¿Qué es el CRA? Obligaciones para productos digitales
¿Qué es el Cyber Resilience Act? El Acta de Resiliencia Cibernética (CRA), Reglamento (UE) 2024/2847, es un reglamento de la UE para productos con elementos digitales. Obliga a los fabricantes de hardware y software a adoptar seguridad por diseño, a proporcionar actualizaciones de seguridad durante todo el ciclo de vida del producto y a notificar vulnerabilidades explotadas. Las obligaciones de notificación entrarán en vigor el 11. septiembre 2026, mientras que las principales obligaciones lo harán el 11. diciembre 2027.
Lo más importante en resumen
- Naturaleza jurídica: Reglamento (UE), se aplica directamente en todos los Estados miembros. No se requiere transposición nacional como en una directiva.
- Ámbito de aplicación: Productos con elementos digitales, es decir, hardware y software con conexión directa o indirecta de datos a un dispositivo o red.
- Principales obligaciones: Seguridad por diseño, actualizaciones de seguridad gratuitas durante el período de soporte, marcaje CE tras evaluación de conformidad.
- Plazos: En vigor desde el 10. diciembre 2024. Obligaciones de notificación a partir del 11. septiembre 2026, aplicación completa a partir del 11. diciembre 2027.
- Consejo: El CRA regula el producto, NIS2 al operador, DORA al sector financiero.
Qué significa concretamente el Cyber Resilience Act
El Reglamento de Resiliencia Cibernética (CRA) establece obligaciones en el momento de poner el producto en el mercado. Un producto con elementos digitales solo podrá comercializarse en la UE si cumple con los requisitos esenciales de ciberseguridad establecidos por la normativa. De este modo, la responsabilidad se traslada al inicio de la cadena de suministro: el fabricante debe incorporar la seguridad en el producto antes de que llegue al cliente.
Las obligaciones no terminan con la venta. Los fabricantes deben gestionar vulnerabilidades durante el período de soporte, que se basa en la vida útil prevista y, por lo general, tiene una duración mínima de cinco años. Las actualizaciones de seguridad deben ofrecerse de forma gratuita. Antes de acceder al mercado se requiere una evaluación de conformidad con la CE-Kennzeichnung (marcado CE), con procedimientos más estrictos para ciertas clases de productos críticos.
Los productos que cuenten con un régimen de seguridad sectorial propio, como los dispositivos médicos, los automóviles o la aeronáutica certificada, pueden quedar excluidos siempre que se apliquen las correspondientes UE-Vorschriften (normas de la UE).
¿A quién es relevante el CRA?
El destinatario son, en primer lugar, los fabricantes, independientemente de su sede. Quien suministra desde fuera de la UE al mercado interior necesita un representante en la UE. Los importadores y distribuidores tienen sus propias obligaciones de diligencia. En el caso de software de código abierto, existe una aclaración importante: simplemente poner a disposición código en repositorios no se considera por sí mismo una puesta en el mercado. Lo decisivo es si la software se pone a disposición como parte de una actividad comercial.
Indirectamente, el CRA afecta a todas las compras: para los CISO y responsables de TI, el cumplimiento del CRA será, previsiblemente, un criterio de adquisición. En caso de infracciones de las obligaciones esenciales, a los fabricantes se les pueden imponer multas de hasta 15 millones de Euro o 2,5 % del volumen de negocios mundial anual, según cuál sea mayor.
Qué deben revisar las empresas ahora
Las empresas manufactureras deberían iniciar con un inventario de cartera: cada producto con conexión de datos potencialmente cae bajo la Verordnung (norma de ciberseguridad). Esto incluye compromisos de soporte, procesos de notificación y la preparación de la Konformitätsbewertung (evaluación de conformidad).
REVISAR AHORA
- ✓Inventario de productos: capturar todos los productos propios y distribuidos con conexión de datos
- ✓Definir por escrito el compromiso de soporte por producto, y registrar gratuitamente la ruta de actualización
- ✓Establecer un proceso de notificación con plazos de 24 y 72 horas, y designar a los responsables
- ✓Preparar la Konformitätsbewertung (evaluación de conformidad), y asegurar la entidad de evaluación en clases de producto críticas
- ✓Complementar la política de compras: la conformidad con el CRA (Reglamento de Resiliencia Cibernética) como criterio de adquisición a partir de 2026
Delimitación con conceptos afines
El CRA se confunde constantemente con NIS2 y DORA. Los tres instrumentos legislativos se complementan y no se sustituyen mutuamente. La tabla muestra la distribución de funciones.
| Norma | Regula | Destinatario |
|---|---|---|
| CRA (Verordnung (EU) 2024/2847) | Productos con elementos digitales | Fabricantes, importadores, distribuidores |
| NIS2 (Richtlinie (EU) 2022/2555) | Operadores de servicios importantes y esenciales | Operadores y organizaciones |
| DORA (Verordnung (EU) 2022/2554) | Resiliencia operativa digital en el sector financiero | Empresas financieras y proveedores de servicios de TI |
Los dos instrumentos legislativos vecinos explican nuestras entradas del glosario ¿Qué es NIS2? y ¿Qué es DORA?. Lo que el CRA significa para los productos ya comercializados se analiza en nuestro artículo El Acta de Resiliencia Cibernética afecta también a su inventario.
Preguntas frecuentes
Cada pregunta está bloqueada. Un toque desbloquea la respuesta.
¿A partir de cuándo entra en vigor el Cyber Resilience Act?
La normativa está en vigor desde el 10. Dezember 2024. Las obligaciones de notificación para los fabricantes entran en vigor a partir del 11. September 2026, las obligaciones principales completas a partir del 11. Dezember 2027.
¿Es el CRA una ley solo para fabricantes?
Los fabricantes asumen la principal responsabilidad. Los importadores y distribuidores tienen sus propias obligaciones de diligencia. Los fabricantes fuera de la UE deben designar además a un representante en la UE.
¿Cuándo debe un fabricante informar de una vulnerabilidad?
Cuando se trata de vulnerabilidades activamente explotadas y graves incidentes, se emite una alerta temprana dentro de las 24 horas desde el conocimiento del hecho. La notificación completa se enviará dentro de las 72 horas a través de la plataforma central de notificación al CSIRT coordinador y a ENISA. Un informe final cierra la notificación.
¿Afecta el CRA también a software de código abierto?
La simple puesta a disposición de software en repositorios o plataformas por sí sola no se considera como puesta en el mercado. Las obligaciones del CRA se activan en cuanto una organización pone a disposición del software como parte de una actividad comercial y, por tanto, se presenta como fabricante.
¿Qué distingue a CRA, NIS2 y DORA?
El CRA regula productos con elementos digitales y sus fabricantes. NIS2 regula la operación de instalaciones importantes y esenciales. DORA regula la resiliencia digital del sector financiero. En conjunto cubren producto, operador y sector financiero.
Selección de la redacción
RecomendadoEl Cyber Resilience Act también afecta a su stock existenteRecomendado¿Qué es DORA? Definición, obligaciones y plazos
Más de la red MBF Media
cloudmagazinProhibir la IA oscura es el reflejo más costoso en la ciberseguridadMyBusinessFutureAlivio en el precio de la electricidad 2026: Qué deben comprobar las empresas productorasDigital ChiefsEl Chief AI Officer ya está aquí. El problema sigue igual




