Artículo 14 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

1. Los fabricantes notificarán simultáneamente al CSIRT designado como coordinador, de conformidad con el apartado 7 del presente artículo, y a la ENISA cualquier vulnerabilidad aprovechada activamente presente en el producto con elementos digitales de la que tengan conocimiento. El fabricante notificará dicha vulnerabilidad aprovechada activamente a través de la plataforma única de notificación establecida en virtud del artículo 16.

2. A efectos de la notificación a que se refiere el apartado 1, el fabricante presentará:

a) una notificación de alerta temprana de la vulnerabilidad aprovechada activamente, sin demora indebida y, en todo caso, en un plazo de veinticuatro horas desde que el fabricante haya tenido conocimiento de ella, que indique, cuando proceda, los Estados miembros en cuyo territorio el fabricante tenga conocimiento de que se ha comercializado su producto con elementos digitales;

b) a menos que ya se haya facilitado la información pertinente, una notificación de la vulnerabilidad, sin demora indebida y, en todo caso, en un plazo de setenta y dos horas a partir del momento en que el fabricante haya tenido conocimiento de la vulnerabilidad aprovechada activamente, que proporcionará la información general disponible sobre el producto con elementos digitales en cuestión, la naturaleza general de la vulnerabilidad en cuestión y el modo en que es aprovechada, así como sobre las medidas correctoras o paliativas adoptadas y las medidas correctoras o paliativas que los usuarios pueden adoptar, y que también indicará, cuando proceda, en qué medida el fabricante considera sensible la información notificada;

c) a menos que ya se haya facilitado la información pertinente, un informe final, a más tardar catorce días después de que se disponga de una medida correctora o paliativa, que incluya, como mínimo, lo siguiente:

i) una descripción de la vulnerabilidad, que incluya su gravedad y sus repercusiones,

ii) cuando se disponga de ella, información relativa a cualquier agente malintencionado que haya aprovechado o esté aprovechando la vulnerabilidad,

iii) detalles sobre la actualización de seguridad u otras medidas correctoras disponibles para subsanar la vulnerabilidad.

3. Los fabricantes notificarán simultáneamente al CSIRT designado como coordinador, de conformidad con el apartado 7 del presente artículo, y a la ENISA cualquier incidente grave que repercuta en la seguridad de un producto con elementos digitales del que tengan conocimiento. El fabricante notificará dicho incidente a través de la plataforma única de notificación establecida en virtud del artículo 16.

4. A efectos de la notificación a que se refiere el apartado 3, el fabricante presentará:

a) una notificación de alerta temprana del incidente grave que repercute en la seguridad de un producto con elementos digitales, sin demora indebida y, en todo caso, en un plazo de veinticuatro horas desde que el fabricante haya tenido conocimiento de él, que indique como mínimo si se sospecha que el incidente se debe a actos ilegales o malintencionados y que también indicará, cuando proceda, los Estados miembros en cuyo territorio el fabricante tenga conocimiento de que se ha comercializado su producto con elementos digitales;

b) a menos que ya se haya facilitado la información pertinente, una notificación del incidente, sin demora indebida y, en todo caso, en un plazo de setenta y dos horas a partir del momento en que el fabricante haya tenido conocimiento del incidente, que proporcionará la información general disponible sobre la naturaleza del incidente, una evaluación inicial de este, así como información sobre las medidas correctoras o paliativas adoptadas y las medidas correctoras o paliativas que los usuarios pueden adoptar, y que también indicará, cuando proceda, hasta qué punto el fabricante considera sensible la información notificada;

c) a menos que ya se haya facilitado la información pertinente, un informe final, en el plazo de un mes después de presentar la notificación del incidente contemplada en la letra b), en el que se recojan al menos los siguientes elementos:

i) una descripción detallada del incidente, que incluya su gravedad y sus repercusiones,

ii) el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente,

iii) las medidas paliativas aplicadas y en curso.

5. A efectos del apartado 3, un incidente que repercuta en la seguridad de un producto con elementos digitales se considerará grave cuando:

a) afecte o puede afectar negativamente a la capacidad de un producto con elementos digitales para proteger la disponibilidad, autenticidad, integridad o confidencialidad de datos o funciones sensibles o importantes, o

b) haya llevado o pueda llevar a la introducción o ejecución de código malicioso en un producto con elementos digitales o en la red y los sistemas de información de un usuario del producto con elementos digitales.

6. En caso necesario, el CSIRT designado como coordinador que reciba inicialmente la notificación podrá solicitar a los fabricantes que faciliten un informe provisional con actualizaciones pertinentes de la situación relativas a la vulnerabilidad aprovechada activamente o al incidente grave que repercute en la seguridad de un producto con elementos digitales.

7. Las notificaciones a que se refieren los apartados 1 y 3 del presente artículo se presentarán a través de la plataforma única de notificación a que se refiere el artículo 16, utilizando uno de los nodos finales para notificaciones electrónicas a que se refiere el artículo 16, apartado 1. La notificación se presentará utilizando el nodo final para notificaciones electrónicas del CSIRT designado como coordinador del Estado miembro en el que el fabricante tenga su establecimiento principal en la Unión, y será accesible simultáneamente para la ENISA.

A efectos del presente Reglamento, se considerará que el establecimiento principal en la Unión del fabricante se encuentra en el Estado miembro en el que se adopten de forma predominante las decisiones relativas a la ciberseguridad de sus productos con elementos digitales. Si no puede determinarse dicho Estado miembro, se considerará que el establecimiento principal se encuentra en el Estado miembro en el que el fabricante de que se trate tenga el establecimiento con mayor número de trabajadores en la Unión.

Cuando un fabricante no tenga un establecimiento principal en la Unión, presentará las notificaciones a que se refieren los apartados 1 y 3 utilizando el nodo final para notificaciones electrónicas del CSIRT designado como coordinador en el Estado miembro que se determine según la siguiente prelación y sobre la base de la información de que disponga el fabricante:

a) el Estado miembro en el que esté establecido el representante autorizado que actúe en nombre del fabricante para el mayor número de productos con elementos digitales de dicho fabricante;

b) el Estado miembro en el que esté establecido el importador que introduzca en el mercado el mayor número de productos con elementos digitales de dicho fabricante;

c) el Estado miembro en el que esté establecido el distribuidor que comercialice el mayor número de productos con elementos digitales de dicho fabricante;

d) el Estado miembro en el que esté situado el mayor número de usuarios de productos con elementos digitales de dicho fabricante.

En relación con el párrafo tercero, letra d), un fabricante podrá presentar notificaciones relacionadas con cualquier vulnerabilidad posterior aprovechada activamente, o cualquier incidente grave posterior que repercuta en la seguridad de un producto con elementos digitales, al mismo CSIRT designado como coordinador al que haya presentado la primera notificación.

8. Una vez tenga conocimiento de una vulnerabilidad aprovechada activamente o de un incidente grave con repercusiones en la seguridad de un producto con elementos digitales, el fabricante informará a los usuarios afectados del producto con elementos digitales -y, cuando proceda, a todos los usuarios- sobre la dicha vulnerabilidad o incidente y, cuando así se requiera, sobre cualquier reducción de riesgos y las medidas correctoras que los usuarios puedan adoptar para atenuar las repercusiones de la vulnerabilidad o del incidente, en su caso en un formato legible por máquina estructurado que sea fácilmente susceptible de tratamiento automatizado. Cuando el fabricante no informe en el plazo oportuno a los usuarios del producto con elementos digitales, los CSIRT designados como coordinadores que hayan sido notificados podrán facilitar dicha información a los usuarios cuando se considere proporcionado y necesario para prevenir o mitigar las repercusiones de la vulnerabilidad o el incidente en cuestión.

9. A más tardar 11 de diciembre de 2025, la Comisión adoptará actos delegados de conformidad con el artículo 61 del presente Reglamento para completar el presente Reglamento mediante la especificación de las condiciones de aplicación de los motivos relacionados con la ciberseguridad en lo que respecta al aplazamiento de la difusión de notificaciones a que se refiere el artículo 16, apartado 2, del presente Reglamento. La Comisión cooperará con la red de CSIRT establecida en virtud del artículo 15 de la Directiva (UE) 2022/2555 y con la ENISA en la preparación de los proyectos de actos delegados.

10. La Comisión podrá, mediante actos de ejecución, especificar el formato y los procedimientos de las notificaciones a que se refieren el presente artículo y los artículos 15 y 16. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 62, apartado 2. La Comisión cooperará con la red de CSIRT y con la ENISA en la preparación de los proyectos de estos actos de ejecución.