BRIEFING DE SEGURIDAD · 11.07.2026 DEENFRES

Estrategia y Gobernanza

El Cyber Resilience Act también afecta a su stock existente

Por Tobias Massow · 6 de julio de 2026 · 8 min de lectura

A partir del 11 de septiembre de 2026 entra en vigor una nueva obligación que muchas empresas aún subestiman. Quien vende productos conectados en la UE debe notificar a las autoridades, en el futuro dentro de horas, las vulnerabilidades activamente explotadas y los incidentes de seguridad graves. El Cyber Resilience Act convierte la ciberseguridad en un requisito del producto. Afecta no solo a los nuevos dispositivos, sino también a productos que ya llevan tiempo en el mercado.

Lo más importante en resumen

  • La fecha límite: A partir del 11 de septiembre de 2026 los fabricantes deben notificar las vulnerabilidades activamente explotadas y los incidentes graves. Las demás obligaciones entrarán en vigor el 11 de diciembre de 2027.
  • Los plazos: Alerta temprana en un plazo de 24 horas, notificación completa en 72 horas, informe final a más tardar 14 días después de una contramedida disponible.
  • El núcleo: La ciberseguridad se convierte en una característica del producto con el marcado CE. Está afectado todo producto con elementos digitales que se comercialice en la UE.

Qué exige el Cyber Resilience Act

El Cyber Resilience Act, Reglamento (UE) 2024/2847, consagra por primera vez la ciberseguridad como una propiedad vinculante de los productos. Se incluye todo lo que contiene elementos digitales y se conecta directa o indirectamente con un dispositivo o red, desde el control industrial hasta el electrodoméstico inteligente y el software puro. Para tales productos se aplicarán en el futuro requisitos de seguridad básicos durante todo el ciclo de vida.

Concretamente, esto significa: los fabricantes deben diseñar sus productos de forma segura, corregir las vulnerabilidades conocidas y suministrar actualizaciones de seguridad durante un período definido. Deben mantener un proceso para la gestión de vulnerabilidades y demostrar la conformidad con los requisitos. Solo entonces podrán colocar el marcado CE, que hasta ahora representaba la seguridad en sentido físico y ahora también abarca la seguridad digital.

Con ello, el CRA desplaza la responsabilidad. Ya no es solo el operador quien asume el riesgo de un software inseguro, sino el fabricante que pone el producto en el mercado. La ciberseguridad pasa de ser un tema operativo posterior a una condición para el acceso al mercado.

El 11 de septiembre de 2026

El calendario del CRA está escalonado. El primer plazo duro es la obligación de notificación. A partir del 11 de septiembre de 2026 los fabricantes deben notificar las vulnerabilidades activamente explotadas y los incidentes de seguridad graves que afectan a la seguridad de sus productos. Las demás obligaciones, como el cierre continuo de vulnerabilidades y la plena conformidad, solo entrarán en vigor el 11 de diciembre de 2027.

11. Sept. 2026

La obligación de notificación para vulnerabilidades activamente explotadas entra en vigor

Cyber Resilience Act (EU 2024/2847)

La notificación se realiza a través de una plataforma central, la Single Reporting Platform. Se envía al CSIRT nacional competente y a la agencia europea ENISA. Los plazos son ajustados. Una primera alerta temprana debe presentarse en 24 horas, una notificación completa en 72 horas. Un informe final sigue a más tardar 14 días después de que exista una contramedida, y en incidentes graves dentro de un mes.

Decisivo es el alcance. La obligación de notificación también se aplica a los productos que se pusieron en el mercado antes del 11 de diciembre de 2027. Por tanto, quien entregó hace años un dispositivo conectado que sigue en uso, debe notificar a partir de septiembre de 2026 las vulnerabilidades activamente explotadas en él. El stock existente no queda exento de la obligación.

A quién afecta

El círculo de afectados es más amplio de lo que muchos esperan. Se incluyen por igual fabricantes de hardware y software, desde el sensor pasando por el componente de red hasta la aplicación. También los importadores y distribuidores tienen obligaciones cuando introducen o suministran en el mercado de la UE productos con elementos digitales. El mero origen fuera de la UE no protege, en cuanto un producto se vende aquí.

Para muchas empresas, el CRA es así un tema que hasta ahora no tenían en el radar. Quien se considera un fabricante puro de software o dispositivos y no se ve como una empresa clásica de ciberseguridad, será de todos modos responsabilizado. La pregunta no es si un producto está afectado, sino si tiene elementos digitales y se comercializa en la UE.

Qué corresponde ahora a la alta dirección

El primer paso es un inventario honesto. ¿Qué productos con elementos digitales pone la empresa en circulación, cuáles de ellos siguen en el campo, quién es responsable en la empresa? Sin esta visión general no se puede cumplir ni la obligación de notificación ni planificar la conformidad plena posterior.

El segundo paso es el proceso de notificación. Para septiembre de 2026 debe existir un procedimiento que detecte, evalúe y notifique a tiempo a través de la plataforma una vulnerabilidad explotada. Esto exige responsabilidades claras, una interfaz designada con la autoridad y la capacidad técnica para detectar un incidente con la suficiente antelación. Quien solo empieza a construir el proceso después de que se conozca un caso, pierde la alerta temprana de 24 horas.

El tercer paso es estratégico. El CRA no es un proyecto de cumplimiento único, sino una responsabilidad permanente del producto con obligaciones de actualización hasta 2027 y más allá. Esto corresponde a la alta dirección, porque afecta la planificación de productos, el presupuesto de desarrollo y los contratos con proveedores. La ciberseguridad se convierte en parte de la estrategia de producto, no en un apéndice de TI.

Diferenciación respecto a NIS2 y DORA

El CRA se mete a menudo en el mismo saco que NIS2 y DORA, pero persigue un punto de partida diferente. NIS2 y DORA regulan a los operadores, es decir, organizaciones que deben operar y proteger TI. El CRA regula el propio producto y se dirige al fabricante que lo pone en circulación.

Los tres marcos normativos se entrelazan. Un operador que cae bajo NIS2 compra productos que en el futuro caerán bajo el CRA. La seguridad de los productos según el CRA respalda así la seguridad de la cadena de suministro que NIS2 exige al operador. Quien considera los tres marcos por separado, no comprende que juntos crean una exigencia de seguridad continua desde el componente hasta la operación.

Preguntas frecuentes

Cada pregunta está cerrada. Un toque desbloquea la respuesta.

A partir de cuándo aplica la obligación de notificación del CRA?

A partir del 11 de septiembre de 2026. Desde esa fecha los fabricantes deben notificar las vulnerabilidades activamente explotadas y los incidentes de seguridad graves. Las demás obligaciones entrarán en vigor el 11 de diciembre de 2027.

¿Qué plazos aplican para una notificación?

Una alerta temprana en 24 horas, una notificación completa en 72 horas y un informe final a más tardar 14 días después de que exista una contramedida, y en incidentes graves dentro de un mes.

¿Se aplica el CRA también a productos que ya se han vendido?

Sí. La obligación de notificación a partir de septiembre de 2026 también se aplica a productos que se pusieron en el mercado antes del 11 de diciembre de 2027 y siguen utilizándose. El stock existente no queda exento de la obligación.

¿Quién está obligado además del fabricante?

También los importadores y distribuidores tienen obligaciones cuando introducen o suministran productos con elementos digitales en el mercado de la UE. Un origen fuera de la UE no exime de los requisitos.

¿Cómo se relaciona el CRA con NIS2?

El CRA regula el producto y al fabricante, NIS2 al operador. Ambos se complementan: Los productos seguros según el CRA respaldan la seguridad de la cadena de suministro que NIS2 exige al operador.

Selección de la redacción

RecomendadoCuando una llamada paraliza la producción automotriz

Más de la red MBF Media

Digital ChiefsLa inteligencia artificial escribe el código. ¿Quién responde por ello?

Lectura adicional

Una revista de Evernine Media GmbH