A partir del 11 de septiembre de 2026, todos los fabricantes en ámbito deben notificar a ENISA las vulnerabilidades explotadas activamente e incidentes graves — antes de que se aplique el resto del CRA en diciembre de 2027.
El Artículo 14 del Reglamento (UE) 2024/2847 crea una cadena de notificación obligatoria de tres pasos a ENISA cada vez que un fabricante descubre que una vulnerabilidad de su producto está siendo explotada activamente por atacantes, o que ha ocurrido un incidente grave.
Esto es independiente de — y adicional a — la notificación a los usuarios afectados (Art. 14(4)), que debe ocurrir simultáneamente. La notificación a ENISA no sustituye la notificación a los usuarios.
Los informes se envían a través de la plataforma única de notificación ENISA, que dirige la información a los CSIRT nacionales pertinentes. La plataforma debe estar operativa antes del 11 de septiembre de 2026.
El reloj comienza cuando el fabricante toma conocimiento de la explotación activa — no cuando la vulnerabilidad se confirma o se analiza completamente.
24 horas
Aviso temprano
Señal a ENISA de que hay un evento grave en curso. Se requieren detalles mínimos — la velocidad es la prioridad.
72 horas
Notificación completa
Notificación detallada a ENISA: identificación del producto, descripción de la vulnerabilidad, gravedad, impacto y medidas correctivas o de mitigación tomadas o planificadas.
14 días
Informe final
Análisis completo: identificador CVE, puntuación CVSS, causa raíz, remediación implementada y confirmación de que se ha notificado a los usuarios.
En paralelo con la cadena de notificación ENISA, los fabricantes deben notificar a los usuarios afectados sin demora indebida. No espere a la corrección completa — los usuarios necesitan saber:
Todos los fabricantes de productos en ámbito con elementos digitales — independientemente de la clase de producto. El Art. 14 aplica a cada fabricante a partir del 11 de septiembre de 2026.
No están directamente obligados a notificar a ENISA según el Art. 14. Sin embargo, deben transmitir información sobre vulnerabilidades a los fabricantes sin demora indebida (Art. 20 / Art. 24).
Cuatro obligaciones atómicas — cada una rastreable al artículo del reglamento, con orientación sobre evidencias y explicaciones en lenguaje sencillo.
Los fabricantes deben notificar a ENISA a través de la plataforma de notificación única cualquier vulnerabilidad activamente explotada en su producto en el plazo de 24 horas (alerta temprana) y 72 horas (notificación). El informe final debe presentarse en un plazo de 14 días. Esta obligación se aplica a partir del 11 de septiembre de 2026.
En el plazo de 72 horas desde el conocimiento de una vulnerabilidad activamente explotada en un producto, los fabricantes deben presentar a ENISA una notificación detallada de la vulnerabilidad a través de la plataforma de notificación única. Esta notificación sigue a la alerta temprana de 24 horas (OBL-ART14-01) y debe incluir datos técnicos sobre la vulnerabilidad y el producto afectado.
En el plazo de 14 días desde el conocimiento de una vulnerabilidad activamente explotada, los fabricantes deben presentar a ENISA un informe final que contenga una descripción completa de la vulnerabilidad, las medidas correctoras adoptadas y si la vulnerabilidad ha sido divulgada públicamente o se ha asignado un CVE.
Cuando una vulnerabilidad es activamente explotada, los fabricantes deben notificar a los usuarios afectados sin demora injustificada. La notificación debe incluir información suficiente para que los usuarios puedan adoptar medidas de protección, incluyendo las medidas de mitigación disponibles antes de que se publique un parche.
Ver todos los niveles de sanciones en la página de resumen del CRA →
Meet the three-step ENISA reporting chain for actively exploited vulnerabilities in your products.
Introduzca cuándo tuvo conocimiento de una vulnerabilidad explotada activamente para calcular sus tres plazos de notificación a ENISA.
Open toolListas de verificación interactivas para cada paso de la cadena de notificación en tres pasos del Art. 14.
Open toolGenere una política de divulgación coordinada de vulnerabilidades, archivo security.txt y plantilla de flujo de trabajo de notificación ENISA.
Open toolRevise todas las obligaciones del fabricante, comprenda su clasificación de producto y consulte el calendario regulatorio completo.
