Presentar a ENISA una notificación detallada de la vulnerabilidad en el plazo de 72 horas
- Se aplica a
- Manufacturer
- Citas de fuentes
- Art. 14(2)Art. 14(5)
- Clases de productos
- DefaultImportant — Class IImportant — Class IICritical
Lenguaje claro
Tras la alerta temprana de 24 horas a ENISA, el fabricante dispone de hasta 72 horas desde el primer conocimiento para enviar una notificación de seguimiento más detallada. Esta debe incluir los datos del producto, la información sobre la vulnerabilidad y las medidas de seguridad adoptadas o previstas. El plazo comienza cuando se tiene por primera vez conocimiento de la explotación activa, no cuando se confirman todos los detalles.
Texto jurídico
El artículo 14(2) del Reglamento (UE) 2024/2847 exige que los fabricantes, sin demora injustificada y en todo caso en el plazo de 72 horas desde el conocimiento de una vulnerabilidad activamente explotada, notifiquen a ENISA:
- La vulnerabilidad
- El(los) producto(s) afectado(s)
- La gravedad e impacto de la vulnerabilidad
- Las medidas correctoras o de mitigación adoptadas o previstas
- Si la vulnerabilidad ha sido divulgada públicamente
El artículo 14(5) especifica que las notificaciones se presentan a través de la plataforma de notificación única de ENISA, que remite la información al(los) CSIRT nacional(es) pertinente(s).
Fecha de aplicación
Esta obligación se aplica a partir del 11 de septiembre de 2026.
Contenido requerido de la notificación
La notificación de 72 horas debe incluir:
- Identificación del producto: nombre, versión, datos del fabricante
- Descripción de la vulnerabilidad: datos técnicos incluido el CVE (si ha sido asignado)
- Puntuación CVSS: evaluación de la gravedad
- Evidencia de explotación activa: cómo se ha constatado la explotación activa
- Población de usuarios afectados: alcance del impacto
- Medidas de mitigación: pasos ya adoptados para contener el riesgo
- Plan de remediación: calendario previsto del parche y mecanismo de entrega
- Estado de notificación a los usuarios: si los usuarios han sido informados
Relación con la alerta temprana de 24 horas
| Paso | Plazo | Contenido requerido |
|---|---|---|
| Alerta temprana (OBL-ART14-01) | 24 horas | Existencia de vulnerabilidad activamente explotada |
| Notificación detallada | 72 horas | Datos técnicos, gravedad, medidas correctoras |
| Informe final (OBL-ART14-03) | 14 días | Análisis completo y datos completos de remediación |
Documentación que puede necesitar
- Registros de envío con marca de tiempo en la plataforma de notificación de ENISA
- Cronograma interno que muestre cuándo se estableció el conocimiento del hecho
- Copia de la notificación presentada (redactada cuando sea necesario por razones de seguridad)
- Registros que acrediten que la notificación se envió en el plazo de 72 horas desde el conocimiento