CRA Reporting: 24h, 72h & 14-Day Deadlines (Article 14)

01Qué debe notificarse

El artículo 14 del Cyber Resilience Act establece dos obligaciones de notificación diferenciadas para los fabricantes de productos con elementos digitales. Son más acotadas de lo que parece a primera vista: los fallos rutinarios y los parches ordinarios no están dentro del ámbito. Art. 14

Vulnerabilidades explotadas activamente; una vulnerabilidad en su producto que está siendo utilizada en un ataque. Una vulnerabilidad que usted descubra y corrija antes de que sea explotada se gestiona a través de su proceso normal de proceso de gestión de vulnerabilidades, no este canal de notificación.
Incidentes graves; un incidente que tiene un impacto grave en la seguridad del producto, por ejemplo, uno que comprometa la confidencialidad, integridad o disponibilidad para los usuarios.

La prueba de

Si una debilidad de seguridad en su producto está siendo explotada activamente, o un incidente de seguridad le ha afectado gravemente, comienza el plazo del artículo 14. Todo lo demás se gestiona dentro de su proceso ordinario de gestión de vulnerabilidades.

02Los tres plazos

Cada notificación se desarrolla en tres etapas, medidas desde el momento en que usted tenga conocimiento de la vulnerabilidad explotada o del incidente grave. Los plazos son ajustados, por lo que la preparación previa importa más que el proceso en el momento. Art. 14(2)–(4)

En el plazo de 24 hAviso temprano. Una primera notificación de que se ha producido una vulnerabilidad explotada activamente o un incidente grave, incluido si se sospecha que ha sido causado por actos ilícitos o maliciosos.
En el plazo de 72 hNotificación de vulnerabilidad / incidente. Una descripción más completa, que incluya una evaluación inicial, la gravedad y el impacto, y, cuando estén disponibles, las medidas correctoras o mitigadoras adoptadas.
En el plazo de 14 díasInforme final. Una vez disponible una medida correctora: una descripción de la vulnerabilidad o incidente, su gravedad e impacto, y la corrección aplicada. Para los incidentes, el plazo comienza desde que el incidente es gestionado.

03A quién se notifica

Las notificaciones se dirigen a ENISA y al CSIRT designado como coordinador para el Estado miembro interesado. No tiene que ponerse en contacto con cada autoridad por separado: el CRA establece una plataforma única de notificación, creada y gestionada por ENISA, como punto de entrada único para todas las notificaciones. Art. 14 · 16

La plataforma dirige cada notificación al CSIRT nacional competente y, cuando sea necesario, a otras autoridades. En casos excepcionales —por ejemplo, cuando la divulgación crearía un riesgo de ciberseguridad desproporcionado— el Reglamento permite que una notificación sea limitada, pero el criterio por defecto es la notificación completa y oportuna a través de la plataforma.

Estado · mediados de 2026

La plataforma única de notificación está todavía no disponible con carácter general. ENISA todavía la está desarrollando (el desarrollo fue licitado y adjudicado), y está publicando material de registro, incorporación y simulacros en el período previo. Está previsto que sea operativa para la fecha de inicio del 11 de septiembre de 2026, con un período de pruebas antes de esa fecha; por tanto, hoy no existe una plataforma activa en la que registrarse.

04Cuándo comienza

Las obligaciones de notificación son la primera parte importante del CRA en entrar en vigor. Mientras que la mayoría de las disposiciones son aplicables desde el 11 de diciembre de 2027, el artículo 14 es aplicable desde el 11 de septiembre de 2026; 21 meses después de la entrada en vigor del Reglamento. La plataforma única de notificación está prevista que sea operativa para esa fecha. Art. 71

Por qué esta es la primera fecha límite que importa

A diferencia del Marcado CE, que se completa una sola vez antes de comercializar un producto, la notificación es una obligación activa y continua que comienza en septiembre de 2026 y puede activarse en cualquier momento a partir de entonces. Estar preparado no es un proyecto puntual.

En proceso de finalización

El formato y procedimiento para las notificaciones puede especificarse más detalladamente mediante actos de ejecución de la Comisión, y las normas armonizadas que sustentan la gestión de vulnerabilidades están previstas para en torno al 30 de agosto de 2026. Ambos están previstos para llegar solo poco antes del inicio de la obligación. La conclusión práctica: establezca ahora su proceso interno de detección y notificación; no espere a que se definan los mecanismos finales de la plataforma ni a que se publique una plantilla de notificación, porque la obligación es aplicable desde el 11 de septiembre de 2026 independientemente.

05Cómo estar preparado

Cumplir el plazo de 24 horas es un problema operativo, no burocrático. Los fabricantes que lo cumplirán son los que ya saben qué contienen sus productos y lo monitorizan de forma continua.

Mantenga un SBOM preciso; no puede notificar sobre un componente que no sabía que había incluido. Mantenga un SBOM y actualícelo a medida que cambien las versiones.
Monitorícelo de forma continua; coteje sus componentes con fuentes de vulnerabilidades conocidas para que un fallo explotado activamente se detecte en horas, no semanas.
Defina el proceso con antelación; decida ahora quién determina que una notificación es necesaria, quién la redacta y quién la envía, para que el tiempo no se consuma en escaladas internas.
Haga seguimiento de los requisitos subyacentes; el matriz de cumplimiento vincula la notificación a las obligaciones más amplias de gestión de vulnerabilidades del Anexo I en las que se encuadra.

El SBOM y analizador de vulnerabilidades cubre los dos primeros: coteja su lista de materiales con el NVD y la base de datos de vulnerabilidades de la UE (EUVD), de modo que un componente explotado activamente se detecta dentro del plazo de 24 horas.

Abrir el analizador de vulnerabilidades →El CRA, explicado →

06Preguntas frecuentes

¿Qué debo notificar en virtud del CRA y con qué rapidez?

Las vulnerabilidades explotadas activamente y los incidentes graves que afecten a la seguridad de su producto. Debe enviar un aviso temprano en las 24 horas siguientes a tener conocimiento, una notificación más completa en las 72 horas, y un informe final en los 14 días siguientes a que esté disponible una medida correctora. Art. 14

¿Cuándo comienzan las obligaciones de notificación?

11 de septiembre de 2026; 21 meses después de la entrada en vigor del Reglamento, y con bastante antelación a la aplicación plena el 11 de diciembre de 2027.

¿A quién debo notificar?

ENISA y el CSIRT nacional designado como coordinador, a través de la plataforma única de notificación que ENISA establece en virtud del artículo 16. Es un punto de entrada único en lugar de notificaciones separadas.

¿Debo notificar cada fallo o vulnerabilidad?

No. Solo son notificables las vulnerabilidades explotadas activamente y los incidentes graves. Las vulnerabilidades que detecte y corrija antes de su explotación se gestionan mediante su proceso ordinario de gestión de vulnerabilidades.

¿Está ya disponible la plataforma única de notificación de ENISA?

Todavía no. A mediados de 2026 sigue en fase de desarrollo en virtud del artículo 16; ENISA está publicando material de registro y simulacros en el período previo y la plataforma está prevista que sea operativa el 11 de septiembre de 2026, con un período de pruebas antes de esa fecha.

¿Existe ya un formato o plantilla estándar para las notificaciones?

No definitivo. La Comisión puede especificar el formato y el procedimiento de las notificaciones mediante actos de ejecución, y se espera que las normas armonizadas que sustentan la gestión de vulnerabilidades estén disponibles en torno al 30 de agosto de 2026. Prepare su proceso interno ahora en lugar de esperar a los mecanismos publicados; la obligación es aplicable desde el 11 de septiembre de 2026 independientemente.

Notificación de incidentes y vulnerabilidades en virtud del CRA