Reglamento de Ciberresiliencia de la UE: Qué les espera a los fabricantes y distribuidores de software

Q: ¿Qué es una SBOM y por qué resulta tan importante?

Una lista de materiales de software (Software Bill of Materials, SBOM) es un inventario legible por máquinas de todos los componentes, dependencias y licencias de un software. El CRA establece la SBOM como obligatoria; en caso de vulnerabilidades, permite identificar inmediatamente qué productos resultan afectados.

Q: ¿Qué debe hacer ahora una empresa?

Análisis de brechas (Gap-Analyse): ¿qué productos resultan afectados? ¿Qué documentación, SBOM, SDLC o programa de divulgación de vulnerabilidades (VDP) falta? Elaborar un plan de proyecto que garantice el cumplimiento antes de 2026/2027. Empezar temprano genera ventaja competitiva.

El Reglamento de Ciberresiliencia de la UE (CRA, por sus siglas en inglés) es algo más que un requisito adicional de cumplimiento. Transforma de forma fundamental la manera en que las empresas desarrollan, prueban y comercializan productos digitales. Quien comience ya con los preparativos obtendrá una ventaja considerable frente a competidores que esperen hasta el último minuto.

En resumen

Afecta a todos los «productos con elementos digitales»: Desde dispositivos IoT hasta software; si dispone de una conexión de red, se aplica el CRA.
La seguridad desde el diseño (Security by Design) se convierte en obligatoria: La seguridad debe integrarse desde la fase de desarrollo, no añadirse posteriormente.
Obligación de soporte durante 5 años: Los fabricantes deben proporcionar actualizaciones de seguridad durante al menos 5 años o durante la vida útil prevista del producto.
Obligación de notificación en 24 horas: Las vulnerabilidades activamente explotadas deben notificarse a ENISA dentro de las 24 horas siguientes.
Sanciones económicas de hasta 15 millones de euros: O bien el 2,5 % de la facturación anual mundial.

Qué regula el CRA – y qué no –

El Reglamento de Ciberresiliencia se aplica a todos los productos que puedan conectarse, directa o indirectamente, con otros dispositivos o redes. Esto incluye hardware con software incorporado, software puro y soluciones SaaS (con ciertas limitaciones). Quedan expresamente excluidos, entre otros, el software de código abierto sin explotación comercial, los dispositivos médicos (que se rigen por su propio régimen normativo) y el software para automóviles.

Las categorías de productos críticos están sujetas a una regulación más estricta: la categoría I (por ejemplo, gestores de contraseñas, navegadores web) debe someterse a una evaluación de conformidad. La categoría II (por ejemplo, firewalls, microcontroladores) requiere una certificación independiente por parte de un organismo notificado (Notified Body).

Obligaciones concretas para los fabricantes

Desarrollo: Implementar un ciclo de vida seguro del desarrollo de software (Secure Development Lifecycle, SDLC), modelado de amenazas (Threat Modeling), pruebas de seguridad y revisiones de código. No como un módulo adicional, sino como parte integrada del proceso de desarrollo.

Documentación: Documentación técnica, lista de materiales de software (Software Bill of Materials, SBOM), declaración de conformidad: todo ello debe estar disponible para su consulta por las autoridades competentes.

Operación: Monitorización de vulnerabilidades, gestión de actualizaciones y programa coordinado de divulgación de vulnerabilidades (Coordinated Vulnerability Disclosure Program, CVD/VDP). Las vulnerabilidades activamente explotadas deben notificarse inmediatamente y corregirse mediante parches.

Retirada del soporte: Cuando un producto salga de la fase de soporte, los usuarios deben ser informados activamente y deben comunicárseles las vías alternativas de migración.

Cronograma y próximos pasos

El CRA fue propuesto por la Comisión Europea en septiembre de 2022. Tras el procedimiento legislativo europeo, entrará probablemente en vigor en 2024, con un período transitorio de 36 meses, lo que implica su aplicación plena a partir de aproximadamente 2027.

Los fabricantes deberían comenzar ya: análisis de brechas (gap analysis) del proceso de desarrollo actual, implementación de SBOM para todos los productos y creación de un programa de divulgación de vulnerabilidades (Vulnerability-Disclosure Program). Aunque 36 meses parecen mucho tiempo, resultan escasos para transformar un proceso de desarrollo.

Datos clave al instante

Productos afectados en la UE: Aproximadamente 400 millones o más (estimación de la Comisión Europea)

Obligación de soporte: Al menos 5 años o la vida útil prevista del producto

Plazo para notificar vulnerabilidades activamente explotadas: 24 horas a ENISA

Sanción económica máxima: 15 millones de euros o el 2,5 % de la facturación anual mundial

Aplicación plena prevista: 2027 (36 meses después de su entrada en vigor)

Dato: Según el Allianz Risk Barometer 2025, los ciberataques constituyen el mayor riesgo empresarial a nivel mundial.

Dato: Según Bitkom, solo el 43 % de las pymes alemanas dispone de un plan de respuesta ante emergencias informáticas (IT-Notfallplan).

Preguntas frecuentes

¿Se aplica el CRA también al software de código abierto?

No se aplica al software de código abierto sin explotación comercial. Sin embargo, quien utilice o distribuya software de código abierto con fines comerciales podría verse afectado. Los responsables (stewards) de proyectos de código abierto críticos para la seguridad tienen obligaciones atenuadas.

¿Qué es una SBOM y por qué resulta tan importante?

Una lista de materiales de software (Software Bill of Materials, SBOM) es un inventario legible por máquinas de todos los componentes, dependencias y licencias de un software. El CRA establece la SBOM como obligatoria; en caso de vulnerabilidades, permite identificar inmediatamente qué productos resultan afectados.

¿Se aplica el CRA también a los servicios SaaS?

En principio, sí, aunque con matices. Los servicios SaaS quedan comprendidos bajo el CRA cuando se utilizan como componente en productos digitales críticos. Los servicios B2B puramente operativos podrían quedar exentos; el texto final de la regulación aportará mayor claridad al respecto.

¿Quién supervisa el cumplimiento del CRA?

Las autoridades nacionales de vigilancia del mercado (en Alemania, la Bundesnetzagentur) son las competentes. ENISA coordina a nivel de la UE y recibe las notificaciones relativas a vulnerabilidades.

¿Qué debe hacer ahora una empresa?

Análisis de brechas (Gap-Analyse): ¿qué productos resultan afectados? ¿Qué documentación, SBOM, SDLC o programa de divulgación de vulnerabilidades (VDP) falta? Elaborar un plan de proyecto que garantice el cumplimiento antes de 2026/2027. Empezar temprano genera ventaja competitiva.

Otros artículos sobre este tema

→ NIS2: Todos los detalles sobre la nueva Directiva de Ciberseguridad de la UE

→ Seguridad de la cadena de suministro 2026: cómo protegen las empresas su cadena de suministro de software

Lectura complementaria en la red

Regulación europea para empresas: mybusinessfuture.com

Cumplimiento tecnológico (Tech-Compliance): cloudmagazin.com

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow

También disponible en

Français English Deutsch