Vulnerabilidad
Una debilidad en un producto con elementos digitales que puede ser potencialmente explotada por un agente de amenaza para comprometer la seguridad de ese producto o de los sistemas conectados. El CRA impone numerosas obligaciones a los fabricantes para identificar, corregir y divulgar las vulnerabilidades durante todo el período de soporte.
Citas de fuentes
Véase también
Texto reglamentario
El artículo 3(48) del Reglamento (UE) 2024/2847 define vulnerabilidad como:
«una debilidad, susceptibilidad o fallo de un producto con elementos digitales que puede ser explotado por una ciberamenaza».
Ciclo de vida de las vulnerabilidades según el CRA
Descubrimiento → Triaje → Corrección → Divulgación
| Fase | Obligación del fabricante |
|---|---|
| Identificación | Supervisar continuamente las vulnerabilidades (Anexo I, Parte II, pt. 5) |
| Triaje | Describir y evaluar la gravedad, documentar las medidas correctoras |
| Corrección | Publicar actualizaciones de seguridad sin demora; informar a los usuarios |
| Divulgación | Notificar las vulnerabilidades activamente explotadas a la ENISA en 24 h |
Gestión coordinada de vulnerabilidades
El CRA se apoya en la CVD. Se alienta a los fabricantes a:
- Establecer una política de CVD (Anexo I, Parte II, pt. 5(a))
- Mantener un canal de notificación seguro
- Cooperar con los investigadores de seguridad
Conservación de datos
La información sobre vulnerabilidades debe conservarse en la documentación técnica durante al menos diez años tras el fin del período de soporte.