Valoración de alcance
Analizamos si tu producto tiene elementos digitales con conexión a una red o a otro dispositivo y si entra dentro del CRA.
El Cyber Resilience Act obliga a fabricantes, importadores y distribuidores de productos con elementos digitales —hardware y software con conexión a una red o a otro dispositivo— a incorporar la ciberseguridad desde el diseño y a notificar las vulnerabilidades explotadas activamente. Te acompañamos a identificar si tu producto entra en el alcance y a preparar el calendario de cumplimiento antes de que las obligaciones sean exigibles.
El Reglamento (UE) 2024/2847, conocido como Cyber Resilience Act (CRA), entró en vigor el 10 de diciembre de 2024 y afecta a cualquier producto con elementos digitales que se comercialice en la UE: dispositivos IoT, software independiente, componentes de hardware y sus soluciones de tratamiento de datos a distancia.
No es un reglamento sectorial. Si fabricas o distribuyes un producto con una conexión lógica o física, directa o indirecta, a un dispositivo o a una red, probablemente estás dentro del alcance.
El calendario no es uniforme y conviene tenerlo claro para no llegar tarde. Desde el 11 de septiembre de 2026 son exigibles las obligaciones de notificación de vulnerabilidades explotadas activamente e incidentes graves que afecten a la seguridad del producto (artículo 14).
Esas notificaciones siguen plazos cortos: una alerta temprana en 24 horas, una notificación más detallada en 72 horas y un informe final posterior, a través de la plataforma única de notificación de ENISA.
La aplicación plena del Reglamento —requisitos esenciales de ciberseguridad, procedimientos de evaluación de la conformidad y marcado CE— llega el 11 de diciembre de 2027, treinta y seis meses después de la entrada en vigor.
Para una pyme fabricante o distribuidora, el trabajo de fondo está en el artículo 13 (obligaciones del fabricante) y en el anexo I: los requisitos esenciales de ciberseguridad del producto y, de forma diferenciada, los requisitos de gestión del ciclo de vida de las vulnerabilidades durante todo el periodo de soporte.
Esto implica documentación técnica del producto, un proceso real de gestión de vulnerabilidades —no solo una política escrita—, actualizaciones de seguridad disponibles para el usuario y criterios claros para decidir cuándo un fallo debe notificarse a las autoridades.
Ayudamos a valorar si tu producto entra en el alcance del CRA, a identificar los requisitos esenciales que le aplican según su categoría de riesgo y a construir el proceso interno de gestión de vulnerabilidades que exige el Reglamento, con vistas al marcado CE.
Trabajamos en paralelo con quien lleve el diseño y el desarrollo del producto: el CRA no se resuelve con un documento, se resuelve integrando la ciberseguridad en el proceso de fabricación.
Analizamos si tu producto tiene elementos digitales con conexión a una red o a otro dispositivo y si entra dentro del CRA.
Determinamos qué requisitos del anexo I aplican a tu producto según su categoría de riesgo.
Construimos contigo el proceso interno para detectar, documentar y notificar vulnerabilidades durante todo el periodo de soporte del producto.
Trabajamos junto a quien diseña y desarrolla el producto para integrar la ciberseguridad en el proceso de fabricación, con vistas al marcado CE.
El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.
Valoración de alcance del CRA
Determinación de si tu producto con elementos digitales entra en el ámbito del Reglamento.
Mapa de requisitos esenciales
Relación de los requisitos del anexo I aplicables según la categoría de riesgo del producto.
Proceso de gestión de vulnerabilidades
Procedimiento interno para detectar, documentar y decidir cuándo notificar una vulnerabilidad.
Criterios de notificación
Definición de los criterios y plazos (alerta temprana de 24 horas, notificación de 72 horas) para avisar a las autoridades.
Documentación técnica del producto
Soporte documental necesario para acreditar los requisitos esenciales de ciberseguridad.
Coordinación con el equipo de diseño
Trabajo conjunto con quien desarrolla el producto para integrar la ciberseguridad en el proceso de fabricación.
Cualquier producto de hardware o software, y sus soluciones de tratamiento de datos a distancia asociadas, cuyo uso previsto o razonablemente previsible incluya una conexión lógica o física —directa o indirecta— a otro dispositivo o a una red. Incluye tanto el producto físico como el software que lo acompaña o lo controla.
Desde el 11 de septiembre de 2026. A partir de esa fecha, el fabricante debe notificar cualquier vulnerabilidad explotada activamente y cualquier incidente grave que afecte a la seguridad del producto, con plazos de 24 y 72 horas (artículo 14), a través de la plataforma única de notificación de ENISA y del CSIRT designado.
La aplicación plena, incluidos los requisitos esenciales del anexo I y el marcado CE, es exigible desde el 11 de diciembre de 2027. Es un plazo de treinta y seis meses desde la entrada en vigor, pensado para dar tiempo a rediseñar los procesos de fabricación y desarrollo.
No. NIS2 regula la ciberseguridad de la organización que opera servicios esenciales o importantes, y DORA la resiliencia digital del sector financiero. El CRA regula el producto: exige que el hardware y el software conectados que se ponen en el mercado sean seguros desde el diseño y se mantengan seguros durante su vida útil. Una misma empresa puede tener que cumplir varios reglamentos a la vez si fabrica productos conectados y además opera como entidad regulada por NIS2 o DORA.
El CRA se coordina con otra normativa de armonización de la UE para evitar duplicar evaluaciones de la conformidad, pero los requisitos esenciales de ciberseguridad del anexo I son específicos del Reglamento y hay que acreditarlos igualmente. Conviene revisar caso por caso qué procedimiento de evaluación de la conformidad corresponde a tu producto según su categoría de riesgo.