Incidente grave
Un incidente que tiene un efecto adverso real en la seguridad de los sistemas de redes e información de un fabricante utilizados para el desarrollo, la producción o el mantenimiento de un producto con elementos digitales. El descubrimiento de dicho incidente activa la obligación de notificación al CSIRT competente y a la ENISA en el plazo de 24 horas.
Citas de fuentes
Véase también
Texto reglamentario
El artículo 14(3) del Reglamento (UE) 2024/2847 exige que el fabricante notifique sin demora y, en todo caso, en el plazo de 24 horas desde que tenga conocimiento de un incidente grave.
El artículo 3(49) define el incidente grave como aquel que tiene:
«un efecto adverso real en la seguridad de los sistemas de redes e información del fabricante utilizados para el desarrollo, la producción o el mantenimiento del producto».
Cronograma de notificación
| Plazo | Acción |
|---|---|
| En 24 h desde que se tiene conocimiento | Alerta temprana al CSIRT y a la ENISA |
| En 72 h | Notificación inicial con más detalles |
| En 14 días | Informe final completo |
Diferencia con un incidente de seguridad ordinario
Un incidente normal puede afectar a sistemas sin impacto en la seguridad del producto. Un incidente grave alcanza la cadena de desarrollo o producción de forma que compromete el cumplimiento de los requisitos esenciales de ciberseguridad.