{"id":8697,"date":"2023-06-14T09:00:00","date_gmt":"2023-06-14T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-3575-2\/"},"modified":"2026-05-10T19:14:57","modified_gmt":"2026-05-10T19:14:57","slug":"reglamento-de-ciberresiliencia-de-la-ue-que-les-espera-a-los-fabricantes-y-distribuidores-de-software","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2023\/06\/14\/reglamento-de-ciberresiliencia-de-la-ue-que-les-espera-a-los-fabricantes-y-distribuidores-de-software\/","title":{"rendered":"Reglamento de Ciberresiliencia de la UE: Qu\u00e9 les espera a los fabricantes y distribuidores de software"},"content":{"rendered":"<p><strong>El Reglamento de Ciberresiliencia de la UE (CRA, por sus siglas en ingl\u00e9s) es algo m\u00e1s que un requisito adicional de cumplimiento. Transforma de forma fundamental la manera en que las empresas desarrollan, prueban y comercializan productos digitales. Quien comience ya con los preparativos obtendr\u00e1 una ventaja considerable frente a competidores que esperen hasta el \u00faltimo minuto.<\/strong><\/p>\n<h2>En resumen<\/h2>\n<ul>\n<li><strong>Afecta a todos los \u00abproductos con elementos digitales\u00bb:<\/strong> Desde dispositivos IoT hasta software; si dispone de una conexi\u00f3n de red, se aplica el CRA.<\/li>\n<li><strong>La seguridad desde el dise\u00f1o (Security by Design) se convierte en obligatoria:<\/strong> La seguridad debe integrarse desde la fase de desarrollo, no a\u00f1adirse posteriormente.<\/li>\n<li><strong>Obligaci\u00f3n de soporte durante 5 a\u00f1os:<\/strong> Los fabricantes deben proporcionar actualizaciones de seguridad durante al menos 5 a\u00f1os o durante la vida \u00fatil prevista del producto.<\/li>\n<li><strong>Obligaci\u00f3n de notificaci\u00f3n en 24 horas:<\/strong> Las vulnerabilidades activamente explotadas deben notificarse a ENISA dentro de las 24 horas siguientes.<\/li>\n<li><strong>Sanciones econ\u00f3micas de hasta 15 millones de euros:<\/strong> O bien el 2,5 % de la facturaci\u00f3n anual mundial.<\/li>\n<\/ul>\n<h2>Qu\u00e9 regula el CRA  &#8211;  y qu\u00e9 no  &#8211; <\/h2>\n<p>El Reglamento de Ciberresiliencia se aplica a todos los productos que puedan conectarse, directa o indirectamente, con otros dispositivos o redes. Esto incluye hardware con software incorporado, software puro y soluciones SaaS (con ciertas limitaciones). Quedan expresamente excluidos, entre otros, el software de c\u00f3digo abierto sin explotaci\u00f3n comercial, los dispositivos m\u00e9dicos (que se rigen por su propio r\u00e9gimen normativo) y el software para autom\u00f3viles.<\/p>\n<p>Las categor\u00edas de productos cr\u00edticos est\u00e1n sujetas a una regulaci\u00f3n m\u00e1s estricta: la categor\u00eda I (por ejemplo, gestores de contrase\u00f1as, navegadores web) debe someterse a una evaluaci\u00f3n de conformidad. La categor\u00eda II (por ejemplo, firewalls, microcontroladores) requiere una certificaci\u00f3n independiente por parte de un organismo notificado (<em>Notified Body<\/em>).<\/p>\n<h2>Obligaciones concretas para los fabricantes<\/h2>\n<p><strong>Desarrollo:<\/strong> Implementar un ciclo de vida seguro del desarrollo de software (<em>Secure Development Lifecycle<\/em>, SDLC), modelado de amenazas (<em>Threat Modeling<\/em>), pruebas de seguridad y revisiones de c\u00f3digo. No como un m\u00f3dulo adicional, sino como parte integrada del proceso de desarrollo.<\/p>\n<p><strong>Documentaci\u00f3n:<\/strong> Documentaci\u00f3n t\u00e9cnica, lista de materiales de software (<em>Software Bill of Materials<\/em>, SBOM), declaraci\u00f3n de conformidad: todo ello debe estar disponible para su consulta por las autoridades competentes.<\/p>\n<p><strong>Operaci\u00f3n:<\/strong> Monitorizaci\u00f3n de vulnerabilidades, gesti\u00f3n de actualizaciones y programa coordinado de divulgaci\u00f3n de vulnerabilidades (<em>Coordinated Vulnerability Disclosure Program<\/em>, CVD\/VDP). Las vulnerabilidades activamente explotadas deben notificarse inmediatamente y corregirse mediante parches.<\/p>\n<p><strong>Retirada del soporte:<\/strong> Cuando un producto salga de la fase de soporte, los usuarios deben ser informados activamente y deben comunic\u00e1rseles las v\u00edas alternativas de migraci\u00f3n.<\/p>\n<h2>Cronograma y pr\u00f3ximos pasos<\/h2>\n<p>El CRA fue propuesto por la Comisi\u00f3n Europea en septiembre de 2022. Tras el procedimiento legislativo europeo, entrar\u00e1 probablemente en vigor en 2024, con un per\u00edodo transitorio de 36 meses, lo que implica su aplicaci\u00f3n plena a partir de aproximadamente 2027.<\/p>\n<p>Los fabricantes deber\u00edan comenzar ya: an\u00e1lisis de brechas (<em>gap analysis<\/em>) del proceso de desarrollo actual, implementaci\u00f3n de SBOM para todos los productos y creaci\u00f3n de un programa de divulgaci\u00f3n de vulnerabilidades (<em>Vulnerability-Disclosure Program<\/em>). Aunque 36 meses parecen mucho tiempo, resultan escasos para transformar un proceso de desarrollo.<\/p>\n<h2>Datos clave al instante<\/h2>\n<p><strong>Productos afectados en la UE:<\/strong> Aproximadamente 400 millones o m\u00e1s (estimaci\u00f3n de la Comisi\u00f3n Europea)<\/p>\n<p><strong>Obligaci\u00f3n de soporte:<\/strong> Al menos 5 a\u00f1os o la vida \u00fatil prevista del producto<\/p>\n<p><strong>Plazo para notificar vulnerabilidades activamente explotadas:<\/strong> 24 horas a ENISA<\/p>\n<p><strong>Sanci\u00f3n econ\u00f3mica m\u00e1xima:<\/strong> 15 millones de euros o el 2,5 % de la facturaci\u00f3n anual mundial<\/p>\n<p><strong>Aplicaci\u00f3n plena prevista:<\/strong> 2027 (36 meses despu\u00e9s de su entrada en vigor)<\/p>\n<p><strong>Dato:<\/strong> Seg\u00fan el <em>Allianz Risk Barometer 2025<\/em>, los ciberataques constituyen el mayor riesgo empresarial a nivel mundial.<\/p>\n<p><strong>Dato:<\/strong> Seg\u00fan Bitkom, solo el 43 % de las pymes alemanas dispone de un plan de respuesta ante emergencias inform\u00e1ticas (<em>IT-Notfallplan<\/em>).<\/p>\n<h2>Preguntas frecuentes<\/h2>\n<h3>\u00bfSe aplica el CRA tambi\u00e9n al software de c\u00f3digo abierto?<\/h3>\n<p>No se aplica al software de c\u00f3digo abierto sin explotaci\u00f3n comercial. Sin embargo, quien utilice o distribuya software de c\u00f3digo abierto con fines comerciales podr\u00eda verse afectado. Los responsables (<em>stewards<\/em>) de proyectos de c\u00f3digo abierto cr\u00edticos para la seguridad tienen obligaciones atenuadas.<\/p>\n<h3>\u00bfQu\u00e9 es una SBOM y por qu\u00e9 resulta tan importante?<\/h3>\n<p>Una lista de materiales de software (<em>Software Bill of Materials<\/em>, SBOM) es un inventario legible por m\u00e1quinas de todos los componentes, dependencias y licencias de un software. El CRA establece la SBOM como obligatoria; en caso de vulnerabilidades, permite identificar inmediatamente qu\u00e9 productos resultan afectados.<\/p>\n<h3>\u00bfSe aplica el CRA tambi\u00e9n a los servicios SaaS?<\/h3>\n<p>En principio, s\u00ed, aunque con matices. Los servicios SaaS quedan comprendidos bajo el CRA cuando se utilizan como componente en productos digitales cr\u00edticos. Los servicios B2B puramente operativos podr\u00edan quedar exentos; el texto final de la regulaci\u00f3n aportar\u00e1 mayor claridad al respecto.<\/p>\n<h3>\u00bfQui\u00e9n supervisa el cumplimiento del CRA?<\/h3>\n<p>Las autoridades nacionales de vigilancia del mercado (en Alemania, la <em>Bundesnetzagentur<\/em>) son las competentes. ENISA coordina a nivel de la UE y recibe las notificaciones relativas a vulnerabilidades.<\/p>\n<h3>\u00bfQu\u00e9 debe hacer ahora una empresa?<\/h3>\n<p>An\u00e1lisis de brechas (<em>Gap-Analyse<\/em>): \u00bfqu\u00e9 productos resultan afectados? \u00bfQu\u00e9 documentaci\u00f3n, SBOM, SDLC o programa de divulgaci\u00f3n de vulnerabilidades (<em>VDP<\/em>) falta? Elaborar un plan de proyecto que garantice el cumplimiento antes de 2026\/2027. Empezar temprano genera ventaja competitiva.<\/p>\n<h2>Otros art\u00edculos sobre este tema<\/h2>\n<p>\u2192 NIS2: Todos los detalles sobre la nueva Directiva de Ciberseguridad de la UE<\/p>\n<p>\u2192 Seguridad de la cadena de suministro 2026: c\u00f3mo protegen las empresas su cadena de suministro de software<\/p>\n<h2>Lectura complementaria en la red<\/h2>\n<p>Regulaci\u00f3n europea para empresas: <a href=\"https:\/\/www.mybusinessfuture.com\" target=\"_blank\" rel=\"noopener\">mybusinessfuture.com<\/a><\/p>\n<p>Cumplimiento tecnol\u00f3gico (<em>Tech-Compliance<\/em>): <a href=\"https:\/\/www.cloudmagazin.com\" target=\"_blank\" rel=\"noopener\">cloudmagazin.com<\/a><\/p>\n<h2>Art\u00edculos relacionados<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2025\/06\/12\/ley-de-solidaridad-cibernetica-de-la-ue\/\">Reglamento de Solidaridad Cibern\u00e9tica de la UE: Europa construye una defensa cibern\u00e9tica conjunta<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/01\/16\/tendencias-ciberseguridad-2026\/\">Tendencias en ciberseguridad 2026: los 7 desarrollos m\u00e1s importantes para las empresas<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2025\/12\/11\/ciberseguridad-2025-anio-en-retrospectiva\/\">Ciberseguridad 2025: un a\u00f1o en retrospectiva  &#8211;  incidentes, tendencias y lecciones aprendidas<\/a><\/li>\n<\/ul>\n<p style=\"text-align: right;\"><em>Fuente de imagen: Pexels \/ cottonbro studio<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"El Reglamento de Ciberresiliencia de la UE (CRA, por sus siglas en ingl\u00e9s) es algo m\u00e1s que un requisito adicional de cumplimiento. Transforma de forma fundamental la manera en que las empresas desarrollan, prueban y comercializan productos digitales. Quien comience ya con los preparativos obtendr\u00e1 una ventaja considerable frente a competidores que esperen hasta el [&hellip;]","protected":false},"author":55,"featured_media":3574,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"ciberresiliencia","_yoast_wpseo_title":"Reglamento de Ciberresiliencia de la UE: Qu\u00e9 les espera a los fabricantes y dist","_yoast_wpseo_metadesc":"Ciberresiliencia UE: Cumpla con el CRA y evite sanciones. Aprenda sus obligaciones como fabricante o distribuidor de software. Act\u00fae ahora.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-3575-2","post_id-3575"],"footnotes":""},"categories":[253],"tags":[],"class_list":["post-8697","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad"],"evm_reading_time_minutes":6,"wpml_language":"es","wpml_translation_of":3575,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=8697"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8697\/revisions"}],"predecessor-version":[{"id":10604,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8697\/revisions\/10604"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/3574"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=8697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=8697"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=8697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}