CRA notificación: alta en ENISA SRP (artículo 14)

La Ley de Ciberresiliencia de la UE (Reglamento (UE) 2024/2847) canaliza los informes del Artículo 14 de todo fabricante a través de un único canal: la Plataforma Única de Notificación de ENISA (SRP), establecida en el Artículo 16. La plataforma no está operativa todavía. ENISA la está desarrollando bajo el Artículo 16(5); entrará en funcionamiento cuando el Artículo 14 comience a aplicarse el 11 de septiembre de 2026 (Artículo 71(2)). Esta página cubre qué deben preparar ahora los fabricantes, el flujo de registro previsto y cómo estructurar una escalada interna que encaje en el reloj de 24 horas. Para las cadencias, véase notificación de vulnerabilidades.

Resumen

  • El SRP es el único canal para el Artículo 14. El Artículo 14(1) y el 14(3) exigen a los fabricantes notificar a ENISA y al CSIRT coordinador "a través de la plataforma única de notificación establecida de conformidad con el Artículo 16". El correo electrónico a un CSIRT nacional no es equivalente.
  • Regístrese antes del primer evento notificable. El reloj de 24h del Artículo 14(1) no se detiene durante el proceso de alta. Una ventana de incorporación típica de aproximadamente una semana supone que las credenciales, los contactos y los datos del catálogo de productos ya están en orden.
  • Los fabricantes son los obligados. Los importadores y distribuidores no presentan informes del Artículo 14; informan al fabricante (Artículo 19(5) segundo párrafo; Artículo 20(4) segundo párrafo). Los representantes autorizados pueden presentar en nombre de un fabricante no perteneciente a la UE si el mandato de AR lo cubre.
  • Dos contactos, dos canales. El único punto de contacto del Artículo 13(17) es el canal orientado al usuario. El contacto de registro en el SRP es el canal orientado a las autoridades. Ambos son obligatorios y no deben ser la misma dirección.
  • El enrutamiento al CSIRT sigue el establecimiento principal. El Artículo 14(7) envía las notificaciones al CSIRT designado como coordinador en el Estado miembro del establecimiento principal, con una cadena de reserva para los fabricantes no pertenecientes a la UE.
11 Sep 2026
Inicio de la notificación
Artículo 71(2)
24h
Aviso temprano al SRP
Artículo 14(1)
7 días
Alta típica
regístrese antes de cualquier evento notificable
€15M / 2.5%
Multa máxima
Artículo 64(2)

El alta es una fecha límite, no una tarea pendiente en la lista de trabajo: el registro debe preceder al primer evento que active el reloj de 24h.

Qué dice el CRA sobre el SRP

El Artículo 16(1) es la disposición constitutiva:

A los efectos de las notificaciones a que se refieren el Artículo 14(1) y (3) y el Artículo 15(1) y (2), y con el fin de simplificar las obligaciones de notificación de los fabricantes, ENISA creará una plataforma única de notificación. La gestión y el mantenimiento de las operaciones cotidianas de dicha plataforma única de notificación corresponderán a ENISA. La arquitectura de la plataforma única de notificación permitirá a los Estados miembros y a ENISA establecer sus propios puntos de acceso electrónicos de notificación.

Se derivan tres hechos operativos. Primero, ENISA opera la plataforma, pero los Estados miembros conectan sus propios puntos de acceso electrónicos de notificación. Segundo, el Artículo 14(7) establece que la notificación "se presentará utilizando el punto de acceso electrónico de notificación del CSIRT designado como coordinador del Estado miembro en el que los fabricantes tengan su establecimiento principal en la Unión y será simultáneamente accesible para ENISA": una sola presentación, dos destinatarios. Tercero, el Artículo 16(2) otorga al CSIRT receptor el deber de difundir la notificación a otros CSIRT cuyo territorio el fabricante haya indicado como afectado. El enrutamiento transfronterizo ocurre dentro de la plataforma.

El SRP también recibe los informes voluntarios del Artículo 15 y es el canal para la notificación de 72 horas y el informe final bajo el Artículo 14(2) y 14(4). Ambos flujos comparten el mismo SRP y el mismo registro.

Quién debe registrarse

El Artículo 14 se aplica a los fabricantes de productos con elementos digitales. Los deberes de notificación del Artículo 14(1) y 14(3) están dirigidos al fabricante y solo al fabricante.

Los importadores y distribuidores tienen obligaciones más limitadas. Según el Artículo 19(5) segundo párrafo, un importador que tenga conocimiento de una vulnerabilidad "informará al fabricante sin demora injustificada sobre esa vulnerabilidad"; los distribuidores tienen el deber equivalente según el Artículo 20(4) segundo párrafo. Ninguno de ellos se registra en el SRP, ninguno presenta informes del Artículo 14, ninguno hereda el reloj de 24h. Véase importador y distribuidor.

Un fabricante no perteneciente a la UE puede canalizar las obligaciones del Artículo 14 a través de un representante autorizado bajo el Artículo 18, siempre que el mandato cubra la notificación. El Artículo 18(2) excluye del mandato del AR el Artículo 13(1) al (11), el Artículo 13(12) primer párrafo y el Artículo 13(14), pero no excluye el Artículo 14, por lo que un mandato escrito que cubra expresamente la notificación del Artículo 14 es exigible. El AR mantiene las credenciales del SRP y presenta las notificaciones en nombre del fabricante.

Requisitos previos al registro

Seis elementos que la organización debe tener listos antes del registro. La ausencia de cualquiera de ellos en el momento del registro bloquea el alta.

Requisito Referencia al artículo Qué necesita
Entidad jurídica en el Estado miembro del establecimiento principal Artículo 14(7) Un registro inequívoco de entidad jurídica que permita al SRP asignar el CSIRT coordinador (el Estado "donde se toman principalmente las decisiones relacionadas con la ciberseguridad de sus productos con elementos digitales").
Único punto de contacto del Artículo 13(17) Artículo 13(17) tercer párrafo Un canal orientado al usuario que "no limitará dichos medios a herramientas automatizadas". Los buzones de solo respuesta automática no cumplen el requisito. Publicado en la información dirigida al usuario del Anexo II.
Contacto de seguridad separado orientado a las autoridades Artículo 14 + Artículo 16(5) (previsto) Un segundo contacto para ENISA y el CSIRT coordinador, distinto del canal del Artículo 13(17) orientado al usuario. El mismo buzón no debe gestionar ambos.
Credenciales de identidad Artículo 16(5) (especificación pendiente) Los fabricantes de la UE deben esperar identificación electrónica reconocida por eIDAS. Los fabricantes no pertenecientes a la UE verifican la identidad a través de la cadena del AR. Las credenciales técnicas exactas forman parte de las especificaciones del Artículo 16(5).
Inventario del catálogo de productos Artículo 14(2)(a) Una lista actualizada de productos y los Estados miembros donde cada uno ha sido puesto a disposición. Sin ella, el aviso temprano no puede indicar correctamente los territorios afectados.
Escalada interna documentada Artículo 14(1) Un procedimiento escrito que lleve a la organización desde la detección hasta la presentación al SRP en menos de 24 horas, con cobertura fuera del horario laboral. "Sin demora injustificada y en cualquier caso en un plazo de 24 horas" no deja margen para una escalada improvisada.

Cronograma: de hoy al primer evento notificable

Cronograma del SRP: construcción por ENISA y preparación del fabricante a ambos lados del corte del 11 de septiembre de 2026 Diagrama de dos por dos. Las filas separan la responsabilidad de ENISA de la del fabricante. Las columnas dividen el cronograma por el 11 de septiembre de 2026: preparación previa al corte a la izquierda, operación en vivo posterior al corte a la derecha. ENISA antes del corte está construyendo la plataforma bajo las especificaciones del Artículo 16(5) y los actos de ejecución del Artículo 14(10); ENISA después del corte es el SRP recibiendo cada notificación del Artículo 14. El fabricante antes del corte prepara la entidad jurídica, los contactos separados del Artículo 13(17) y del SRP, el catálogo de productos, el SLA de escalada de 24h y el mandato del AR cuando corresponda; después del corte, el fabricante está registrado y ejecuta el reloj de aviso temprano de 24h del Artículo 14(1) en el primer evento. Corte del SRP: construcción de ENISA y prep. del fabricante a ambos lados del 11 Sep 2026 11 Sep 2026 PRE-CORTE (hoy → 11 Sep 2026) POST-CORTE (Artículo 14 aplica) ENISA Fabricante Construyendo el SRP Especificaciones Art. 16(5) Actos de ejecución Art. 14(10) SRP operativo Recibe cada informe del Artículo 14 Enrutamiento CSIRT según Art. 14(7) + 16(2) Preparación Entidad jurídica, contactos separados, catálogo de productos, SLA 24h, mandato AR Registrado, listo en 24h Primer evento activa Art. 14(1): conocimiento → aviso temprano 24h
El 11 de septiembre de 2026 está fijado por el Artículo 71(2). El periodo previo al corte es de preparación; el posterior al corte es de notificación regulada contra un reloj de 24 horas. Actualizaremos esta página cuando ENISA publique el flujo de registro en vivo.
El SRP aún no está operativo

ENISA está construyendo la plataforma bajo el Artículo 16(5) en cooperación con la red de CSIRT. Las pantallas exactas de registro, el mecanismo de credenciales y los puntos de acceso electrónicos de notificación están sujetos a las especificaciones del Artículo 16(5) y a los actos de ejecución del Artículo 14(10). El marco que se describe a continuación refleja el texto del reglamento y lo que se conoce públicamente a fecha de 2026-05-05; verifique con la orientación actualizada de ENISA antes de dar por definitivo cualquier paso concreto de la interfaz. La fecha de entrada en vigor del Artículo 14, el 11 de septiembre de 2026, está fijada por el Artículo 71(2).

Flujo de registro previsto

Las pantallas exactas de registro dependen de las especificaciones del Artículo 16(5) y de los actos de ejecución del Artículo 14(10), ambos en proceso de finalización. Actualizaremos esta sección cuando ENISA publique el flujo en vivo. Basándose en el texto del reglamento, se puede esperar que el registro verifique la entidad jurídica, capture el contacto de autoridad del SRP (distinto del contacto de usuario del Artículo 13(17)), registre el catálogo de productos con su cobertura por Estado miembro y asigne el CSIRT coordinador bajo el Artículo 14(7). Tras el registro, el mismo punto de acceso gestiona todas las presentaciones posteriores: aviso temprano de 24 horas, notificación de 72 horas, informes intermedios a solicitud del CSIRT (Artículo 14(6)) y el informe final.

Escalada interna: cumplir el reloj de 24h

El Artículo 14(1) inicia el reloj en el momento del conocimiento, no de la confirmación. Lo difícil es pasar de "acabamos de enterarnos" a "acabamos de presentar" en menos de 24 horas, incluso fuera del horario laboral.

Paso ¿Dentro de las 24h? Notas
Detección Ingeniería interna, informes de clientes, monitorización, inteligencia de amenazas, recepción de CVD. Las rutas de triaje para "activamente explotada" e "incidente grave" deben ser distintas.
Triaje Utilizar las señales de puntuación de gravedad (CVSS / EPSS / KEV) como entradas. La evidencia de explotación es el activador del Artículo 14(1); la gravedad por sí sola no lo es.
Revisión legal En paralelo Una espera en serie para la aprobación legal hace que se pierdan las 24h. El Artículo 14(2)(a) permite al fabricante indicar sensibilidad; el Artículo 16(2) permite a la plataforma retener la difusión por razones de ciberseguridad.
Aviso temprano al SRP Artículo 14(2)(a) o 14(4)(a).
Notificación de 72h Después de 24h Artículo 14(2)(b) o 14(4)(b).
Informe final 14 días (vuln.) / 1 mes (incidente) Artículo 14(2)(c) desde que la medida correctora esté disponible; Artículo 14(4)(c) desde la notificación de 72h. Relojes distintos.

Un proceso de triaje que "habitualmente tarda 48 horas" es estructuralmente no conforme.

Enrutamiento al CSIRT

El Artículo 14(7) dirige la notificación al CSIRT del Estado miembro del establecimiento principal ("donde se toman principalmente las decisiones relacionadas con la ciberseguridad de sus productos con elementos digitales"). Para los fabricantes sin establecimiento principal en la Unión, el tercer párrafo aplica una cadena de reserva de cuatro pasos: Estado miembro del AR, luego importador, luego distribuidor, luego concentración de usuarios. Tras la presentación, el Artículo 16(2) gestiona la difusión transfronteriza a los CSIRT de otros Estados miembros afectados.

Errores habituales

  • Registrarse solo después del primer evento notificable. El reloj de 24h no se detiene durante el alta. Regístrese con suficiente antelación al 11 de septiembre de 2026.
  • Un security@ genérico con respuesta automática. Entra en conflicto con el Artículo 13(17) tercer párrafo para el canal orientado al usuario y no es apto para el canal de autoridad del SRP.
  • Sin productos asignados al registro, o con datos obsoletos. El Artículo 14(2)(a) exige que el aviso temprano indique los Estados miembros afectados; sin un inventario actualizado, el aviso temprano es incompleto.
  • Sin SLA interno para el reloj de 24h. La ruta de detección a presentación necesita un presupuesto de tiempo explícito.
  • Presentar por correo electrónico al CSIRT nacional. Los Artículos 14(1) y 14(3) nombran el SRP. El correo electrónico a un CSIRT nacional no es equivalente.
  • Tratar al AR como una dirección de reenvío. El mandato del AR de un fabricante no perteneciente a la UE bajo el Artículo 18(1) debe cubrir expresamente la notificación del Artículo 14 y el AR debe disponer de credenciales del SRP.

Preguntas frecuentes

¿Está el SRP operativo hoy?

No. ENISA está desarrollando la plataforma bajo el Artículo 16(5) en cooperación con la red de CSIRT. El Artículo 71(2) fija la fecha de entrada en operación el 11 de septiembre de 2026, cuando el Artículo 14 comienza a aplicarse. El flujo exacto de registro de la plataforma, el mecanismo de credenciales y los puntos de acceso electrónicos de notificación están sujetos a las especificaciones del Artículo 16(5) y a los actos de ejecución del Artículo 14(10). Trate la orientación pública actual como provisional y verifique con ENISA antes de basarse en cualquier paso concreto de la interfaz.

¿Cuándo entra en operación el SRP para la notificación de los fabricantes?

El Artículo 71(2) dispone: "El Artículo 14 será aplicable a partir del 11 de septiembre de 2026". Esa es la fecha en que los fabricantes deben poder presentar a través del SRP. La entrada en operación de la plataforma la fija ENISA bajo el Artículo 16(5) y los actos de ejecución del Artículo 14(10); verifique con la orientación actualizada de ENISA a medida que se acerque la fecha.

¿Se registran los importadores y distribuidores en el SRP?

No. Su deber es informar al fabricante sobre una vulnerabilidad bajo el Artículo 19(5) segundo párrafo (importadores) y el Artículo 20(4) segundo párrafo (distribuidores). La notificación al Artículo 14 a través del SRP es la obligación del fabricante.

¿Puede un fabricante no perteneciente a la UE registrarse directamente?

La vía habitual es a través de un representante autorizado bajo el Artículo 18(1), con un mandato escrito que cubra la notificación del Artículo 14. El AR mantiene las credenciales del SRP y presenta en nombre del fabricante. El AR no puede sustituir al fabricante en las obligaciones excluidas por el Artículo 18(2) (Artículo 13(1) al (11), Artículo 13(12) primer párrafo, Artículo 13(14)).

¿Qué ocurre si la presentación al SRP falla?

El SRP es el canal nombrado bajo el Artículo 14(1) y 14(3). Si la plataforma no está disponible, contacte con el CSIRT coordinador a través del contacto publicado de su punto de acceso electrónico de notificación y documente el fallo. El reloj de 24h no queda suspendido por problemas técnicos; busque la mejor notificación posible dentro de la ventana y deje constancia de por qué el SRP era inaccesible.

¿Es el único punto de contacto del Artículo 13(17) el mismo que el contacto de registro en el SRP?

No. El Artículo 13(17) es un canal orientado al usuario que "no limitará dichos medios a herramientas automatizadas" y se publica en la información dirigida al usuario del Anexo II. El contacto de registro en el SRP es un canal orientado a las autoridades para ENISA y el CSIRT coordinador. Ambos son obligatorios y no deben compartir buzón.

Próximos pasos para estar listo el 11 de septiembre de 2026

  1. Siga la orientación de ENISA sobre el SRP y las especificaciones del Artículo 16(5). Suscríbase a las actualizaciones de ENISA y al boletín del CSIRT coordinador del Estado miembro, de modo que el día en que abra el flujo de registro el equipo esté al tanto.
  2. Designe un punto de contacto para el SRP distinto del único punto de contacto orientado al usuario del Artículo 13(17).
  3. Documente el flujo de escalada interna desde la detección hasta el aviso temprano, con un SLA explícito de menos de 24 horas y cobertura fuera del horario laboral.
  4. Realice un ejercicio de simulación que reproduzca una vulnerabilidad activamente explotada y verifique que una presentación al SRP puede completarse dentro de la ventana del Artículo 14(1). Utilice la plantilla de formulario de notificación publicada por ENISA como sustituto hasta que el formulario definitivo esté disponible.
  5. Si depende de un representante autorizado, confirme que el mandato del AR del Artículo 18(1) cubre la notificación del Artículo 14 y que el AR dispone de credenciales del SRP y un mapeo actualizado del catálogo de productos.
  6. Confirme que el enrutamiento al CSIRT del Estado miembro bajo el Artículo 14(7) corresponde a su establecimiento principal real.
  7. Para las cadencias y la definición legal de "activamente explotada", continúe con notificación de vulnerabilidades; para el régimen de gestión, véase gestión de vulnerabilidades; para las obligaciones completas del fabricante, véase la página del rol.