{"id":52,"date":"2026-06-11T08:58:33","date_gmt":"2026-06-11T08:58:33","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/11\/euvd-cve-crise-ue-2026\/"},"modified":"2026-06-11T08:58:33","modified_gmt":"2026-06-11T08:58:33","slug":"euvd-cve-crise-ue-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/11\/euvd-cve-crise-ue-2026\/","title":{"rendered":"CVE em Crise: EUVD da UE e 11 Meses de Risco [2026]"},"content":{"rendered":"\n

Durante 24 horas, em abril de 2025, o sistema que cataloga as falhas de seguran\u00e7a do mundo inteiro esteve a horas de deixar de funcionar. O contrato federal que financiava o programa CVE<\/strong> (Common Vulnerabilities and Exposures), gerido pela MITRE, estava prestes a expirar sem renova\u00e7\u00e3o. A rea\u00e7\u00e3o foi imediata e global. Pouco mais de um ano depois, a Europa tem a sua pr\u00f3pria resposta operacional: a EUVD<\/strong>, a base de dados de vulnerabilidades da UE gerida pela ENISA. Para Portugal e para os milhares de organiza\u00e7\u00f5es abrangidas pela diretiva NIS2, esta mudan\u00e7a altera a forma como as falhas cr\u00edticas s\u00e3o descobertas, catalogadas e corrigidas.<\/p>\n\n\n\n

Esta an\u00e1lise reconstr\u00f3i o quase-colapso do programa CVE, explica o que a EUVD<\/strong> faz de diferente, e mede o impacto concreto para as empresas portuguesas num ano em que o risco cibern\u00e9tico voltou a ser classificado como a primeira amea\u00e7a mundial. Os n\u00fameros s\u00e3o duros: as equipas de ataque j\u00e1 chegam \u00e0 exfiltra\u00e7\u00e3o de dados em 72 minutos, e o pedido de resgate mediano subiu para 1,5 milh\u00f5es de d\u00f3lares.<\/p>\n\n\n\n

O quase-colapso do programa CVE em abril de 2025<\/h2>\n\n\n\n

O programa CVE<\/strong> existe desde 1999 e funciona como o dicion\u00e1rio comum da ciberseguran\u00e7a. Cada falha recebe um identificador \u00fanico (por exemplo, CVE-2025-12345) que permite a fornecedores, investigadores e equipas de defesa falarem da mesma vulnerabilidade sem ambiguidade. Sem este sistema, cada fabricante usaria a sua pr\u00f3pria nomenclatura e a coordena\u00e7\u00e3o global tornar-se-ia ca\u00f3tica.<\/p>\n\n\n\n

A 15 de abril de 2025, uma carta interna da MITRE veio a p\u00fablico. O vice-presidente Yosry Barsoum avisava que o financiamento estava a terminar. Nas suas palavras: “a 16 de abril de 2025, o atual mecanismo contratual para a MITRE desenvolver, operar e modernizar o programa CVE vai expirar.” A MITRE confirmou que o s\u00edtio do CVE permaneceria online, mas que nenhum novo CVE seria adicionado ap\u00f3s essa data. O Departamento de Seguran\u00e7a Interna dos EUA (DHS), atrav\u00e9s da CISA, n\u00e3o tinha renovado o contrato a tempo.<\/p>\n\n\n\n

A comunidade de seguran\u00e7a reagiu com alarme. Um sistema usado por todos os fornecedores de software do planeta, de empresas portuguesas a gigantes norte-americanos, estava dependente de um \u00fanico contrato governamental. Horas depois do prazo, a CISA executou o per\u00edodo de op\u00e7\u00e3o do contrato. Em comunicado, a ag\u00eancia declarou: “execut\u00e1mos o per\u00edodo de op\u00e7\u00e3o do contrato para garantir que n\u00e3o haver\u00e1 interrup\u00e7\u00e3o nos servi\u00e7os cr\u00edticos do CVE.” O financiamento foi restaurado por um per\u00edodo de 11 meses, uma solu\u00e7\u00e3o de recurso, n\u00e3o uma garantia permanente.<\/p>\n\n\n\n

No mesmo dia, um grupo de membros do conselho do programa anunciou a cria\u00e7\u00e3o da CVE Foundation<\/strong>, uma entidade sem fins lucrativos destinada a dar ao programa uma estrutura de governa\u00e7\u00e3o e financiamento independente do or\u00e7amento federal norte-americano. O epis\u00f3dio exp\u00f4s uma fragilidade estrutural: a infraestrutura cr\u00edtica da ciberseguran\u00e7a mundial assentava num \u00fanico ponto de falha financeiro.<\/p>\n\n\n\n

\n
Data<\/th>Acontecimento<\/th><\/tr><\/thead>
1999<\/td>Lan\u00e7amento do programa CVE pela MITRE<\/td><\/tr>\n
Janeiro 2024<\/td>ENISA torna-se uma CNA (autoridade de numera\u00e7\u00e3o CVE)<\/td><\/tr>\n
15 abril 2025<\/td>Carta de Yosry Barsoum alerta para o fim do financiamento<\/td><\/tr>\n
16 abril 2025<\/td>Prazo de expira\u00e7\u00e3o do contrato MITRE\/DHS<\/td><\/tr>\n
16 abril 2025<\/td>CISA ativa per\u00edodo de op\u00e7\u00e3o, financiamento por 11 meses<\/td><\/tr>\n
16 abril 2025<\/td>An\u00fancio da cria\u00e7\u00e3o da CVE Foundation<\/td><\/tr>\n
13 maio 2025<\/td>ENISA lan\u00e7a oficialmente a EUVD<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

A resposta europeia: a ENISA lan\u00e7a a EUVD<\/h2>\n\n\n\n

A 13 de maio de 2025, a Ag\u00eancia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a (ENISA) lan\u00e7ou oficialmente a EUVD<\/strong>, a base de dados de vulnerabilidades da UE, acess\u00edvel em euvd.enisa.europa.eu. A Comiss\u00e3o Europeia anunciou o lan\u00e7amento na mesma data. O calend\u00e1rio n\u00e3o foi coincid\u00eancia: a crise do CVE acelerou a urg\u00eancia pol\u00edtica de a Europa ter um reposit\u00f3rio pr\u00f3prio, embora o projeto j\u00e1 estivesse mandatado desde antes.<\/p>\n\n\n\n

Juhan Lepassaar, diretor executivo da ENISA, enquadrou o lan\u00e7amento como o cumprimento de uma obriga\u00e7\u00e3o legal. Nas suas palavras: “a ENISA atinge um marco com a implementa\u00e7\u00e3o do requisito da base de dados de vulnerabilidades da Diretiva NIS2. A UE est\u00e1 agora equipada com uma ferramenta essencial concebida para melhorar substancialmente a gest\u00e3o de vulnerabilidades e dos riscos a elas associados.” Lepassaar acrescentou que “a base de dados garante transpar\u00eancia a todos os utilizadores dos produtos e servi\u00e7os TIC afetados e funcionar\u00e1 como uma fonte eficiente de informa\u00e7\u00e3o para encontrar medidas de mitiga\u00e7\u00e3o.”<\/p>\n\n\n\n

A EUVD<\/strong> agrega informa\u00e7\u00e3o de m\u00faltiplas fontes: registos CVE, avisos dos fornecedores, o cat\u00e1logo de vulnerabilidades ativamente exploradas e contribui\u00e7\u00f5es dos CSIRT nacionais. Em vez de substituir o CVE, a base de dados europeia consolida e enriquece, oferecendo um ponto de refer\u00eancia sob jurisdi\u00e7\u00e3o europeia. A ENISA j\u00e1 era uma CNA (CVE Numbering Authority) desde janeiro de 2024, o que significa que pode atribuir identificadores diretamente, refor\u00e7ando a sua posi\u00e7\u00e3o na cadeia global de divulga\u00e7\u00e3o.<\/p>\n\n\n\n

A diferen\u00e7a geopol\u00edtica \u00e9 relevante. At\u00e9 maio de 2025, a Europa dependia inteiramente de infraestrutura norte-americana (o CVE da MITRE e a NVD do NIST) para a sua intelig\u00eancia de vulnerabilidades. A crise mostrou que essa depend\u00eancia era um risco soberano. A EUVD<\/strong> d\u00e1 \u00e0 UE controlo operacional sobre uma fun\u00e7\u00e3o cr\u00edtica, alinhada com a estrat\u00e9gia mais ampla de autonomia digital do bloco.<\/p>\n\n\n\n

EUVD vs CVE e NVD: o que muda na pr\u00e1tica<\/h2>\n\n\n\n

Para uma equipa de seguran\u00e7a em Lisboa ou no Porto, a pergunta pr\u00e1tica \u00e9 simples: que base de dados consultar? A resposta \u00e9 que as tr\u00eas coexistem e se complementam. A tabela seguinte compara as principais plataformas de intelig\u00eancia de vulnerabilidades dispon\u00edveis em 2026.<\/p>\n\n\n\n

\n
Plataforma<\/th>Operador<\/th>Jurisdi\u00e7\u00e3o<\/th>Fun\u00e7\u00e3o principal<\/th><\/tr><\/thead>
CVE<\/td>MITRE \/ CVE Foundation<\/td>EUA<\/td>Atribui\u00e7\u00e3o de identificadores \u00fanicos<\/td><\/tr>\n
NVD<\/td>NIST<\/td>EUA<\/td>Enriquecimento (CVSS, CPE, refer\u00eancias)<\/td><\/tr>\n
EUVD<\/td>ENISA<\/td>UE<\/td>Agrega\u00e7\u00e3o e curadoria sob a NIS2<\/td><\/tr>\n
KEV<\/td>CISA<\/td>EUA<\/td>Vulnerabilidades ativamente exploradas<\/td><\/tr>\n
CSIRT nacionais<\/td>Estados-Membros<\/td>Nacional<\/td>Coordena\u00e7\u00e3o e alerta local<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

O contexto que tornou a EUVD<\/strong> necess\u00e1ria \u00e9 o volume. Em 2024 foram publicadas mais de 40.000 vulnerabilidades CVE, um recorde, e o ritmo acelerou em 2025. A NVD do NIST, que historicamente enriquecia cada CVE com pontua\u00e7\u00e3o CVSS e metadados, acumulou um atraso significativo no processamento ao longo de 2024, deixando milhares de registos sem an\u00e1lise completa. Esse atraso criou um v\u00e1cuo que a base de dados europeia ajuda a colmatar, oferecendo informa\u00e7\u00e3o acion\u00e1vel mesmo quando a fonte original ainda n\u00e3o foi totalmente enriquecida.<\/p>\n\n\n\n

Na pr\u00e1tica, uma organiza\u00e7\u00e3o portuguesa madura deve consultar v\u00e1rias fontes em paralelo: a EUVD<\/strong> para uma perspetiva europeia e curada, o cat\u00e1logo KEV para priorizar o que est\u00e1 a ser explorado neste momento (mais de mil vulnerabilidades confirmadas como exploradas ativamente), e os avisos do CERT.PT para o contexto nacional. A redund\u00e2ncia deixou de ser um luxo e passou a ser uma necessidade de resili\u00eancia.<\/p>\n\n\n\n

Porque \u00e9 que isto importa para Portugal<\/h2>\n\n\n\n

Portugal n\u00e3o opera num v\u00e1cuo. O Centro Nacional de Ciberseguran\u00e7a (CNCS), atrav\u00e9s do CERT.PT, \u00e9 a entidade que coordena a resposta a incidentes e a divulga\u00e7\u00e3o de vulnerabilidades a n\u00edvel nacional. Quando uma falha cr\u00edtica surge num produto amplamente usado, \u00e9 o CNCS que emite os alertas para a administra\u00e7\u00e3o p\u00fablica, operadores de infraestruturas cr\u00edticas e o tecido empresarial. A exist\u00eancia da EUVD<\/strong> d\u00e1 ao CNCS uma fonte europeia oficial, em vez de depender exclusivamente de bases de dados sob jurisdi\u00e7\u00e3o estrangeira.<\/p>\n\n\n\n

O enquadramento legal vem da diretiva NIS2, que alargou drasticamente o n\u00famero de entidades obrigadas a cumprir requisitos de ciberseguran\u00e7a. Setores como energia, sa\u00fade, transportes, banca, infraestrutura digital, administra\u00e7\u00e3o p\u00fablica e fabrico passaram a estar sob obriga\u00e7\u00f5es refor\u00e7adas de gest\u00e3o de risco e notifica\u00e7\u00e3o de incidentes. Para uma empresa portuguesa abrangida, ignorar uma vulnerabilidade catalogada na EUVD<\/strong> pode passar de neglig\u00eancia t\u00e9cnica a incumprimento regulat\u00f3rio.<\/p>\n\n\n\n

Como v\u00e1rios Estados-Membros, Portugal teve de transpor a NIS2 para a ordem jur\u00eddica interna, um processo que se arrastou para al\u00e9m do prazo europeu de outubro de 2024, \u00e0 semelhan\u00e7a da maioria dos pa\u00edses do bloco. Independentemente do calend\u00e1rio legislativo, a diretiva j\u00e1 molda as expectativas de conformidade. As organiza\u00e7\u00f5es que tratam a gest\u00e3o de vulnerabilidades como um processo cont\u00ednuo, e n\u00e3o como uma rea\u00e7\u00e3o a crises, est\u00e3o melhor posicionadas para o regime que se consolida em 2026.<\/p>\n\n\n\n

A depend\u00eancia portuguesa de software e servi\u00e7os estrangeiros torna o tema ainda mais sens\u00edvel. A esmagadora maioria das vulnerabilidades que afetam empresas em Portugal est\u00e1 em produtos desenvolvidos fora do pa\u00eds. Ter uma fonte europeia de intelig\u00eancia reduz o tempo entre a divulga\u00e7\u00e3o de uma falha e a chegada do alerta a quem a precisa de corrigir em territ\u00f3rio nacional.<\/p>\n\n\n\n