La base de datos europea de vulnerabilidades y la notificacion NIS2: guia MSP

En mayo de 2025, ENISA puso en marcha discretamente la base de datos europea de vulnerabilidades. A partir de septiembre de 2026, alimentarla deja de ser opcional para un amplio grupo de proveedores. Si sus clientes desarrollan, revenden o integran productos ICT, ese plazo ya está en su hoja de ruta — lo sepan o no.
La mayoría de las conversaciones sobre NIS2 siguen girando en torno a los registros de riesgos y la notificación de incidentes. La maquinaria de divulgación coordinada de vulnerabilidades del Artículo 12 se ignora. Es un error. Es la parte de NIS2 que cambia discretamente cómo se enteran sus clientes de los fallos en los productos que operan, y cómo se notifican sus propios productos cuando algo falla.
Esta es una guía práctica para consultores, MSP y vCISO: qué es la EUVD, qué exige realmente la obligación de notificación de septiembre de 2026, y cómo operativizar la divulgación coordinada de vulnerabilidades para clientes que nunca lo han pensado.
La EUVD es la respuesta de la UE a un punto único de fallo
Durante dos décadas, el seguimiento mundial de vulnerabilidades pasó por un único programa financiado por EE. UU.: el sistema CVE. A principios de 2025, esa financiación tambaleó. El programa CVE estuvo a días de una interrupción antes de una prórroga de última hora. Europa lo notó.
La base de datos europea de vulnerabilidades de ENISA — la EUVD — es la respuesta estructural. Se lanzó en mayo de 2025 como mandato del Artículo 12 de NIS2. No es un reemplazo de CVE; ingiere registros CVE, avisos de proveedores y el catálogo Known Exploited Vulnerabilities de CISA, y añade contexto específico de la UE encima.
El resultado práctico son tres vistas de panel que sus clientes pueden usar hoy, de forma gratuita:
- Vulnerabilidades críticas — fallos de impacto severo.
- Vulnerabilidades explotadas — lo que se usa activamente en ataques en este momento.
- Vulnerabilidades coordinadas por la UE — fallos gestionados a través de los CSIRT europeos.
La vista «explotadas» es la más importante operativamente. Le dice a un cliente cuáles de los miles de CVE mensuales se están armando realmente — y esa es la diferencia entre un atraso de parches y un simulacro de incendio.
El Artículo 12 crea un canal de divulgación, no solo una base de datos
La base de datos es la parte visible. El mecanismo subyacente es la divulgación coordinada de vulnerabilidades, y cambia con quién hablan sus clientes cuando encuentran un fallo.
Cada Estado miembro ha designado a uno de sus CSIRT como coordinador nacional de CVD. Ese coordinador realiza un trabajo específico: identifica y contacta a las entidades afectadas por una vulnerabilidad notificada, apoya al investigador que la notificó, negocia un calendario de divulgación y gestiona los fallos que afectan a varias organizaciones a la vez. ENISA se sitúa por encima como secretaría del EU CSIRTs Network, coordinando transfronterizamente cuando un único fallo amenaza a entidades en varios países.
Para un consultor, la conclusión es concreta. Cuando el investigador de seguridad de un cliente — o un cliente, o un participante en un programa de bug bounty — notifica un fallo en el producto del cliente, ahora hay un canal definido y una contraparte definida. «Ya averiguaremos a quién avisar» ya no es una respuesta aceptable.
Cronología de Notificación de Incidentes NIS2
24hAlerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
Paso 172hNotificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
Paso 21moInforme Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.
Paso 324hAlerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
72hNotificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
1moInforme Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.
Septiembre de 2026: notificar vulnerabilidades activamente explotadas pasa a ser obligatorio
Esta es la fecha que hay que presentar a los clientes. A partir de septiembre de 2026, notificar vulnerabilidades activamente explotadas pasa a ser obligatorio para los fabricantes de productos ICT.
Esta obligación no recae por igual en cada entidad NIS2. Se dirige a los proveedores — las organizaciones que desarrollan y entregan software y hardware conectado. Pero el alcance es más amplio de lo que la mayoría de los clientes suponen, porque viaja por la cadena de suministro. Un MSP que desarrolla una integración a medida, un proveedor SaaS que entra en el ámbito como entidad importante, un fabricante que incorpora firmware en un dispositivo — todos ellos pueden cargar con un deber de notificación.
El requisito es estrecho pero afilado. No es «notificar cada CVE». Es: cuando sepa que una vulnerabilidad de su producto se está explotando activamente, la notifica. Esa distinción — activamente explotada, no meramente descubierta — convierte el feed de vulnerabilidades explotadas de la EUVD en la columna vertebral operativa de la obligación.
Para los clientes que entregan productos, tres preguntas necesitan respuesta antes de septiembre de 2026:
- ¿Quién dentro de la organización es responsable de decidir que una vulnerabilidad está «activamente explotada»?
- ¿Cuál es la vía de notificación al CSIRT correspondiente, y está probada?
- ¿Con qué rapidez puede pasar la organización del conocimiento interno a la notificación formal?
Si un cliente no puede responder a estas tres preguntas hoy, esa es la brecha que hay que cerrar.
Cómo la obligación de divulgación se propaga por la cadena de suministro
NIS2 se construyó deliberadamente para que las obligaciones no se detengan en la entidad incluida en el ámbito. Los requisitos de cadena de suministro del Artículo 21 trasladan las expectativas de seguridad a los proveedores, y la divulgación coordinada de vulnerabilidades viaja con ellas.
Un ejemplo práctico: una entidad esencial del sector energético opera un componente SCADA de un proveedor de tamaño medio. Ese proveedor puede no ser una entidad NIS2 por derecho propio. Pero las obligaciones del Artículo 21 del operador energético significan que el operador debe gestionar el riesgo de la cadena de suministro — lo que cada vez más significa exigir al proveedor que tenga un proceso CVD operativo y notifique los fallos explotados. La obligación se propaga por contrato, incluso donde no aplica por ley.
Escalada de sanciones NIS2 — Más allá de la multa
!Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer▼Sanciones no financieras1Órdenes de cumplimiento con plazos vinculantes
2Auditorías de seguridad obligatorias a tu cargo
3Divulgación pública de infracciones
4Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia▼Consecuencias operativas y personales1Suspensión de certificaciones o licencias de operación
2Prohibición temporal de funciones directivas para individuos
3Identificación pública de personas físicas responsables
DesencadenanteNo financieroOperativo / personal
Aquí es donde los consultores se ganan sus honorarios. El trabajo no es leerles la directiva a los clientes. Es mapear qué proveedores de un cliente cargan con expectativas de divulgación de vulnerabilidades, llevar esas expectativas a los contratos, y dar al cliente una forma de verificar que se cumplen.
Qué significa realmente «operativizar la CVD» para un MSP
Para los MSP que operan infraestructura en nombre de clientes, la EUVD cambia el flujo de trabajo diario de gestión de vulnerabilidades. Tres cambios concretos:
Monitorización. Añada el feed de vulnerabilidades explotadas de la EUVD a las fuentes que ya vigila. Lleva avisos y marcas de explotación específicos de la UE que un feed centrado en EE. UU. puede mostrar más tarde o no mostrar. Para clientes europeos, esto está más cerca de la propia visión del riesgo de los reguladores.
Recepción. Cada cliente que entrega un producto necesita una forma publicada de recibir informes de vulnerabilidades — un archivo security.txt, un correo de divulgación, un contacto definido. Es el control más barato y de mayor valor que puede implementar, y la mayoría de los clientes pyme no lo tienen.
Clasificación y notificación. Defina, por escrito, el umbral y la vía. Cuando un fallo notificado se confirme como activamente explotado, quién decide, quién notifica al CSIRT, y dentro de qué ventana. Documéntelo antes de necesitarlo.
Nada de esto es exótico. Es la misma disciplina que la respuesta a incidentes, aplicada a vulnerabilidades en lugar de a brechas. Los clientes que tendrán dificultades en 2026 son los que tratan la divulgación como una ocurrencia tardía.
Dónde encaja esto en una evaluación de preparación
La divulgación coordinada de vulnerabilidades no es un proyecto independiente. Es una porción medible de la postura general de cumplimiento NIS2 de un cliente, junto a la notificación de incidentes, los controles de cadena de suministro y las medidas del Artículo 21.
Si está realizando un análisis de brechas para un cliente este año, tres comprobaciones específicas de CVD pertenecen a la lista: ¿monitorizan la EUVD o un feed equivalente consciente de la UE, tienen un canal de recepción operativo para informes entrantes, y — para proveedores de productos — tienen una vía probada para notificar vulnerabilidades explotadas antes de septiembre de 2026?
Puede mapear estas brechas rápido. Nuestro quick scan de NIS2 señala exactamente dónde se queda corta la postura de gestión de vulnerabilidades y cadena de suministro de un cliente, para que pueda pasar directamente a la remediación en lugar de empezar desde cero.
El plazo es real y la base de datos ya existe
La EUVD no es una propuesta. Está en línea, es gratuita, y sus clientes pueden usarla mañana. La obligación de notificación de los fabricantes de septiembre de 2026 tampoco es una consulta — es una fecha.
Los consultores que se adelanten pasarán 2026 ayudando a los clientes a construir procesos de divulgación operativos. Los que no lo hagan lo pasarán explicando a los clientes por qué nadie les avisó. El trabajo es sencillo. La ventana no es ilimitada.
Para el panorama más amplio de cómo se conectan estas obligaciones, consulte nuestras guías sobre la seguridad de la cadena de suministro NIS2 y las diez medidas del Artículo 21.
