Notificación de Vulnerabilidades a ENISA: Qué Activa el Reloj de 24 Horas Bajo el CRA

11 de septiembre de 2026. A partir de esta fecha, tienes 24 horas para notificar vulnerabilidades activamente explotadas a ENISA. Perder el plazo significa enfrentar acciones de aplicación.

Esta guía cubre qué activa la notificación, qué significa realmente "activamente explotada" y cómo preparar tu proceso interno antes de Qué llegue el plazo.

¿Qué Activa la Notificación CRA?

El CRA define dos categorías Qué requieren notificación obligatoria:

1. Vulnerabilidades Activamente Explotadas

Una vulnerabilidad en tu producto Qué:

• Es conocida por ti (descubierta internamente o reportada externamente)
• Ha sido explotada por un actor malicioso
• Afecta o podria afectar a usuarios de tu producto

2. Incidentes Graves

Incidentes de seguridad Qué:

• Impactan la seguridad de tu producto
• Comprometen tu entorno de desarrollo de formas Qué afectan la seguridad del producto
• Causan interrupción significativa del servicio a usuarios
• Resultan en compromiso generalizado

Ambas categorías activan los mismos plazos de notificación pero tienen diferentes ventanas para el informe final.

Qué Significa "Activamente Explotada"

El CRA define una vulnerabilidad activamente explotada Cómo aquella donde "un actor malicioso hace uso de una falla."

Esto no es lo mismo Qué:

• Una vulnerabilidad siendo divulgada publicamente
• Una prueba de concepto siendo publicada
• Un investigador demostrando explotabilidad

Significa uso malicioso real.

Escenarios Notificables vs No Notificables

El Estándar de "Creencia Razonable"

No necesitas prueba forense de explotación. El estándar es creencia razonable basada en evidencia disponible:

• Patrones de acceso inusuales consistentes con técnicas de explotación conocidas
• Reportes de clientes de compromiso
• Inteligencia de amenazas indicando Qué tu producto es objetivo
• Detección de código de explotación diseñado para tu producto

Cuando hay incertidumbre: Inclínate hacia notificar. Una alerta temprana prematura Qué resulta infundada es mucho mejor Qué un plazo perdido para explotación real.

Plazos de Notificación

Tanto vulnerabilidades Cómo incidentes siguen un modelo de notificación escalonado:

Plazo de Vulnerabilidad Activamente Explotada

DESCUBRIMIENTO → 24 HORAS → 72 HORAS → PARCHE DISPONIBLE → 14 DIAS
      │             │           │              │              │
      │             │           │              │              └── Informe Final
      │             │           │              └── Reloj reinicia
      │             │           └── Notificación Detallada
      │             └── Alerta Temprana
      └── Reloj inicia

Plazo de Incidente Grave

DESCUBRIMIENTO → 24 HORAS → 72 HORAS → 1 MES
      │             │           │         │
      │             │           │         └── Informe Final
      │             │           └── Notificación Detallada
      │             └── Alerta Temprana
      └── Reloj inicia

Qué Contiene Cada Informe

Alerta Temprana (24 horas)

Información mínima para alertar a las autoridades:

• Tu identidad (fabricante)
• Identificación de producto(s) afectado(s)
• Descripción breve de la vulnerabilidad/incidente
• Evaluación inicial de severidad
• Si la explotación está confirmada o sospechada
• Indicación del alcance de impacto potencial

Esto no es un análisis completo. Es una alerta de Qué algo serio está ocurriendo.

Notificación Detallada (72 horas)

Información expandida para evaluación:

• Detalles técnicos de la vulnerabilidad
• Versiones y configuraciones afectadas
• Método de explotación (si se conoce)
• Estado actual de mitigación
• Estimación de cronograma de remediación
• Usuarios/alcance afectados conocidos
• Coordinación con otras partes (otros vendedores, CSIRTs)

Informe Final (14 días para vulns / 30 días para incidentes)

Análisis completo después de la remediación:

• Análisis de causa raíz
• Descripción técnica completa
• Acciones de remediación tomadas
• Lecciones aprendidas
• Medidas de prevención implementadas
• Evaluación de impacto (usuarios afectados confirmados, exposición de datos, etc.)

Dónde Notificar

Plataforma Única de Notificación (SRP) de ENISA

A partir de septiembre 2026, ENISA operará un punto de entrada único para notificaciones CRA.

Lo Qué sabemos:

• Plataforma web para envíos
• Acceso API para notificación automatizada (anticipado)
• Enrutamiento simultáneo a CSIRTs nacionales relevantes
• Formularios de notificación estandarizados

VERIFICAR CON FUENTE PRIMARIA: Especificaciones exactas de la plataforma y URL pendientes de publicación de ENISA.

CSIRTs Nacionales

Las notificaciones van simultáneamente a:

• ENISA (coordinación a nivel UE)
• CSIRT(s) nacional(es) donde el producto está disponible

El SRP debería manejar el enrutamiento automáticamente basado en tu declaración de presencia en el mercado.

Para Productos en Múltiples Estados Miembros

Si tu producto está disponible en múltiples países de la UE:

• Un envío al SRP
• La plataforma enruta a todos los CSIRTs relevantes
• Puedes recibir seguimiento de múltiples autoridades nacionales

Lista de Verificación de Preparación Interna

No esperes hasta septiembre 2026. Construye tus procesos ahora.

1. Canales de Recepción de Vulnerabilidades

Establece rutas claras para reportes de vulnerabilidades:

Archivo security.txt:

# https://tuproducto.com/.well-known/security.txt
Contact: mailto:security@tuempresa.com
Contact: https://tuempresa.com/security/report
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: es, en
Canonical: https://tuempresa.com/.well-known/security.txt
Policy: https://tuempresa.com/security/policy

Formulario web para reportes estructurados

Email dedicado monitorizado 24/7 (o con SLA claro)

2. Proceso de Triaje Interno

Define cómo se evalúan los reportes:

TRIAJE DE RECEPCIÓN DE VULNERABILIDADES

1. Recepción Inicial (< 4 horas)
   - Confirmar recepción
   - Asignar a miembro del equipo de seguridad
   - Verificación inicial de validez

2. Triaje Técnico (< 24 horas)
   - Confirmar Qué la vulnerabilidad existe
   - Determinar versiones afectadas
   - Evaluar explotabilidad
   - Verificar evidencia de explotación activa

3. Evaluación de Severidad (< 24 horas)
   - Puntuación CVSS (o equivalente)
   - Evaluación de impacto empresarial
   - Probabilidad de explotación

4. Decisión de Notificación (INMEDIATA si se confirma explotación)
   - ¿Requiere esto notificación a ENISA?
   - Si es sí, iniciar reloj de 24 horas

3. Rutas de Escalación

Define quién puede activar notificación externa:

Principio clave: La persona Qué descubre explotación potencial debe poder escalar inmediatamente, 24/7.

4. Cobertura Fuera de Horario

El reloj de 24 horas no se pausa por fines de semana o festivos.

Opciones:

• Rotación de guardia para equipo de seguridad
• Servicio de monitorización con autoridad de escalación
• Cadena de contacto fuera de horario clara
• Notificadores pre-autorizados Qué pueden enviar alertas tempranas

5. Plantillas de Notificación

Prepara plantillas antes de necesitarlas:

Plantilla de Alerta Temprana:

ALERTA TEMPRANA CRA ENISA

Fabricante: [Nombre de la Empresa]
Fecha del Informe: [Fecha/Hora UTC]
Tipo de Informe: [ ] Vulnerabilidad Activamente Explotada [ ] Incidente Grave

PRODUCTO(S) AFECTADO(S):
- Nombre del Producto:
- Versión(es):
- Categoría del Producto:

RESUMEN DE VULNERABILIDAD/INCIDENTE:
[Descripción breve - 2-3 oraciones]

ESTADO DE EXPLOTACIÓN:
[ ] Explotación confirmada
[ ] Explotación sospechada
Evidencia: [Descripción breve de evidencia]

EVALUACIÓN INICIAL DE SEVERIDAD:
[ ] Crítica [ ] Alta [ ] Media [ ] Baja
Base: [Puntuación CVSS u otra justificación]

ALCANCE DE IMPACTO POTENCIAL:
- Usuarios afectados estimados:
- Alcance geográfico:
- Datos en riesgo:

ESTADO ACTUAL:
[ ] Bajo investigación
[ ] Mitigación en progreso
[ ] Parche en desarrollo

CONTACTO PARA SEGUIMIENTO:
Nombre:
Email:
Teléfono:

Esta es una alerta temprana. Notificación detallada a seguir en 72 horas.

6. Prueba Tu Proceso

Ejecuta ejercicios de mesa antes de septiembre 2026:

Escenario 1: Viernes 5pm - Investigador de seguridad reporta vulnerabilidad crítica con PoC

• ¿Qué tan rápido puedes evaluar el riesgo de explotación?
• ¿Quién toma la decisión de notificación durante el fin de semana?

Escenario 2: Cliente reporta actividad sospechosa sugiriendo Qué tu producto fue punto de entrada

• ¿Cómo recopilas evidencia para confirmar/negar explotación?
• ¿Cuál es tu umbral para "creencia razonable"?

Escenario 3: Inteligencia de amenazas indica Qué tu producto está siendo objetivo de grupo APT

• ¿Tienes visibilidad sobre explotación real?
• ¿Cómo coordinas con proveedores externos de inteligencia de amenazas?

Errores Comunes

Esperar Certeza

Problema: Querer prueba forense antes de notificar.

Realidad: El reloj de 24 horas inicia cuando tienes creencia razonable. Si esperas certeza, perderás el plazo.

Solución: Notifica temprano. Puedes actualizar con "ya no se cree Qué esté explotada" en la notificación detallada si la evidencia no lo respalda.

Confundir CVD con Notificación

Problema: Tratar reportes de investigadores Cómo notificaciones a ENISA.

Realidad: La divulgación coordinada de vulnerabilidades y la notificación a ENISA son procesos separados.

• CVD: Cómo manejas reportes de investigadores, acuerdas plazos de divulgación
• ENISA: Notificación obligatoria cuando ocurre explotación

Solución: El proceso CVD debe incluir una puerta: "¿Hay evidencia de explotación?" Si es sí, activar notificación a ENISA en paralelo a CVD.

Punto Único de Fallo

Problema: Solo una persona puede autorizar notificaciones, y está inalcanzable.

Realidad: La explotación puede descubrirse en cualquier momento. Fines de semana. Festivos. 3am.

Solución: Múltiples notificadores autorizados. Delegación clara. Cadena de contacto de emergencia.

Sin Relación con CSIRTs

Problema: Primer contacto con tu CSIRT nacional es durante un incidente.

Realidad: Construir relaciones de antemano hace la respuesta a incidentes más fluida.

Solución: Involucra a tu CSIRT nacional ahora. Entiende sus procesos. Únete a cualquier programa de alcance a fabricantes.

Exenciones para PYMEs

Las pequeñas y medianas empresas tienen algo de alivio:

Exención de plazos de notificación: Las PYMEs están exentas de multas específicamente relacionadas con los plazos de notificación de 24 y 72 horas.

Aún requerido:

• Notificación (solo no penalizado por retrasos de tiempo)
• Todas las demás obligaciones del CRA
• Informes finales

Definición: PYME según la Recomendación de la UE 2003/361/EC (menos de 250 empleados, facturación ≤ 50 millones EUR o balance ≤ 43 millones EUR).

Esta exención es solo para penalizaciones de tiempo. Las PYMEs aún deben establecer capacidades de notificación.

Integración con Procesos Existentes

Si Ya Tienes Respuesta a Incidentes

Mapea la notificación CRA a tu proceso existente:

PROCESO IR EXISTENTE          INTEGRACIÓN CRA
─────────────────────────────────────────────
Detección
    │
Triaje ──────────────────→  Verificar: ¿Explotación de producto CRA?
    │                             │
Contención                        ├─ SÍ: Activar reloj de 24h
    │                             │       Enviar alerta temprana
Investigación                     │
    │                             │
Remediación ──────────────→  Notificación detallada 72h
    │
Recuperación
    │
Lecciones Aprendidas ────→  Informe final 14d/30d

Si Tienes Obligaciones NIS 2

Algunas organizaciones tienen obligaciones tanto NIS 2 Cómo CRA:

• NIS 2: Incidentes a nivel de organización/servicio
• CRA: Vulnerabilidades e incidentes a nivel de producto

Estos pueden superponerse. Un solo incidente podría requerir ambos:

• Notificación NIS 2 a autoridad competente
• Notificación CRA a ENISA/CSIRT

El SRP de ENISA está diseñado para manejar enrutamiento para ambos regímenes donde aplique.

Lista de Verificación de Preparación para Notificación a ENISA

LISTA DE VERIFICACIÓN DE PREPARACIÓN PARA NOTIFICACIÓN A ENISA

ANTES DE SEPTIEMBRE 2026:

CANALES Y CONTACTOS
[ ] security.txt publicado y actual
[ ] Formulario de notificación de vulnerabilidades disponible
[ ] Email de seguridad monitorizado (definir SLA: ____ horas)
[ ] Contacto de CSIRT nacional identificado
[ ] Registro en SRP de ENISA (cuando esté disponible)

PROCESO INTERNO
[ ] Criterios de triaje documentados
[ ] Lista de verificación de evaluación de explotación creada
[ ] Ruta de escalación definida (nombres, contactos)
[ ] Notificadores autorizados identificados
[ ] Cobertura fuera de horario establecida

DOCUMENTACIÓN
[ ] Plantilla de alerta temprana preparada
[ ] Plantilla de notificación detallada preparada
[ ] Plantilla de informe final preparada
[ ] Materiales de briefing interno listos

PRUEBAS
[ ] Ejercicio de mesa completado
[ ] Escalación fuera de horario probada
[ ] Revisión de plantillas completada

CUANDO SE DETECTA EXPLOTACIÓN:

INMEDIATO (dentro de 4 horas)
[ ] Evaluación inicial: ¿Está activamente explotado?
[ ] Hora de inicio del reloj documentada: ____________
[ ] Escalación a notificador autorizado

DENTRO DE 24 HORAS
[ ] Alerta temprana enviada al SRP de ENISA
[ ] Confirmación de envío recibida
[ ] Partes interesadas internas notificadas

DENTRO DE 72 HORAS
[ ] Notificación detallada enviada
[ ] Estado de mitigación actualizado
[ ] Comunicación con clientes iniciada (si apropiado)

DENTRO DE 14 DÍAS (vulnerabilidad) / 30 DÍAS (incidente)
[ ] Informe final enviado
[ ] Lecciones aprendidas documentadas
[ ] Mejoras de proceso identificadas

Cómo Ayuda CRA Evidence

CRA Evidence incluye soporte de flujo de trabajo de notificación a ENISA:

• Seguimiento de plazos: Cuenta regresiva automática desde el descubrimiento
• Plantillas de notificación: Pre-rellenadas con detalles de tu producto
• Pista de auditoría: Documenta tu cronograma y decisiones
• Integración: Conecta escaneo de vulnerabilidades con flujo de trabajo de notificación

Estate listo para septiembre 2026 con app.craevidence.com.

Cronograma: Consulta cuando comienzan las obligaciones de notificacion en nuestro cronograma de implementacion del CRA.

CVD: Configura tu proceso de recepcion de vulnerabilidades con nuestra plantilla de politica CVD.

Sanciones: Comprende las consecuencias de aplicacion en nuestra guia de sanciones.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.