OBL-ART14-03Binding
Presentar a ENISA un informe final de vulnerabilidad en el plazo de 14 días
- Se aplica a
- Manufacturer
- Citas de fuentes
- Art. 14(3)Art. 14(5)
- Clases de productos
- DefaultImportant — Class IImportant — Class IICritical
Last reviewed
Lenguaje claro
El fabricante dispone de 14 días desde el primer conocimiento de un error activo para enviar a ENISA un informe completo. En este momento debe disponerse de la información completa: qué era el error, su gravedad y cómo se corrigió. Esta es la tercera etapa de la cadena: 24 horas, luego 72 horas, luego 14 días.
Texto jurídico
El artículo 14(3) del Reglamento (UE) 2024/2847 exige que, en el plazo de 14 días desde el conocimiento de una vulnerabilidad activamente explotada, los fabricantes presenten a ENISA un informe final que contenga:
- Una descripción completa de la vulnerabilidad, incluida su gravedad e impacto
- En su caso: el(los) actor(es) de amenaza implicado(s) (si se conoce y puede compartirse)
- Información sobre las medidas correctoras o de mitigación adoptadas
- Si la vulnerabilidad ha sido divulgada públicamente
- El CVE asignado (o la justificación de por qué no se asignó ningún CVE)
El artículo 14(5) especifica que el informe se presenta a través de la plataforma de notificación única de ENISA.
Fecha de aplicación
Esta obligación se aplica a partir del 11 de septiembre de 2026.
Contenido requerido del informe final
- Descripción completa de la vulnerabilidad: análisis técnico completo
- Análisis de la causa raíz: origen de la vulnerabilidad
- Puntuación CVSS: final, reevaluada si fuera necesario tras el análisis completo
- Versiones afectadas: todas las versiones y variantes del producto en el ámbito
- Identificador CVE: número CVE asignado por una CNA, o razón por la que no se asignó ninguno
- Remediación desplegada: número de versión de la actualización, fecha de publicación, mecanismo de entrega
- Notificación a los usuarios: descripción de cómo se informó a los usuarios y cronograma
- Estado de divulgación pública: si se publicó un aviso de seguridad y dónde
- Información sobre el actor de amenaza: si se conoce, si un actor específico está explotando la vulnerabilidad
La cadena de notificación del Art. 14 en tres pasos
| Paso | Plazo | Estado |
|---|---|---|
| Alerta temprana (OBL-ART14-01) | 24 horas | Conocimiento confirmado |
| Notificación detallada (OBL-ART14-02) | 72 horas | Datos técnicos disponibles |
| Informe final | 14 días | Análisis completo y remediación |
Documentación que puede necesitar
- Envío del informe final con marca de tiempo desde la plataforma de ENISA
- Registro de asignación de CVE
- Aviso de seguridad publicado
- Registros de notificación a los usuarios
- Análisis post-incidente o documento de análisis de la causa raíz interno