Durante 24 horas, em abril de 2025, o sistema que cataloga as falhas de segurança do mundo inteiro esteve a horas de deixar de funcionar. O contrato federal que financiava o programa CVE (Common Vulnerabilities and Exposures), gerido pela MITRE, estava prestes a expirar sem renovação. A reação foi imediata e global. Pouco mais de um ano depois, a Europa tem a sua própria resposta operacional: a EUVD, a base de dados de vulnerabilidades da UE gerida pela ENISA. Para Portugal e para os milhares de organizações abrangidas pela diretiva NIS2, esta mudança altera a forma como as falhas críticas são descobertas, catalogadas e corrigidas.
Esta análise reconstrói o quase-colapso do programa CVE, explica o que a EUVD faz de diferente, e mede o impacto concreto para as empresas portuguesas num ano em que o risco cibernético voltou a ser classificado como a primeira ameaça mundial. Os números são duros: as equipas de ataque já chegam à exfiltração de dados em 72 minutos, e o pedido de resgate mediano subiu para 1,5 milhões de dólares.
O quase-colapso do programa CVE em abril de 2025
O programa CVE existe desde 1999 e funciona como o dicionário comum da cibersegurança. Cada falha recebe um identificador único (por exemplo, CVE-2025-12345) que permite a fornecedores, investigadores e equipas de defesa falarem da mesma vulnerabilidade sem ambiguidade. Sem este sistema, cada fabricante usaria a sua própria nomenclatura e a coordenação global tornar-se-ia caótica.
A 15 de abril de 2025, uma carta interna da MITRE veio a público. O vice-presidente Yosry Barsoum avisava que o financiamento estava a terminar. Nas suas palavras: “a 16 de abril de 2025, o atual mecanismo contratual para a MITRE desenvolver, operar e modernizar o programa CVE vai expirar.” A MITRE confirmou que o sítio do CVE permaneceria online, mas que nenhum novo CVE seria adicionado após essa data. O Departamento de Segurança Interna dos EUA (DHS), através da CISA, não tinha renovado o contrato a tempo.
A comunidade de segurança reagiu com alarme. Um sistema usado por todos os fornecedores de software do planeta, de empresas portuguesas a gigantes norte-americanos, estava dependente de um único contrato governamental. Horas depois do prazo, a CISA executou o período de opção do contrato. Em comunicado, a agência declarou: “executámos o período de opção do contrato para garantir que não haverá interrupção nos serviços críticos do CVE.” O financiamento foi restaurado por um período de 11 meses, uma solução de recurso, não uma garantia permanente.
No mesmo dia, um grupo de membros do conselho do programa anunciou a criação da CVE Foundation, uma entidade sem fins lucrativos destinada a dar ao programa uma estrutura de governação e financiamento independente do orçamento federal norte-americano. O episódio expôs uma fragilidade estrutural: a infraestrutura crítica da cibersegurança mundial assentava num único ponto de falha financeiro.
| Data | Acontecimento |
|---|---|
| 1999 | Lançamento do programa CVE pela MITRE |
| Janeiro 2024 | ENISA torna-se uma CNA (autoridade de numeração CVE) |
| 15 abril 2025 | Carta de Yosry Barsoum alerta para o fim do financiamento |
| 16 abril 2025 | Prazo de expiração do contrato MITRE/DHS |
| 16 abril 2025 | CISA ativa período de opção, financiamento por 11 meses |
| 16 abril 2025 | Anúncio da criação da CVE Foundation |
| 13 maio 2025 | ENISA lança oficialmente a EUVD |
A resposta europeia: a ENISA lança a EUVD
A 13 de maio de 2025, a Agência da União Europeia para a Cibersegurança (ENISA) lançou oficialmente a EUVD, a base de dados de vulnerabilidades da UE, acessível em euvd.enisa.europa.eu. A Comissão Europeia anunciou o lançamento na mesma data. O calendário não foi coincidência: a crise do CVE acelerou a urgência política de a Europa ter um repositório próprio, embora o projeto já estivesse mandatado desde antes.
Juhan Lepassaar, diretor executivo da ENISA, enquadrou o lançamento como o cumprimento de uma obrigação legal. Nas suas palavras: “a ENISA atinge um marco com a implementação do requisito da base de dados de vulnerabilidades da Diretiva NIS2. A UE está agora equipada com uma ferramenta essencial concebida para melhorar substancialmente a gestão de vulnerabilidades e dos riscos a elas associados.” Lepassaar acrescentou que “a base de dados garante transparência a todos os utilizadores dos produtos e serviços TIC afetados e funcionará como uma fonte eficiente de informação para encontrar medidas de mitigação.”
A EUVD agrega informação de múltiplas fontes: registos CVE, avisos dos fornecedores, o catálogo de vulnerabilidades ativamente exploradas e contribuições dos CSIRT nacionais. Em vez de substituir o CVE, a base de dados europeia consolida e enriquece, oferecendo um ponto de referência sob jurisdição europeia. A ENISA já era uma CNA (CVE Numbering Authority) desde janeiro de 2024, o que significa que pode atribuir identificadores diretamente, reforçando a sua posição na cadeia global de divulgação.
A diferença geopolítica é relevante. Até maio de 2025, a Europa dependia inteiramente de infraestrutura norte-americana (o CVE da MITRE e a NVD do NIST) para a sua inteligência de vulnerabilidades. A crise mostrou que essa dependência era um risco soberano. A EUVD dá à UE controlo operacional sobre uma função crítica, alinhada com a estratégia mais ampla de autonomia digital do bloco.
EUVD vs CVE e NVD: o que muda na prática
Para uma equipa de segurança em Lisboa ou no Porto, a pergunta prática é simples: que base de dados consultar? A resposta é que as três coexistem e se complementam. A tabela seguinte compara as principais plataformas de inteligência de vulnerabilidades disponíveis em 2026.
| Plataforma | Operador | Jurisdição | Função principal |
|---|---|---|---|
| CVE | MITRE / CVE Foundation | EUA | Atribuição de identificadores únicos |
| NVD | NIST | EUA | Enriquecimento (CVSS, CPE, referências) |
| EUVD | ENISA | UE | Agregação e curadoria sob a NIS2 |
| KEV | CISA | EUA | Vulnerabilidades ativamente exploradas |
| CSIRT nacionais | Estados-Membros | Nacional | Coordenação e alerta local |
O contexto que tornou a EUVD necessária é o volume. Em 2024 foram publicadas mais de 40.000 vulnerabilidades CVE, um recorde, e o ritmo acelerou em 2025. A NVD do NIST, que historicamente enriquecia cada CVE com pontuação CVSS e metadados, acumulou um atraso significativo no processamento ao longo de 2024, deixando milhares de registos sem análise completa. Esse atraso criou um vácuo que a base de dados europeia ajuda a colmatar, oferecendo informação acionável mesmo quando a fonte original ainda não foi totalmente enriquecida.
Na prática, uma organização portuguesa madura deve consultar várias fontes em paralelo: a EUVD para uma perspetiva europeia e curada, o catálogo KEV para priorizar o que está a ser explorado neste momento (mais de mil vulnerabilidades confirmadas como exploradas ativamente), e os avisos do CERT.PT para o contexto nacional. A redundância deixou de ser um luxo e passou a ser uma necessidade de resiliência.
Porque é que isto importa para Portugal
Portugal não opera num vácuo. O Centro Nacional de Cibersegurança (CNCS), através do CERT.PT, é a entidade que coordena a resposta a incidentes e a divulgação de vulnerabilidades a nível nacional. Quando uma falha crítica surge num produto amplamente usado, é o CNCS que emite os alertas para a administração pública, operadores de infraestruturas críticas e o tecido empresarial. A existência da EUVD dá ao CNCS uma fonte europeia oficial, em vez de depender exclusivamente de bases de dados sob jurisdição estrangeira.
O enquadramento legal vem da diretiva NIS2, que alargou drasticamente o número de entidades obrigadas a cumprir requisitos de cibersegurança. Setores como energia, saúde, transportes, banca, infraestrutura digital, administração pública e fabrico passaram a estar sob obrigações reforçadas de gestão de risco e notificação de incidentes. Para uma empresa portuguesa abrangida, ignorar uma vulnerabilidade catalogada na EUVD pode passar de negligência técnica a incumprimento regulatório.
Como vários Estados-Membros, Portugal teve de transpor a NIS2 para a ordem jurídica interna, um processo que se arrastou para além do prazo europeu de outubro de 2024, à semelhança da maioria dos países do bloco. Independentemente do calendário legislativo, a diretiva já molda as expectativas de conformidade. As organizações que tratam a gestão de vulnerabilidades como um processo contínuo, e não como uma reação a crises, estão melhor posicionadas para o regime que se consolida em 2026.
A dependência portuguesa de software e serviços estrangeiros torna o tema ainda mais sensível. A esmagadora maioria das vulnerabilidades que afetam empresas em Portugal está em produtos desenvolvidos fora do país. Ter uma fonte europeia de inteligência reduz o tempo entre a divulgação de uma falha e a chegada do alerta a quem a precisa de corrigir em território nacional.
A NIS2 e a obrigação legal por trás da base de dados
A EUVD não nasceu de uma reação improvisada à crise do CVE. Foi um requisito explícito da diretiva NIS2, o quadro legislativo que substitui a NIS original e que impõe à ENISA a manutenção de uma base de dados europeia de vulnerabilidades. A crise de abril de 2025 apenas acelerou e validou politicamente um projeto que já estava mandatado por lei.
A lógica regulatória é coerente. A NIS2 exige que as entidades abrangidas façam gestão de risco baseada em informação fiável. Sem uma base de dados oficial e curada, esse requisito ficaria dependente de fontes externas sobre as quais a UE não tem controlo. A EUVD fecha esse círculo: a Europa impõe a obrigação e, simultaneamente, fornece a ferramenta para a cumprir.
Há também uma dimensão de divulgação coordenada. A diretiva incentiva a divulgação responsável de vulnerabilidades, em que investigadores reportam falhas aos fornecedores e às autoridades antes de as tornarem públicas. A EUVD serve de ponto de receção e coordenação europeu, articulando-se com os CSIRT nacionais como o CERT.PT português. Esta arquitetura distribuída, com um nó central europeu e nós nacionais, é o modelo que a UE adotou para equilibrar soberania e cooperação.
Os números do risco: o relatório Unit 42 de 2026
A urgência em torno da gestão de vulnerabilidades fica clara nos dados de resposta a incidentes. O relatório global de resposta a incidentes da Unit 42 (Palo Alto Networks) de 2026 traça um retrato preocupante da velocidade dos atacantes em 2025. A exploração de vulnerabilidades empatou com o phishing como vetor de acesso inicial mais comum, cada um responsável por 22% dos incidentes analisados.
O dado mais alarmante é a velocidade. No quartil mais rápido das intrusões, os atacantes chegaram à exfiltração de dados em apenas 72 minutos em 2025, contra 285 minutos em 2024. A percentagem de incidentes em que os dados saíram da organização em menos de uma hora subiu de 19% para 22%. Quando o tempo entre a divulgação de uma falha e a sua exploração se mede em horas, ter uma fonte de inteligência rápida como a EUVD deixa de ser opcional.
| Métrica | 2024 | 2025 | Variação |
|---|---|---|---|
| Exfiltração mais rápida (quartil) | 285 min | 72 min | -75% |
| Incidentes com exfiltração em menos de 1 hora | 19% | 22% | +3 p.p. |
| Pedido de resgate mediano | 1,25 M$ | 1,5 M$ | +20% |
| Pagamento de resgate mediano | 267.500 $ | 500.000 $ | +87% |
| Exploração de vulnerabilidades (acesso inicial) | n.d. | 22% | empate com phishing |
Os valores financeiros confirmam a tendência. O pedido de resgate mediano subiu de 1,25 milhões de dólares em 2024 para 1,5 milhões em 2025, e o pagamento mediano quase duplicou, de 267.500 para 500.000 dólares. Estes números mostram que a exploração de vulnerabilidades por corrigir continua a ser um negócio lucrativo, e que cada falha não corrigida é uma porta de entrada com preço de mercado.
O mercado reage: seguros e fusões em alta
O risco cibernético dominou a agenda corporativa em 2026. O Allianz Risk Barometer 2026 classificou os incidentes cibernéticos como o principal risco global pelo quinto ano consecutivo, com 42% das respostas, a pontuação mais alta de sempre. O risco foi apontado como número um em todas as dimensões de empresa e em todas as regiões inquiridas, incluindo a Europa. A gestão de vulnerabilidades, antes uma preocupação técnica, é agora um tema de conselho de administração.
O mercado de cibersegurança também se consolidou. A aquisição da Wiz pela Google, no valor de 32 mil milhões de dólares, foi aprovada pela Comissão Europeia a 10 de fevereiro de 2026. A operação, uma das maiores de sempre no setor, sinaliza que os grandes intervenientes tecnológicos veem a segurança na nuvem e a gestão de exposição como territórios estratégicos. Para as empresas europeias, a consolidação levanta questões sobre concentração de mercado e dependência de fornecedores não europeus, precisamente o tipo de preocupação que motivou a criação da EUVD.
Os incidentes concretos mantiveram a pressão. A operadora de telecomunicações neerlandesa Odido revelou que mais de 6 milhões de contas foram expostas num ciberataque, com dados roubados que incluíam nomes, números de telefone, endereços de email, números de conta bancária e números de passaporte. Casos como este, num país vizinho e num setor crítico, são um lembrete de que a próxima grande fuga pode atingir um operador português.
Fragmentação ou redundância saudável?
Nem toda a comunidade vê a EUVD com otimismo unânime. A crítica principal é o risco de fragmentação. Se a Europa, os EUA, a China e outros blocos mantiverem bases de dados separadas, com identificadores e classificações divergentes, a interoperabilidade global pode degradar-se. Um mundo com vários sistemas de numeração concorrentes seria um retrocesso face à clareza que o CVE trouxe durante 25 anos.
A leitura oposta, e mais convincente, é que a EUVD não cria um sistema concorrente mas sim uma camada de resiliência. A base de dados europeia continua a usar identificadores CVE e a articular-se com o ecossistema existente. O que muda é que, se o CVE voltar a vacilar por razões orçamentais ou políticas, a Europa já não fica refém. A redundância, neste contexto, é uma virtude de engenharia, não um sintoma de divisão.
O verdadeiro teste será a coordenação. Se a ENISA, a MITRE, a CVE Foundation e o NIST mantiverem processos alinhados e dados sincronizados, o utilizador final beneficia de múltiplas fontes fiáveis sem confusão. Se cada entidade seguir o seu caminho, as equipas de segurança terão de gerir a complexidade de reconciliar registos divergentes. A governação, mais do que a tecnologia, decidirá o resultado.
Contexto histórico: do Bugtraq ao CVE e à EUVD
Para perceber a importância do momento, vale a pena recuar. Antes do CVE, a divulgação de vulnerabilidades fazia-se em listas de email como a Bugtraq, sem identificadores padronizados. Duas empresas podiam descrever a mesma falha de formas tão diferentes que ninguém percebia que se tratava do mesmo problema. O CVE, lançado em 1999, resolveu este caos ao impor um identificador universal.
Em 2005, o NIST criou a NVD para enriquecer cada CVE com pontuações de gravidade (CVSS) e metadados estruturados. Esta divisão de trabalho, a MITRE atribui o identificador e o NIST enriquece, funcionou durante quase duas décadas. A crise de 2024 e 2025, com o atraso de enriquecimento da NVD e o quase-fim do financiamento do CVE, mostrou que o modelo, embora robusto, dependia demasiado de orçamentos públicos de um único país.
A EUVD é o próximo capítulo lógico desta história. Tal como o CVE pôs ordem no caos dos anos 90 e a NVD acrescentou camadas de análise nos anos 2000, a base de dados europeia adiciona uma dimensão de soberania e resiliência adequada à década de 2020. A Europa aprendeu, da forma mais abrupta, que infraestrutura crítica não deve assentar num único ponto de falha geográfico.
Comparação competitiva no panorama de inteligência de falhas
A EUVD entra num ecossistema povoado. Além das fontes públicas, existe um mercado florescente de inteligência de vulnerabilidades comercial, com fornecedores que oferecem enriquecimento, priorização baseada em exploração real e alertas em tempo quase real. Estes serviços surgiram em parte para preencher as lacunas deixadas pelo atraso da NVD.
A vantagem competitiva da base de dados europeia não está na exaustividade técnica, em que os fornecedores comerciais podem superá-la, mas na legitimidade institucional e no alinhamento regulatório. Para uma entidade abrangida pela NIS2, citar a EUVD como fonte de referência tem peso de conformidade que uma plataforma privada não oferece. É a diferença entre uma ferramenta útil e uma fonte oficial.
O catálogo KEV da CISA, por seu lado, ocupa um nicho distinto e complementar: lista apenas as vulnerabilidades confirmadas como ativamente exploradas, funcionando como um filtro de prioridade. Uma estratégia madura combina as três camadas: a EUVD para cobertura e conformidade europeia, o KEV para urgência operacional, e a inteligência comercial para profundidade. Nenhuma substitui as outras.
O que as empresas portuguesas devem fazer agora
A passagem da teoria à prática começa por integrar a EUVD nos processos existentes. As equipas de segurança devem incorporar a base de dados europeia nas suas rotinas de monitorização, a par do CVE, da NVD e dos alertas do CERT.PT. Ferramentas de gestão de vulnerabilidades modernas permitem consultar múltiplas fontes via API, automatizando a deteção de falhas relevantes para o inventário de software da organização.
A priorização é o passo seguinte. Com dezenas de milhares de CVE por ano, corrigir tudo é impossível. A abordagem eficaz é cruzar o inventário interno com o catálogo KEV e os alertas da EUVD para identificar as falhas que afetam ativos críticos e que estão a ser exploradas. Uma vulnerabilidade com pontuação alta mas sem exploração conhecida é menos urgente do que uma com pontuação média já usada por grupos de ransomware.
Finalmente, há a dimensão de conformidade. As organizações abrangidas pela NIS2 devem documentar o seu processo de gestão de vulnerabilidades, demonstrando que monitorizam fontes oficiais, avaliam o risco e aplicam correções em prazos razoáveis. Em caso de incidente e investigação, conseguir provar que se acompanhava a EUVD e se agia sobre a informação faz a diferença entre diligência demonstrada e negligência.
Previsões: o que esperar até 2027
Com base na trajetória atual, projetamos cinco desenvolvimentos para os próximos 18 meses. Primeiro, a EUVD ganhará adoção institucional acelerada à medida que a transposição da NIS2 se completa nos Estados-Membros e a conformidade passa de aspiração a obrigação fiscalizada. Os reguladores nacionais começarão a citar a base de dados europeia como referência.
Segundo, a questão do financiamento permanente do CVE voltará à ribalta. O acordo de 11 meses de abril de 2025 é temporário, e a CVE Foundation terá de demonstrar um modelo sustentável. Esperamos negociações tensas e, possivelmente, um novo episódio de incerteza orçamental antes de uma solução duradoura.
Terceiro, a velocidade de exploração continuará a comprimir-se. Com a exfiltração já a ocorrer em 72 minutos no quartil mais rápido, e com ferramentas de ataque assistidas por inteligência artificial, a janela entre divulgação e exploração tenderá para horas ou minutos. Quarto, a integração entre a EUVD e fornecedores comerciais aprofundar-se-á, com APIs padronizadas a tornarem-se norma. Quinto, Portugal reforçará o papel do CNCS, com mais recursos e mandato alargado, à medida que a pressão regulatória e o volume de incidentes aumentam.
Perguntas frequentes sobre a EUVD e o CVE
O que é a EUVD?
A EUVD é a base de dados de vulnerabilidades da União Europeia, gerida pela ENISA e lançada a 13 de maio de 2025. Agrega informação sobre falhas de segurança a partir de registos CVE, avisos de fornecedores e contribuições dos CSIRT nacionais, oferecendo uma fonte oficial europeia para a gestão de vulnerabilidades exigida pela diretiva NIS2.
A EUVD substitui o sistema CVE?
Não. A EUVD não substitui o CVE, complementa-o. Continua a usar identificadores CVE e articula-se com o ecossistema existente. O seu valor está em acrescentar uma camada de soberania e resiliência europeia, para que a UE não dependa exclusivamente de infraestrutura sob jurisdição norte-americana.
Porque é que o programa CVE quase acabou em 2025?
O contrato federal que financiava a MITRE para gerir o CVE estava a expirar a 16 de abril de 2025 sem renovação. Horas após o prazo, a CISA ativou o período de opção do contrato, restaurando o financiamento por 11 meses. O episódio expôs a dependência do programa de um único contrato governamental.
Como é que a NIS2 afeta as empresas portuguesas?
A NIS2 alargou as obrigações de cibersegurança a muito mais setores, incluindo energia, saúde, transportes, banca, administração pública e fabrico. As entidades abrangidas em Portugal têm de fazer gestão de risco, notificar incidentes e demonstrar que acompanham fontes oficiais como a EUVD. O incumprimento pode acarretar sanções.
Qual é o papel do CNCS e do CERT.PT?
O Centro Nacional de Cibersegurança (CNCS), através do CERT.PT, coordena a resposta a incidentes e a divulgação de vulnerabilidades em Portugal. Emite alertas para a administração pública e operadores críticos e articula-se com a rede europeia de CSIRT, usando fontes como a EUVD para contextualizar o risco nacional.
Onde posso consultar a EUVD?
A EUVD está disponível publicamente em euvd.enisa.europa.eu. Qualquer organização ou investigador pode pesquisar vulnerabilidades, consultar detalhes técnicos e encontrar medidas de mitigação recomendadas. O acesso é gratuito e a base de dados é mantida pela ENISA.
Cobertura relacionada
- Ciberataques em Portugal: 2.437 por semana e o impacto na UE
- Falha Ivanti com CVSS 9.8: a UE atingida em horas
- Falha Citrix NetScaler: CVSS 9.3 e entrada no KEV em 7 dias
- Criptografia pós-quântica: metade da web já protegida
- Fugas de dados: como acontecem e como se proteger
- Segurança online: o guia prático completo
