ENISA Plataforma Única de Notificación (SRP): guía de alta CRA

Publicado 8 de mayo de 2026 Actualizado 15 de junio de 2026

La Ley Europea de Ciberresiliencia (Reglamento (UE) 2024/2847) canaliza por un único cauce las vulnerabilidades notificables y los incidentes graves de todo fabricante: la Plataforma Única de Notificación de ENISA (SRP). La plataforma aún no está operativa; entrará en funcionamiento el 11 de septiembre de 2026, cuando los deberes de notificación comiencen a aplicarse. ENISA ha indicado que el manual de acceso e instrucciones de registro, junto con material de formación y simulacros, se publicarán durante junio de 2026, por lo que los detalles del proceso de alta siguen pendientes de publicación. Esta página cubre qué deben preparar ahora los fabricantes, el flujo de registro previsto y cómo articular una escalada interna que encaje en el reloj de 24 horas. Para las cadencias, véase notificación de vulnerabilidades.

Resumen

  • La Plataforma Única de Notificación es el único canal de notificación. Los fabricantes notifican a ENISA y al CSIRT coordinador a través de la plataforma. El correo electrónico a un CSIRT nacional no es un sustituto.
  • Prepárate antes del primer evento notificable. El reloj de 24 horas no se detiene por problemas de registro o de enrutamiento. Mantén listos los datos de entidad jurídica, producto, contactos y escalada antes de que la plataforma abra.
  • Los fabricantes son los obligados. Los importadores y distribuidores informan al fabricante. No presentan notificaciones ellos mismos. Un mandato de representante autorizado puede cubrir la notificación de un fabricante no perteneciente a la UE.
  • Separa los fines de cada contacto. El punto único de contacto para los usuarios es el canal orientado al usuario. El contacto de autoridad de la plataforma debe gestionarse por separado para que ENISA y el CSIRT coordinador lleguen al equipo de notificación.
  • El enrutamiento al CSIRT sigue al establecimiento principal. Las notificaciones se dirigen al CSIRT designado como coordinador en el Estado miembro del establecimiento principal, con una cadena de reserva para fabricantes no pertenecientes a la UE detallada en enrutamiento al CSIRT más abajo.
11 Sep 2026
Comienza la notificación
Fijado por el calendario del CRA
24h
Alerta temprana a la SRP
Desde el conocimiento hasta la presentación
Antes del primer evento
Preparación del registro
No espere a un caso notificable
Guía
Modelo sancionador
Cubierto aparte

El alta es una tarea de preparación, no algo que iniciar después de que el primer evento active el reloj de 24 horas.

Qué dice el CRA sobre la Plataforma Única de Notificación

ENISA crea y opera la Plataforma Única de Notificación (SRP). Los Estados miembros y ENISA pueden establecer sus propios nodos finales para notificaciones electrónicas bajo esa arquitectura. De ahí se derivan tres hechos operativos:

  • ENISA opera la plataforma. Los Estados miembros y ENISA pueden establecer además sus propios nodos finales para notificaciones electrónicas.
  • Una sola presentación llega a ambos niveles. El fabricante presenta a través del nodo final del CSIRT coordinador, y la notificación queda simultáneamente accesible para ENISA.
  • El enrutamiento transfronterizo ocurre dentro de la plataforma. El CSIRT receptor difunde la notificación a los demás CSIRT cuyo territorio el fabricante haya indicado como afectado.

La plataforma recibe además notificaciones voluntarias y es el canal para la notificación de 72 horas y el informe final. Ambos flujos comparten la misma arquitectura, aunque ENISA aún debe finalizar las pantallas operativas. ENISA ha indicado que la funcionalidad de notificación voluntaria se habilitará después del 11 de septiembre de 2026, es decir, tras el inicio de la notificación obligatoria, no antes.

Quién debe registrarse

Los fabricantes son los responsables de la notificación obligatoria por la Plataforma Única de Notificación. La obligación recae sobre los fabricantes de productos con elementos digitales, no sobre el resto de la cadena de suministro.

Los importadores y distribuidores informan al fabricante. No se registran en la plataforma, no presentan notificaciones ellos mismos ni heredan el reloj de 24 horas. Su deber es informar al fabricante sin demora indebida cuando tengan conocimiento de una vulnerabilidad. Véase importador y distribuidor.

Los fabricantes no pertenecientes a la UE necesitan claridad de enrutamiento. Un mandato escrito de representante autorizado puede cubrir la notificación obligatoria porque las exclusiones aplicables al representante autorizado no incluyen la propia notificación. Sin establecimiento principal en la Unión, el enrutamiento sigue la cadena de reserva: representante autorizado, importador, distribuidor y, en último lugar, concentración de usuarios.

Requisitos previos al registro

Seis insumos que la organización debería tener listos antes del registro. Las pantallas exactas de la Plataforma Única de Notificación siguen sujetas a especificación, pero la falta de cualquiera de estos insumos retrasará la primera presentación.

Requisito Lo que necesita
Entidad jurídica en el Estado miembro del establecimiento principal Un registro inequívoco de entidad jurídica que permita a la plataforma asignar el CSIRT coordinador (el Estado "en el que se adopten de forma predominante las decisiones relativas a la ciberseguridad de sus productos con elementos digitales").
Punto único de contacto para los usuarios Un canal orientado al usuario que "no limitará dichos medios a herramientas automatizadas". Los buzones de solo respuesta automática no cumplen el requisito. Publicado en la información para el usuario que acompaña al producto.
Contacto de seguridad orientado a las autoridades Un contacto para ENISA y el CSIRT coordinador, operativamente distinto del canal orientado al usuario. Los campos exactos del registro siguen sujetos a las especificaciones de ENISA.
Prueba de identidad y de autoridad Evidencia de que quien presenta puede actuar en nombre del fabricante. Los mecanismos exactos de credenciales siguen sujetos a las especificaciones y orientaciones de ENISA.
Inventario del catálogo de productos Una lista actualizada de los productos y los Estados miembros en los que cada uno se ha comercializado. Sin ella, la alerta temprana no puede indicar correctamente los territorios afectados.
Escalada interna documentada Un procedimiento escrito que lleve a la organización desde la detección hasta la presentación a la plataforma en menos de 24 horas, con cobertura fuera de horario. "Sin demora indebida y en cualquier caso en un plazo de 24 horas" no deja margen para escaladas improvisadas.

Calendario: de hoy al primer evento notificable

Calendario de la SRP: construcción por ENISA y preparación del fabricante a ambos lados del corte del 11 de septiembre de 2026 Diagrama de dos por dos. Las filas separan la responsabilidad de ENISA de la del fabricante. Las columnas dividen el calendario en el 11 de septiembre de 2026: preparación previa al corte a la izquierda, operación en vivo posterior al corte a la derecha. Antes del corte, ENISA construye la plataforma; tras el corte, ENISA opera la SRP que recibe cada evento notificable. Antes del corte, el fabricante prepara los datos de entidad jurídica, el enrutamiento de contactos, el catálogo de productos, el SLA de escalada de 24 horas y el mandato de representante autorizado cuando proceda; tras el corte, el fabricante está registrado y ejecuta el reloj de alerta temprana de 24 horas en el primer evento. Corte de la SRP: construcción por ENISA y preparación del fabricante a ambos lados del 11 Sep 2026 11 Sep 2026 ANTES DEL CORTE (hoy → 11 Sep 2026) TRAS EL CORTE (la notificación se aplica) ENISA Fabricante Construyendo la SRP Especificaciones en desarrollo Actos de ejecución pendientes SRP operativa Recibe cada evento notificable Enrutamiento transfronterizo de CSIRT Preparación Entidad jurídica, enrutamiento de contactos, catálogo de productos, SLA 24h, mandato AR Registrado, listo en 24h El primer evento activa el reloj: conocimiento → alerta temprana 24h
El 11 de septiembre de 2026 está fijado por el calendario del CRA. La fase previa al corte es de preparación; la posterior es de notificación regulada contra un reloj de 24 horas. ENISA ha indicado que el manual de acceso e instrucciones de registro se publicarán durante junio de 2026; actualizaremos esta página cuando estén disponibles.
La Plataforma Única de Notificación aún no está operativa

ENISA está construyendo la plataforma en cooperación con la red de CSIRT. Las pantallas exactas de registro, el mecanismo de credenciales y los nodos finales para notificaciones electrónicas siguen sujetos a las especificaciones de ENISA y a los actos de ejecución de la Comisión. El marco que sigue refleja el texto del Reglamento y lo que se conoce públicamente a fecha de 2026-06-10. ENISA ha indicado que el manual de acceso e instrucciones de registro están previstos para junio de 2026 pero aún no están publicados. Verifica frente a la página oficial de la Plataforma Única de Notificación de ENISA antes de dar por definitivo cualquier paso concreto de la interfaz. El corte del 11 de septiembre de 2026 está fijado en el calendario del CRA.

Flujo de registro previsto

Las pantallas exactas de la Plataforma Única de Notificación siguen sujetas a especificación. ENISA aún no ha publicado el flujo en vivo, por lo que esta sección es una lista de preparación, no una guía final de la interfaz.

Es previsible que el registro cubra cuatro aspectos:

  • Entidad jurídica: quién es el fabricante y dónde se encuentra su establecimiento principal.
  • Contacto de autoridad: el contacto de la plataforma para los mensajes de ENISA y del CSIRT coordinador, separado del canal orientado al usuario.
  • Cobertura de productos: el catálogo de productos y los Estados miembros donde se comercializan los productos afectados.
  • Enrutamiento del coordinador: la asignación del CSIRT conforme a las reglas de establecimiento principal y de reserva.

Tras el registro, el mismo nodo final gestiona las presentaciones posteriores: la alerta temprana de 24 horas, la notificación de 72 horas, los informes intermedios solicitados por el CSIRT y el informe final.

ENISA ha confirmado que en esta fase no se proporcionará una API de la Plataforma Única de Notificación. Planifica la preparación para la notificación inicial en torno a la presentación directa a través de la plataforma, sin automatización por API desde tus propias herramientas.

Base reglamentaria

  • Alerta temprana, notificación de 72 horas e informe final (flujo de vulnerabilidad).
  • Alerta temprana, notificación de 72 horas e informe final (flujo de incidente grave).
  • Informes intermedios solicitados por el CSIRT.
  • Especificaciones técnicas de la Plataforma Única de Notificación.
  • Actos de ejecución de la Comisión que enmarcan la plataforma.

Qué debe contener cada notificación a la Plataforma Única de Notificación

El artículo 14 define tres fases de notificación por evento notificable. Los requisitos de contenido difieren entre el flujo de vulnerabilidad explotada activamente y el flujo de incidente grave.

Vulnerabilidad explotada activamente:

Fase Plazo Contenido mínimo requerido
Alerta temprana 24 h desde el conocimiento Indicación de que una vulnerabilidad está siendo explotada activamente. Estados miembros donde el producto está disponible, si se conocen.
Notificación de vulnerabilidad 72 h desde el conocimiento Información general sobre el producto. Naturaleza general del exploit y de la vulnerabilidad. Medidas correctoras o de mitigación adoptadas. Medidas que los usuarios pueden tomar. Indicación de sensibilidad.
Informe final 14 días tras disponer de una medida correctora o de mitigación Descripción de la vulnerabilidad, incluida su gravedad e impacto. Información sobre posibles actores maliciosos que la hayan explotado, si está disponible. Detalles de la actualización de seguridad o medida correctora.

Incidente grave con impacto en la seguridad del producto:

Fase Plazo Contenido mínimo requerido
Alerta temprana 24 h desde el conocimiento Indicación de si se sospecha que el incidente fue causado por actos ilícitos o maliciosos. Estados miembros donde el producto está disponible, si se conocen.
Notificación del incidente 72 h desde el conocimiento Naturaleza del incidente. Evaluación inicial. Medidas correctoras o de mitigación adoptadas. Medidas que los usuarios pueden tomar. Indicación de sensibilidad.
Informe final 1 mes tras la notificación de 72 h Descripción detallada del incidente, incluida su gravedad e impacto. Tipo de amenaza o causa raíz que probablemente lo desencadenó. Medidas de mitigación aplicadas y en curso.

El CSIRT designado como coordinador también puede solicitar un informe intermedio entre la notificación de 72 h y el informe final. Ninguno de los dos flujos exige identificadores CVE ni puntuaciones CVSS en la fase de alerta temprana. La obligación de 24 h es notificar, no haber completado el análisis. El detalle técnico completo va en la notificación y en el informe final.

Escalada interna: cumplir el reloj de 24 horas

El reloj de 24 horas empieza con el conocimiento, no con la confirmación. Lo difícil es pasar de "acabamos de enterarnos" a "acabamos de presentar" en menos de 24 horas, incluso fuera del horario laboral. Un proceso de triaje que "habitualmente tarda 48 horas" es estructuralmente no conforme. La detección, el triaje, la revisión legal en paralelo y la presentación deben caber en el mismo día natural, también en fin de semana y fuera de horario.

Paso ¿Dentro de las 24h? Notas
Detección Ingeniería interna, informes de clientes, monitorización, inteligencia de amenazas, recepción de CVD. Las rutas de triaje para "aprovechada activamente" e "incidente grave" deben ser distintas.
Triaje Use las señales de puntuación de gravedad (CVSS / EPSS / KEV) como entradas. El detonante es la evidencia de explotación; la gravedad por sí sola no lo es.
Revisión legal En paralelo Una espera en serie por la aprobación legal hace perder las 24 horas. El fabricante puede señalar la sensibilidad y la plataforma puede aplazar la difusión por motivos relacionados con la ciberseguridad.
Alerta temprana a la Plataforma Única de Notificación Flujo de vulnerabilidad o flujo de incidente grave.
Notificación de 72h Después de 24h En un plazo de 72 horas desde el conocimiento.
Informe final 14 días (vuln.) / 1 mes (incidente) Vulnerabilidades: 14 días desde que la medida correctora esté disponible. Incidentes graves: un mes desde la notificación de 72 horas.

Enrutamiento al CSIRT

El enrutamiento al CSIRT sigue al establecimiento principal del fabricante en la Unión, es decir, el Estado miembro donde se adoptan de forma predominante las decisiones relativas a la ciberseguridad del producto. Sin establecimiento principal en la Unión, la cadena de reserva es: Estado miembro del representante autorizado, luego importador, luego distribuidor y por último concentración de usuarios. Tras la presentación, la difusión transfronteriza a los CSIRT de otros Estados miembros afectados se produce dentro de la Plataforma Única de Notificación. ENISA ha indicado que publicará la lista de CSIRT nacionales designados como coordinadores en una fase posterior. Confirma tu asignación de coordinador cuando esa lista esté disponible.

Plataforma Única de Notificación frente al contacto directo con el CSIRT nacional

Enviar un correo electrónico directamente a un CSIRT nacional no satisface la obligación de notificación del CRA, aunque el fabricante tenga una relación de trabajo previa con ese CSIRT.

Canal ¿Obligatorio para notificaciones CRA? Qué cubre
Plataforma Única de Notificación Notificaciones de vulnerabilidades explotadas activamente. Notificaciones de incidentes graves. Notificaciones voluntarias. Notificaciones de 72 h e informes finales.
Contacto directo con el CSIRT nacional No Coordinación de divulgación coordinada de vulnerabilidades. Intercambio de inteligencia de amenazas sectorial. Colaboración informal en respuesta a incidentes.

Los fabricantes con una relación previa con un CSIRT nacional pueden mantenerla para la coordinación CVD y el intercambio de inteligencia sectorial. Lo que debe pasar por la Plataforma Única de Notificación: toda notificación obligatoria bajo el artículo 14. La plataforma gestiona automáticamente el enrutamiento transfronterizo a los CSIRT de otros Estados miembros afectados. Una sola presentación llega a todos los CSIRT relevantes.

Errores comunes

  • Registrarse solo después del primer evento notificable. El reloj de 24 horas no se detiene por el alta. Regístrate bastante antes del 11 de septiembre de 2026.
  • Un security@ genérico con respuesta automática. Entra en conflicto con el requisito del canal orientado al usuario y no es apto como canal de autoridad de la Plataforma Única de Notificación.
  • Sin productos asignados al registro, o con datos obsoletos. La alerta temprana debe indicar los Estados miembros donde el producto se ha comercializado. Sin un inventario actualizado, la alerta temprana queda incompleta.
  • Sin SLA interno para el reloj de 24 horas. La ruta de detección a presentación necesita un presupuesto de tiempo explícito.
  • Notificar por correo electrónico al CSIRT nacional. La Plataforma Única de Notificación es el canal obligatorio. El correo a un CSIRT nacional no es equivalente.
  • Tratar al representante autorizado como una dirección de reenvío. El mandato del representante autorizado de un fabricante no perteneciente a la UE debe cubrir expresamente la notificación. El representante autorizado debe estar preparado para apoyar la presentación a la plataforma.

Preguntas frecuentes

¿Está activa la Plataforma Única de Notificación hoy y cuándo entra en operación?

Todavía no. La Plataforma Única de Notificación (SRP) no está activa para la notificación de fabricantes hoy; entra en operación el 11 de septiembre de 2026. ENISA la está desarrollando con la red de CSIRT y, a partir de esa fecha, los fabricantes deben poder presentar a través de la plataforma las vulnerabilidades notificables aprovechadas activamente y los incidentes graves. ENISA ha indicado que el manual de acceso e instrucciones de registro se publicarán durante junio de 2026. Hasta entonces, el flujo de registro, el mecanismo de credenciales y los nodos finales para notificaciones electrónicas siguen sujetos a las especificaciones de ENISA y a los actos de ejecución de la Comisión. Verifica la orientación en vivo de ENISA antes de confiar en un paso concreto de la interfaz.

¿Se registran los importadores y distribuidores en la Plataforma Única de Notificación?

No. Los importadores y distribuidores no asumen el deber de notificación del fabricante en la Plataforma Única de Notificación. Su deber CRA es informar al fabricante de la vulnerabilidad sin demora indebida. La notificación a través de la plataforma sigue siendo obligación del fabricante.

¿Puede registrarse directamente un fabricante no perteneciente a la UE?

Es posible, pero la cadena de reserva importa. Un mandato escrito de representante autorizado puede cubrir la notificación obligatoria porque las exclusiones aplicables al representante autorizado no incluyen la propia notificación. Para un fabricante sin establecimiento principal en la Unión, el enrutamiento sigue entonces la cadena disponible: representante autorizado, importador, distribuidor y, por último, concentración de usuarios.

¿Cómo sé si debo notificar una vulnerabilidad explotada activamente o un incidente grave?

Los dos flujos cubren superficies de ataque distintas. Una vulnerabilidad explotada activamente es un fallo en tu producto que un actor malicioso está usando contra tus usuarios. Un incidente grave es aquel que puede afectar a la disponibilidad, autenticidad, integridad o confidencialidad de los datos, o a la capacidad del producto para proteger datos o funciones sensibles o importantes, o que puede dar lugar a la introducción o ejecución de código malicioso en el producto o en los sistemas de información y redes de un usuario.

Una comunicación de bug bounty o un informe de divulgación coordinada de vulnerabilidades no activa ninguno de los dos flujos por sí sola. La notificación obligatoria aplica en cuanto existe una vulnerabilidad explotada activamente o un incidente grave que cumpla la definición.

El mismo ataque puede cruzar ambos límites a la vez. Si un atacante explota un fallo en tu producto y usa ese acceso para comprometer tu infraestructura de compilación, presentas dos notificaciones separadas, una por cada flujo, ambas con una alerta temprana de 24 horas desde el mismo momento en que tomaste conocimiento.

¿En qué momento exacto empieza a correr el reloj de 24 horas?

En el momento en que cualquier miembro de tu equipo de seguridad dispone de información creíble de que está ocurriendo un evento notificable. No cuando la dirección es informada. No cuando el equipo legal lo confirma. No cuando se identifica la causa raíz.

La alerta temprana de 24 horas solo necesita incluir una indicación de que hay explotación activa y los Estados miembros donde tu producto está disponible. El análisis técnico detallado va en la notificación de 72 horas. El Reglamento lo diseñó así: primero notificas, luego investigas en paralelo.

No existe ningún periodo de gracia para la evaluación. El reloj corre desde el primer conocimiento creíble.

¿Y si nuestra presentación a la Plataforma Única de Notificación falla?

Usa primero la vía de la plataforma y conserva evidencia del fallo. La Plataforma Única de Notificación es el canal obligatorio de notificación, así que el comportamiento de respaldo debe seguir la orientación de ENISA o del CSIRT coordinador cuando esté disponible. Los problemas técnicos no eliminan el deber de 24 horas. Conserva un registro con marca de tiempo de la incidencia, del intento de presentación y de cualquier contacto alternativo utilizado.

¿Es el punto único de contacto para los usuarios el mismo que el contacto de registro en la Plataforma Única de Notificación?

No. El contacto de usuario y el contacto de autoridad de la plataforma sirven a públicos distintos. El contacto orientado al usuario admite notificaciones de vulnerabilidades de usuarios y no puede limitarse a herramientas automatizadas. El contacto de la plataforma debe encaminar los mensajes de ENISA y del CSIRT coordinador al equipo de notificación, aunque ENISA precise más adelante los campos exactos del registro.

Próximos pasos para estar listo el 11 de septiembre de 2026

  1. Sigue la página oficial de la Plataforma Única de Notificación de ENISA y los boletines de los CSIRT para que los cambios de registro lleguen de inmediato al responsable de notificación.
  2. Designa un contacto de la plataforma orientado a las autoridades, distinto del canal de notificación de vulnerabilidades por usuarios.
  3. Documenta la escalada desde detección hasta presentación con un SLA de 24 horas y cobertura fuera de horario.
  4. Ejecuta un ejercicio de mesa para una vulnerabilidad aprovechada activamente y prueba la ruta preliminar de presentación a la plataforma.
  5. Confirma que cualquier mandato de representante autorizado cubre la notificación y el mapa de productos actual.
  6. Mapea el enrutamiento al CSIRT coordinador a tu establecimiento principal y continúa con notificación de vulnerabilidades y gestión de vulnerabilidades.