{"id":20952,"date":"2026-07-06T14:00:00","date_gmt":"2026-07-06T14:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20952"},"modified":"2026-07-09T16:07:27","modified_gmt":"2026-07-09T16:07:27","slug":"el-acta-de-resiliencia-cibernetica-tambien-afecta-a-su-inventario","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/07\/06\/el-acta-de-resiliencia-cibernetica-tambien-afecta-a-su-inventario\/","title":{"rendered":"El Cyber Resilience Act tambi\u00e9n afecta a su stock existente"},"content":{"rendered":"<p><strong>A partir del 11 de septiembre de 2026 entra en vigor una nueva obligaci\u00f3n que muchas empresas a\u00fan subestiman. Quien vende productos conectados en la UE debe notificar a las autoridades, en el futuro dentro de horas, las vulnerabilidades activamente explotadas y los incidentes de seguridad graves. El Cyber Resilience Act convierte la ciberseguridad en un requisito del producto. Afecta no solo a los nuevos dispositivos, sino tambi\u00e9n a productos que ya llevan tiempo en el mercado.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">La fecha l\u00edmite:<\/strong> A partir del 11 de septiembre de 2026 los fabricantes deben notificar las vulnerabilidades activamente explotadas y los incidentes graves. Las dem\u00e1s obligaciones entrar\u00e1n en vigor el 11 de diciembre de 2027.<\/li>\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">Los plazos:<\/strong> Alerta temprana en un plazo de 24 horas, notificaci\u00f3n completa en 72 horas, informe final a m\u00e1s tardar 14 d\u00edas despu\u00e9s de una contramedida disponible.<\/li>\n<li style=\"margin-bottom:0;\"><strong style=\"color:#69d8ed;\">El n\u00facleo:<\/strong> La ciberseguridad se convierte en una caracter\u00edstica del producto con el marcado CE. Est\u00e1 afectado todo producto con elementos digitales que se comercialice en la UE.<\/li>\n<\/ul>\n<\/div>\n<h2>Qu\u00e9 exige el Cyber Resilience Act<\/h2>\n<p>El Cyber Resilience Act, Reglamento (UE) 2024\/2847, consagra por primera vez la ciberseguridad como una propiedad vinculante de los productos. Se incluye todo lo que contiene elementos digitales y se conecta directa o indirectamente con un dispositivo o red, desde el control industrial hasta el electrodom\u00e9stico inteligente y el software puro. Para tales productos se aplicar\u00e1n en el futuro requisitos de seguridad b\u00e1sicos durante todo el ciclo de vida.<\/p>\n<p>Concretamente, esto significa: los fabricantes deben dise\u00f1ar sus productos de forma segura, corregir las vulnerabilidades conocidas y suministrar actualizaciones de seguridad durante un per\u00edodo definido. Deben mantener un proceso para la gesti\u00f3n de vulnerabilidades y demostrar la conformidad con los requisitos. Solo entonces podr\u00e1n colocar el marcado CE, que hasta ahora representaba la seguridad en sentido f\u00edsico y ahora tambi\u00e9n abarca la seguridad digital.<\/p>\n<p>Con ello, el CRA desplaza la responsabilidad. Ya no es solo el operador quien asume el riesgo de un software inseguro, sino el fabricante que pone el producto en el mercado. La ciberseguridad pasa de ser un tema operativo posterior a una condici\u00f3n para el acceso al mercado.<\/p>\n<h2>El 11 de septiembre de 2026<\/h2>\n<p>El calendario del CRA est\u00e1 escalonado. El primer plazo duro es la obligaci\u00f3n de notificaci\u00f3n. A partir del 11 de septiembre de 2026 los fabricantes deben notificar las vulnerabilidades activamente explotadas y los incidentes de seguridad graves que afectan a la seguridad de sus productos. Las dem\u00e1s obligaciones, como el cierre continuo de vulnerabilidades y la plena conformidad, solo entrar\u00e1n en vigor el 11 de diciembre de 2027.<\/p>\n<div data-element=\"key_number\" style=\"background:#003340;border:1px solid rgba(105,216,237,0.28);border-radius:10px;padding:28px 24px;margin:32px 0;text-align:center;\">\n<div style=\"font-size:1.6em;font-weight:800;color:#69d8ed;line-height:1.05;word-break:keep-all;\">11. Sept. 2026<\/div>\n<p style=\"margin:10px 0 0;font-size:0.92em;color:#e6e3da;\">La obligaci\u00f3n de notificaci\u00f3n para vulnerabilidades activamente explotadas entra en vigor<\/p>\n<p style=\"margin:6px 0 0;font-size:0.78em;color:#8fa3ab;\">Cyber Resilience Act (EU 2024\/2847)<\/p>\n<\/div>\n<p>La notificaci\u00f3n se realiza a trav\u00e9s de una plataforma central, la Single Reporting Platform. Se env\u00eda al CSIRT nacional competente y a la agencia europea ENISA. Los plazos son ajustados. Una primera alerta temprana debe presentarse en 24 horas, una notificaci\u00f3n completa en 72 horas. Un informe final sigue a m\u00e1s tardar 14 d\u00edas despu\u00e9s de que exista una contramedida, y en incidentes graves dentro de un mes.<\/p>\n<p>Decisivo es el alcance. La obligaci\u00f3n de notificaci\u00f3n tambi\u00e9n se aplica a los productos que se pusieron en el mercado antes del 11 de diciembre de 2027. Por tanto, quien entreg\u00f3 hace a\u00f1os un dispositivo conectado que sigue en uso, debe notificar a partir de septiembre de 2026 las vulnerabilidades activamente explotadas en \u00e9l. El stock existente no queda exento de la obligaci\u00f3n.<\/p>\n<h2>A qui\u00e9n afecta<\/h2>\n<p>El c\u00edrculo de afectados es m\u00e1s amplio de lo que muchos esperan. Se incluyen por igual fabricantes de hardware y software, desde el sensor pasando por el componente de red hasta la aplicaci\u00f3n. Tambi\u00e9n los importadores y distribuidores tienen obligaciones cuando introducen o suministran en el mercado de la UE productos con elementos digitales. El mero origen fuera de la UE no protege, en cuanto un producto se vende aqu\u00ed.<\/p>\n<p>Para muchas empresas, el CRA es as\u00ed un tema que hasta ahora no ten\u00edan en el radar. Quien se considera un fabricante puro de software o dispositivos y no se ve como una empresa cl\u00e1sica de ciberseguridad, ser\u00e1 de todos modos responsabilizado. La pregunta no es si un producto est\u00e1 afectado, sino si tiene elementos digitales y se comercializa en la UE.<\/p>\n<h2>Qu\u00e9 corresponde ahora a la alta direcci\u00f3n<\/h2>\n<p>El primer paso es un inventario honesto. \u00bfQu\u00e9 productos con elementos digitales pone la empresa en circulaci\u00f3n, cu\u00e1les de ellos siguen en el campo, qui\u00e9n es responsable en la empresa? Sin esta visi\u00f3n general no se puede cumplir ni la obligaci\u00f3n de notificaci\u00f3n ni planificar la conformidad plena posterior.<\/p>\n<p>El segundo paso es el proceso de notificaci\u00f3n. Para septiembre de 2026 debe existir un procedimiento que detecte, eval\u00fae y notifique a tiempo a trav\u00e9s de la plataforma una vulnerabilidad explotada. Esto exige responsabilidades claras, una interfaz designada con la autoridad y la capacidad t\u00e9cnica para detectar un incidente con la suficiente antelaci\u00f3n. Quien solo empieza a construir el proceso despu\u00e9s de que se conozca un caso, pierde la alerta temprana de 24 horas.<\/p>\n<p>El tercer paso es estrat\u00e9gico. El CRA no es un proyecto de cumplimiento \u00fanico, sino una responsabilidad permanente del producto con obligaciones de actualizaci\u00f3n hasta 2027 y m\u00e1s all\u00e1. Esto corresponde a la alta direcci\u00f3n, porque afecta la planificaci\u00f3n de productos, el presupuesto de desarrollo y los contratos con proveedores. La ciberseguridad se convierte en parte de la estrategia de producto, no en un ap\u00e9ndice de TI.<\/p>\n<h2>Diferenciaci\u00f3n respecto a NIS2 y DORA<\/h2>\n<p>El CRA se mete a menudo en el mismo saco que NIS2 y DORA, pero persigue un punto de partida diferente. NIS2 y DORA regulan a los operadores, es decir, organizaciones que deben operar y proteger TI. El CRA regula el propio producto y se dirige al fabricante que lo pone en circulaci\u00f3n.<\/p>\n<p>Los tres marcos normativos se entrelazan. Un operador que cae bajo NIS2 compra productos que en el futuro caer\u00e1n bajo el CRA. La seguridad de los productos seg\u00fan el CRA respalda as\u00ed la seguridad de la cadena de suministro que NIS2 exige al operador. Quien considera los tres marcos por separado, no comprende que juntos crean una exigencia de seguridad continua desde el componente hasta la operaci\u00f3n.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 cerrada. Un toque desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>A partir de cu\u00e1ndo aplica la obligaci\u00f3n de notificaci\u00f3n del CRA?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">A partir del 11 de septiembre de 2026. Desde esa fecha los fabricantes deben notificar las vulnerabilidades activamente explotadas y los incidentes de seguridad graves. Las dem\u00e1s obligaciones entrar\u00e1n en vigor el 11 de diciembre de 2027.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQu\u00e9 plazos aplican para una notificaci\u00f3n?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Una alerta temprana en 24 horas, una notificaci\u00f3n completa en 72 horas y un informe final a m\u00e1s tardar 14 d\u00edas despu\u00e9s de que exista una contramedida, y en incidentes graves dentro de un mes.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfSe aplica el CRA tambi\u00e9n a productos que ya se han vendido?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">S\u00ed. La obligaci\u00f3n de notificaci\u00f3n a partir de septiembre de 2026 tambi\u00e9n se aplica a productos que se pusieron en el mercado antes del 11 de diciembre de 2027 y siguen utiliz\u00e1ndose. El stock existente no queda exento de la obligaci\u00f3n.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQui\u00e9n est\u00e1 obligado adem\u00e1s del fabricante?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Tambi\u00e9n los importadores y distribuidores tienen obligaciones cuando introducen o suministran productos con elementos digitales en el mercado de la UE. Un origen fuera de la UE no exime de los requisitos.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfC\u00f3mo se relaciona el CRA con NIS2?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">El CRA regula el producto y al fabricante, NIS2 al operador. Ambos se complementan: Los productos seguros seg\u00fan el CRA respaldan la seguridad de la cadena de suministro que NIS2 exige al operador.<\/p>\n<\/details>\n<p>\n<!--ST-LOWER-CARDS lang=es--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Selecci\u00f3n de la redacci\u00f3n<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/07\/07\/cuando-una-llamada-detiene-la-produccion-automotriz\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/cover-hero-1-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Cuando una llamada paraliza la producci\u00f3n automotriz<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s de la red MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/es\/la-inteligencia-artificial-escribe-el-codigo-quien-responde-por-ello\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-ki-generierter-code-haftung-governance-r-68881977-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">La inteligencia artificial escribe el c\u00f3digo. \u00bfQui\u00e9n responde por ello?<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"A partir del 11 de septiembre de 2026 entra en vigor una nueva obligaci\u00f3n que muchas empresas a\u00fan subestiman. Quien vende productos conectados en la UE debe notificar a las autoridades, en el futuro dentro de horas, las vulnerabilidades activamente explotadas y los incidentes de seguridad graves. El Cyber Resilience Act convierte la ciberseguridad en [&hellip;]","protected":false},"author":55,"featured_media":20765,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Ley de Resiliencia Cibern\u00e9tica","_yoast_wpseo_title":"El Acta de Resiliencia Cibern\u00e9tica tambi\u00e9n afecta a su inventario","_yoast_wpseo_metadesc":"El Acta de Resiliencia Cibern\u00e9tica convierte la ciberseguridad en una obligaci\u00f3n de producto.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/cover-hero-2.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/cover-hero-2.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[258],"tags":[],"class_list":["post-20952","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance"],"evm_reading_time_minutes":8,"wpml_language":"es","wpml_translation_of":20764,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20952","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=20952"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20952\/revisions"}],"predecessor-version":[{"id":20992,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20952\/revisions\/20992"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/20765"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=20952"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=20952"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=20952"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}