Art. 3 · Condiciones de aplicación de los motivos relacionados con la ciberseguridad derivados de la naturaleza de la información notificada

Art. 3

Condiciones de aplicación de los motivos relacionados con la ciberseguridad derivados de la naturaleza de la información notificada

En vigor desde 11 dic 2025
Artículo 3 Condiciones de aplicación de los motivos relacionados con la ciberseguridad derivados de la naturaleza de la información notificada El CSIRT que reciba inicialmente la notificación podrá decidir aplazar, durante un período de tiempo limitado al estrictamente necesario, la difusión de notificaciones o partes de ellas a los CSIRT pertinentes en los casos en que, a la luz de la sensibilidad de la información notificada, los riesgos de ciberseguridad planteados por la difusión superen sus beneficios en materia de seguridad y dichos riesgos no puedan paliarse imponiendo restricciones a la gestión y a la difusión a terceros de la notificación a través de protocolos adecuados, como el Protocolo TLP (del inglés, «traffic light protocol» o «protocolo del semáforo») para el intercambio de información o el Protocolo de Acciones Admisibles, y cuando se cumpla al menos una de las condiciones siguientes: a) que el fabricante haya informado al CSIRT que recibió inicialmente la notificación de que se espera que se ponga a disposición en un plazo de setenta y dos horas una medida eficaz de reducción de riesgos, como una actualización de seguridad u orientaciones para los usuarios; si no se pone a disposición una medida eficaz de reducción de riesgos dentro de este plazo, el CSIRT que haya recibido inicialmente la notificación difundirá la notificación a los CSIRT pertinentes; b) que la información incluida en la notificación se considere suficiente, a la luz de la naturaleza de la vulnerabilidad aprovechada activamente notificada, para crear una técnica para aprovechar esa vulnerabilidad, en particular cuando la vulnerabilidad pueda ser fácilmente detectada y aprovechada por agentes con capacidades y recursos limitados; una vez que se disponga de una medida eficaz de reducción de riesgos, como una actualización de seguridad u orientaciones para los usuarios, el CSIRT que haya recibido inicialmente la notificación difundirá la notificación a los CSIRT pertinentes; c) que el CSIRT que haya recibido inicialmente la notificación pueda compartir con los CSIRT pertinentes información suficiente para garantizar que los CSIRT pertinentes puedan poner en marcha medidas adecuadas de reducción del riesgo; una vez que se disponga de una medida eficaz de reducción de riesgos, como una actualización de seguridad u orientaciones para los usuarios, el CSIRT que haya recibido inicialmente la notificación difundirá la notificación completa a los CSIRT pertinentes; d) que el CSIRT que haya recibido inicialmente la notificación de la vulnerabilidad aprovechada activamente haya sido informado de ello como parte de una divulgación coordinada de vulnerabilidades para la que dicho CSIRT actúa como intermediario de confianza de conformidad con el artículo 12, apartado 1, de la Directiva (UE) 2022/2555; en tal caso, y de conformidad con el artículo 16, apartado 6, del Reglamento (UE) 2024/2847, el CSIRT que haya recibido inicialmente la notificación la difundirá a los CSIRT pertinentes cuando un aplazamiento ya no sea estrictamente necesario y las partes implicadas en la divulgación coordinada de vulnerabilidades den su consentimiento para la divulgación.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2026:881:oj#art-3