Vulnerabilidad activamente explotada
Una vulnerabilidad de la que existe evidencia de explotación activa en entornos reales. El CRA exige que los fabricantes notifiquen las vulnerabilidades activamente explotadas en sus productos al CSIRT designado y a la ENISA en un plazo de 24 horas tras tener conocimiento de ellas, en virtud del artículo 14(2)(a).
Citas de fuentes
Véase también
Texto reglamentario
El artículo 14(2)(a) del Reglamento (UE) 2024/2847 exige que los fabricantes notifiquen sin demora y, en todo caso, en el plazo de 24 horas tras tener conocimiento de una vulnerabilidad activamente explotada.
El artículo 3(47) define una vulnerabilidad activamente explotada como aquella:
«para la que existe evidencia de que un agente de amenaza la está explotando en sistemas en estado real».
Por qué importa el umbral de 24 horas
La notificación temprana permite que las autoridades:
- Adviertan a otros fabricantes afectados por el mismo componente vulnerable
- Publiquen orientaciones de mitigación antes de que esté disponible un parche
- Coordinen la respuesta a través de la red CSIRT de la UE
Flujo de notificación
- 24 h — Notificación inicial al CSIRT de referencia (y a la ENISA)
- 72 h — Notificación de seguimiento con evaluación de la severidad
- 14 días — Informe final con detalles de la corrección
El CSIRT podrá reenviar la información a la ENISA, que la agregará en la base de datos europea de vulnerabilidades.