Notificar las vulnerabilidades activamente explotadas y los incidentes graves

El artículo 24(2) del Reglamento (UE) 2024/2847 establece que los administradores de software de código abierto notificarán, sin demora injustificada y en todo caso dentro del plazo establecido por los actos de ejecución, al CSIRT designado como coordinador en virtud del artículo 12(1) de la Directiva (UE) 2022/2555:

• cualquier vulnerabilidad activamente explotada contenida en los componentes de software de código abierto que administran; y
• cualquier incidente grave que afecte a la seguridad de dichos componentes de software de código abierto.

Tras la notificación, el CSIRT tratará la información notificada de forma confidencial y apoyará al administrador de software de código abierto en la divulgación de la vulnerabilidad de conformidad con las prácticas de divulgación coordinada de vulnerabilidades.

1. Desencadenante: explotación activa: la obligación surge cuando se tiene conocimiento de que una vulnerabilidad en el software está siendo activamente explotada en la práctica
2. Desencadenante: incidente grave: la obligación también surge para incidentes de seguridad graves que afecten a las propiedades de seguridad del software
3. Destinatario: coordinador CSIRT: notificar al CSIRT nacional designado como coordinador en virtud del Art. 12 de la Directiva NIS 2, no directamente a ENISA
4. Sin demora injustificada: notificación rápida; el plazo exacto se fijará por acto de ejecución
5. Confidencialidad: el CSIRT gestiona la información notificada de forma confidencial y apoya la divulgación coordinada

• Notificación enviada al coordinador CSIRT (fecha, contenido, método)
• Proceso interno para monitorizar y detectar la explotación activa
• Registro de incidentes que documente cuándo se tuvo conocimiento y las acciones adoptadas
• Cronograma de la divulgación coordinada