Notificar a ENISA las vulnerabilidades activamente explotadas y los incidentes

Lenguaje claro

Si se descubre —o se notifica— que una vulnerabilidad en el producto está siendo activamente explotada por atacantes, debe informarse a ENISA con urgencia. Se dispone de 24 horas para enviar una alerta temprana, 72 horas para enviar una notificación completa y 14 días para enviar un informe final con el plan de remediación. Incumplir estos plazos constituye una infracción reglamentaria. Este plazo comienza a partir del 11 de septiembre de 2026.

Texto jurídico

El artículo 14(1) del Reglamento (UE) 2024/2847 exige que los fabricantes que tengan conocimiento de una vulnerabilidad activamente explotada o de un incidente grave que afecte a su producto notifiquen a ENISA sin demora injustificada a través de la plataforma de notificación única.

Plazos de notificación (Art. 14(2)–(3)):

Informe	Plazo
Alerta temprana	24 horas desde el conocimiento
Notificación de vulnerabilidad / incidente	72 horas desde el conocimiento
Informe final	14 días desde el conocimiento

Aplicable desde

11 de septiembre de 2026: las obligaciones del Art. 14 se aplican antes que el reglamento en su totalidad (11 de diciembre de 2027). El proceso de respuesta a incidentes debe planificarse con antelación.

Requisitos clave

Alerta temprana en 24 horas: señal a ENISA de que hay un evento grave en curso
Notificación en 72 horas: detalles de la vulnerabilidad o el incidente
Informe final en 14 días: pasos de remediación, causa raíz, cronograma
Plataforma de notificación única de ENISA: utilizar la plataforma cuando esté operativa
Notificación a los usuarios afectados: el Art. 14(8) exige la notificación a los usuarios afectados sin demora injustificada

Documentación que puede necesitar

Documentación del proceso de respuesta a incidentes / PSIRT
Política de divulgación de vulnerabilidades
Registros de envío en la plataforma de notificación de ENISA
Seguimiento interno del cronograma (cuándo se tuvo conocimiento, cuándo se notificó)