Ley de Resiliencia Cibernética de la UE a partir de 2026: Qué deben verificar los CISO al adquirir productos digitales
3 min de lectura
La Ley de Resiliencia Cibernética de la UE (CRA) entró en vigor el 10 de diciembre de 2024. A partir de septiembre de 2026 serán aplicables las obligaciones de notificación, y desde diciembre de 2027 todos los productos digitales comercializados en el mercado de la UE deberán cumplir plenamente con los requisitos de seguridad. Para los CISO, esto no solo implica un cambio en su propia conformidad, sino también en toda la lógica de adquisición: sin sello CE respaldado por pruebas de ciberseguridad, sin acceso al mercado de la UE sin una declaración de conformidad.
En resumen
- 🔒 El CRA es un reglamento de la UE que entra en vigor directamente en todos los Estados miembros. No requiere transposición nacional (a diferencia de NIS2).
- ⚠️ A partir del 11 de septiembre de 2026: obligación de notificar a la ENISA en un plazo de 24 horas las vulnerabilidades activamente explotadas.
- 🛡️ A partir del 11 de diciembre de 2027: cumplimiento total. Sin sello CE conforme al CRA, no se podrá comercializar en la UE.
- 📊 Sanciones: hasta 15 millones de euros o el 2,5 % del volumen de negocio anual mundial.
- 🔧 Los CISO necesitan nuevos criterios de compra: declaración de conformidad, SBOM, periodo de soporte, política de actualizaciones.
Qué regula el CRA
El CRA afecta a todos los «productos con elementos digitales»: hardware y software introducidos en el mercado de la UE, independientemente de que el fabricante tenga su sede en la UE. Un sensor IoT de Shenzhen, un cliente VPN de California y un cortafuegos de Múnich están sujetos a las mismas reglas.
La ley distingue tres categorías. Los productos estándar (la mayoría) pueden certificarse mediante autoevaluación. Los productos de Clase I (entre ellos gestores de contraseñas, productos VPN, navegadores web, dispositivos para hogares inteligentes y sistemas operativos) están sujetos a procedimientos más estrictos. Los productos de Clase II (cortafuegos, sistemas de detección de intrusiones, microprocesadores resistentes a manipulaciones) requieren una evaluación por parte de una entidad notificada.
Quedan excluidos el software de código abierto no comercial, los productos médicos, los vehículos y los productos destinados a la seguridad nacional. Todo lo demás que sea digital y se venda entra dentro del ámbito de aplicación del CRA.
Las cinco obligaciones principales para los fabricantes
1. Seguro por diseño y por defecto. La ciberseguridad debe integrarse desde el inicio del desarrollo. Sin contraseñas predeterminadas débiles, superficie de ataque minimizada, cifrado de datos almacenados y en tránsito. Debe permitirse la actualización automática de seguridad.
2. Gestión de vulnerabilidades y SBOM. Los fabricantes deben crear una lista de componentes de software (SBOM). Matiz importante: no es obligatorio publicar la SBOM. Sirve para la gestión interna de vulnerabilidades y debe presentarse a solicitud de la autoridad de supervisión del mercado. Además, debe establecerse un proceso para la divulgación coordinada de vulnerabilidades.
3. Obligaciones de notificación a partir de septiembre de 2026. En caso de vulnerabilidades activamente explotadas, los fabricantes deben enviar una alerta temprana a la ENISA en un plazo de 24 horas. Dentro de las 72 horas debe presentarse el informe detallado. El informe final debe entregarse tras 14 días.
4. Marcado CE para ciberseguridad. Sin conformidad con el CRA, no se otorga el marcado CE. Sin marcado CE, no hay acceso al mercado de la UE. Los fabricantes deben emitir una declaración de conformidad de la UE. Los importadores deben conservarla durante diez años.
5. Actualizaciones de seguridad durante al menos cinco años. Los fabricantes deben comunicar la fecha de finalización del soporte y proporcionar actualizaciones de seguridad gratuitas durante todo el periodo de soporte.
«El CRA cambia las reglas del juego para todo el mercado digital de la UE. Por primera vez, la ciberseguridad se convierte en un requisito previo para el marcado CE de productos digitales.»
BSI, página informativa sobre la Ley de Resiliencia Cibernética
Qué deben cambiar los CISO en las compras a partir de ahora
El CRA no solo obliga a los fabricantes, sino a todos los agentes económicos a lo largo de la cadena de suministro. Para los CISO y la adquisición de TI, esto significa: los criterios de compra deben actualizarse.
Siete preguntas que el departamento de compras debe hacer a partir de 2026:
1. ¿Existe una declaración de conformidad de la UE (DoC) respecto al CRA?
2. ¿Está presente el marcado CE y está referido a los requisitos del CRA?
3. ¿Cuál es la duración comunicada del periodo de soporte? ¿Qué ocurre al finalizar el soporte?
4. ¿Existe una SBOM (a solicitud)?
5. ¿Qué vía de evaluación de conformidad se ha elegido?
6. ¿Existe un proceso documentado para la divulgación coordinada de vulnerabilidades?
7. ¿Tiene el fabricante una política para actualizaciones automáticas de seguridad?
Los contratos de adquisición deben incluir explícitamente pruebas de conformidad con el CRA, obligaciones de actualización y acuerdos sobre el fin del soporte. El CRA establece el estándar sobre lo que se considera un defecto del producto.
Distinción: CRA, NIS2, DORA y Ley de IA
El CRA regula productos antes de su comercialización. NIS2 regula organizaciones durante su funcionamiento. DORA regula empresas financieras y sus proveedores de TIC. La Ley de IA regula sistemas de IA según clases de riesgo. El CRA y NIS2 pueden aplicarse simultáneamente.
Conclusión: la ciberseguridad se convierte en requisito de acceso al mercado
El CRA convierte la ciberseguridad en un filtro de acceso al mercado de la UE. Sin marcado CE sin pruebas de seguridad, sin comercialización sin declaración de conformidad, sin vulnerabilidad sin notificación en 24 horas. Las obligaciones de notificación comienzan ya en septiembre de 2026. Quien espere hasta entonces tendrá problemas de cronograma.
Preguntas frecuentes
¿Es aplicable el CRA también al software?
Sí. El CRA afecta a todos los «productos con elementos digitales», es decir, hardware y software. Queda excluido el software de código abierto no comercial sin ánimo de lucro.
¿Debe publicarse la SBOM?
No. La SBOM debe crearse y poder presentarse a solicitud de la autoridad de supervisión del mercado. No está prevista su publicación obligatoria.
¿Qué ocurre en caso de incumplimiento?
Sanciones de hasta 15 millones de euros o el 2,5 % del volumen de negocio anual mundial. Además, las autoridades de supervisión del mercado pueden prohibir la comercialización o ordenar retiradas de productos. En Alemania, el BSI es la autoridad competente.
¿Cómo se relacionan CRA y NIS2?
El CRA regula productos (antes de su comercialización), NIS2 regula organizaciones (durante su funcionamiento). Ambos pueden aplicarse simultáneamente.
¿Qué debe hacer el CISO hasta septiembre de 2026?
Actualizar los criterios de compra, verificar con los proveedores actuales su preparación para el CRA, y completar los contratos de adquisición con pruebas de conformidad y obligaciones de actualización.
Recomendaciones de lectura del equipo editorial
Más contenido de la red MBF Media
- → Sovereignty-Washing: Cloud Act y soberanía de datos (cloudmagazin)
- → Auge de la ciberseguridad: NIS2 como motor de crecimiento (MyBusinessFuture)
Fuente de imagen: Pexels
