a otras CNA bajo su mandato, supervisar procesos de asignación de CVE IDs, asegurar el cumplimiento de las directrices del programa global y perfeccionar los estándares destinados a garantizar que los registros publicados sean consistentes, oportunos y completos. Además, mantendrá su servicio de registro para respaldar el trabajo de los CSIRTs europeos, consolidando así la coordinación entre equipos de respuesta nacionales.
El programa CVE, creado en 1999, sirve como base para la identificación y difusión pública de vulnerabilidades. Este esquema estandarizado permite que organizaciones de todo el mundo compartan información de forma sincronizada, facilitando que investigadores, desarrolladores y equipos técnicos aborden fallas de seguridad de manera eficaz. Con la incorporación de ENISA como Root, Europa suma un nuevo actor de alto nivel a la lista global compuesta por MITRE, CISA, Google, Red Hat y JPCERT/CC.
Otro aspecto relevante será la relación entre ENISA y las CNA existentes en la región. La agencia confirmó que las organizaciones que deseen pasar voluntariamente a operar bajo su jerarquía podrán hacerlo mediante un proceso de transición colaborativo y gradual, garantizando continuidad operacional y evitando fricciones en los procesos de divulgación coordinada.
La designación también se vincula con iniciativas estratégicas en desarrollo dentro del bloque. ENISA opera actualmente la Base de Datos Europea de Vulnerabilidades (EUVD), establecida por la Directiva NIS2 y hoy plenamente operativa. Asimismo, lidera el desarrollo de la plataforma única de reporte contemplada en el Cyber Resilience Act (CRA), que exigirá a los fabricantes informar vulnerabilidades explotadas activamente a partir de septiembre de 2026.
Como secretaría del EU CSIRTs Network, ENISA continúa apoyando políticas de divulgación coordinada (CVD), especialmente cuando un incidente puede impactar a múltiples países. La agencia también publica lineamientos y estudios para reforzar la capacidad operativa de los Estados miembros en este ámbito.
La ampliación de su mandato dentro del CVE Program refuerza la arquitectura digital europea, mejora la coordinación transfronteriza y reduce la fragmentación que históricamente ha dificultado la gestión de vulnerabilidades en el continente. En conjunto, estas medidas apuntan a elevar la resiliencia de infraestructuras críticas, servicios públicos y empresas que dependen cada vez más de marcos de seguridad sólidos y homogéneos.