Ciberseguridad legal

Cyber Resilience Act (CRA)

El Cyber Resilience Act obliga a fabricantes, importadores y distribuidores de productos con elementos digitales —hardware y software con conexión a una red o a otro dispositivo— a incorporar la ciberseguridad desde el diseño y a notificar las vulnerabilidades explotadas activamente. Te acompañamos a identificar si tu producto entra en el alcance y a preparar el calendario de cumplimiento antes de que las obligaciones sean exigibles.

NormaReglamento (UE) 2024/2847
Notificación de vulnerabilidadesexigible desde el 11 de septiembre de 2026
Aplicación plena y marcado CEdesde el 11 de diciembre de 2027

El Reglamento (UE) 2024/2847, conocido como Cyber Resilience Act (CRA), entró en vigor el 10 de diciembre de 2024 y afecta a cualquier producto con elementos digitales que se comercialice en la UE: dispositivos IoT, software independiente, componentes de hardware y sus soluciones de tratamiento de datos a distancia.

No es un reglamento sectorial. Si fabricas o distribuyes un producto con una conexión lógica o física, directa o indirecta, a un dispositivo o a una red, probablemente estás dentro del alcance.

El calendario no es uniforme y conviene tenerlo claro para no llegar tarde. Desde el 11 de septiembre de 2026 son exigibles las obligaciones de notificación de vulnerabilidades explotadas activamente e incidentes graves que afecten a la seguridad del producto (artículo 14).

Esas notificaciones siguen plazos cortos: una alerta temprana en 24 horas, una notificación más detallada en 72 horas y un informe final posterior, a través de la plataforma única de notificación de ENISA.

La aplicación plena del Reglamento —requisitos esenciales de ciberseguridad, procedimientos de evaluación de la conformidad y marcado CE— llega el 11 de diciembre de 2027, treinta y seis meses después de la entrada en vigor.

Para una pyme fabricante o distribuidora, el trabajo de fondo está en el artículo 13 (obligaciones del fabricante) y en el anexo I: los requisitos esenciales de ciberseguridad del producto y, de forma diferenciada, los requisitos de gestión del ciclo de vida de las vulnerabilidades durante todo el periodo de soporte.

Esto implica documentación técnica del producto, un proceso real de gestión de vulnerabilidades —no solo una política escrita—, actualizaciones de seguridad disponibles para el usuario y criterios claros para decidir cuándo un fallo debe notificarse a las autoridades.

Ayudamos a valorar si tu producto entra en el alcance del CRA, a identificar los requisitos esenciales que le aplican según su categoría de riesgo y a construir el proceso interno de gestión de vulnerabilidades que exige el Reglamento, con vistas al marcado CE.

Trabajamos en paralelo con quien lleve el diseño y el desarrollo del producto: el CRA no se resuelve con un documento, se resuelve integrando la ciberseguridad en el proceso de fabricación.

El proceso de Cyber Resilience Act (CRA).

El proceso · cuatro tiempos
01

Valoración de alcance

Analizamos si tu producto tiene elementos digitales con conexión a una red o a otro dispositivo y si entra dentro del CRA.

02

Identificación de requisitos esenciales

Determinamos qué requisitos del anexo I aplican a tu producto según su categoría de riesgo.

03

Proceso de gestión de vulnerabilidades

Construimos contigo el proceso interno para detectar, documentar y notificar vulnerabilidades durante todo el periodo de soporte del producto.

04

Acompañamiento hacia el marcado CE

Trabajamos junto a quien diseña y desarrolla el producto para integrar la ciberseguridad en el proceso de fabricación, con vistas al marcado CE.

Qué incluye

Qué incluye Cyber Resilience Act (CRA).

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Valoración de alcance del CRA

    Determinación de si tu producto con elementos digitales entra en el ámbito del Reglamento.

  • Mapa de requisitos esenciales

    Relación de los requisitos del anexo I aplicables según la categoría de riesgo del producto.

  • Proceso de gestión de vulnerabilidades

    Procedimiento interno para detectar, documentar y decidir cuándo notificar una vulnerabilidad.

  • Criterios de notificación

    Definición de los criterios y plazos (alerta temprana de 24 horas, notificación de 72 horas) para avisar a las autoridades.

  • Documentación técnica del producto

    Soporte documental necesario para acreditar los requisitos esenciales de ciberseguridad.

  • Coordinación con el equipo de diseño

    Trabajo conjunto con quien desarrolla el producto para integrar la ciberseguridad en el proceso de fabricación.

Cluster Summum

Cómo se cruza con las hermanas.

Preguntas frecuentes sobre Cyber Resilience Act (CRA).

¿Qué se considera «producto con elementos digitales» a efectos del CRA?

Cualquier producto de hardware o software, y sus soluciones de tratamiento de datos a distancia asociadas, cuyo uso previsto o razonablemente previsible incluya una conexión lógica o física —directa o indirecta— a otro dispositivo o a una red. Incluye tanto el producto físico como el software que lo acompaña o lo controla.

¿Desde cuándo son obligatorias las notificaciones de vulnerabilidades?

Desde el 11 de septiembre de 2026. A partir de esa fecha, el fabricante debe notificar cualquier vulnerabilidad explotada activamente y cualquier incidente grave que afecte a la seguridad del producto, con plazos de 24 y 72 horas (artículo 14), a través de la plataforma única de notificación de ENISA y del CSIRT designado.

¿Cuándo hay que cumplir el Reglamento al completo, con marcado CE incluido?

La aplicación plena, incluidos los requisitos esenciales del anexo I y el marcado CE, es exigible desde el 11 de diciembre de 2027. Es un plazo de treinta y seis meses desde la entrada en vigor, pensado para dar tiempo a rediseñar los procesos de fabricación y desarrollo.

¿El CRA es lo mismo que NIS2 o DORA?

No. NIS2 regula la ciberseguridad de la organización que opera servicios esenciales o importantes, y DORA la resiliencia digital del sector financiero. El CRA regula el producto: exige que el hardware y el software conectados que se ponen en el mercado sean seguros desde el diseño y se mantengan seguros durante su vida útil. Una misma empresa puede tener que cumplir varios reglamentos a la vez si fabrica productos conectados y además opera como entidad regulada por NIS2 o DORA.

¿Qué pasa si mi producto ya lleva otro marcado CE, por ejemplo por la normativa de máquinas o de equipos radioeléctricos?

El CRA se coordina con otra normativa de armonización de la UE para evitar duplicar evaluaciones de la conformidad, pero los requisitos esenciales de ciberseguridad del anexo I son específicos del Reglamento y hay que acreditarlos igualmente. Conviene revisar caso por caso qué procedimiento de evaluación de la conformidad corresponde a tu producto según su categoría de riesgo.