Cyber Resilience Act (CRA): el nuevo “CE de ciberseguridad” para productos digitales en la UE

.......

La Cyber Resilience Act (Reglamento (UE) 2024/2847) establece el primer marco horizontal y armonizado a nivel europeo que impone requisitos obligatorios de ciberseguridad para productos con elementos digitales como condición de acceso al mercado.


Con esta norma, la ciberseguridad deja de ser un valor añadido o una buena práctica voluntaria y pasa a convertirse en un requisito legal para la comercialización de productos.


La CRA nace para corregir dos fallos estructurales del mercado digital europeo: la presencia recurrente de vulnerabilidades en productos tecnológicos y la falta de obligaciones claras de mantenimiento y actualización de seguridad durante su ciclo de vida. A ello se suma la asimetría de información, que dificulta que empresas y consumidores puedan evaluar si un producto es realmente seguro o si contará con soporte y parches adecuados en el tiempo.


El objetivo del Reglamento es crear un marco único que garantice que el hardware y el software se comercialicen con un nivel mínimo de ciberseguridad, con responsabilidades definidas para los operadores económicos y con mecanismos coordinados de vigilancia de mercado en toda la Unión Europea.

La CRA se aplica a productos con elementos digitales cuyo uso previsto incluya conexión directa o indirecta a una red o dispositivo. Esto incluye tanto hardware como software, así como soluciones que dependan de tratamiento remoto de datos cuando ese componente cloud sea necesario para el funcionamiento del producto.


Quedan excluidos determinados sectores con regulación específica (por ejemplo, ciertos productos sanitarios o de automoción), así como ámbitos vinculados a defensa y seguridad nacional.


En cuanto a los actores, la CRA afecta a operadores económicos: fabricante, representante autorizado, importador y distribuidor. Además, introduce la figura del administrador de comunidades de software libre (open-source steward), y prevé un tratamiento específico en materia sancionadora para estos actores.


Es esencial tener en cuenta que, un importador/distribuidor puede pasar a ser “fabricante” si comercializa bajo su marca o hace una modificación sustancial.

La CRA introduce una clasificación específica para determinados productos digitales en función de su impacto potencial sobre la seguridad digital europea.

La clasificación depende de la funcionalidad principal del producto, no de los componentes aislados que integre. Incorporar un componente considerado importante (por ejemplo, un navegador embebido) no convierte automáticamente al producto completo en importante o crítico.

Productos importantes

Aquellos cuya funcionalidad principal puede generar un impacto significativo en la ciberseguridad si presentan vulnerabilidades explotables (por ejemplo, sistemas operativos, gestores de contraseñas, VPN, routers, navegadores web). Se caracterizan por: 

  • Alta exposición a redes.
  • Gestión de autenticación o tráfico sensible.
  • Capacidad de afectar a múltiples sistemas en caso de compromiso.

El procedimiento de evaluación de conformidad puede ser realizado por el fabricante si existen normas armonizadas aplicables en las que pueda basarse. En caso contrario, será necesaria la intervención de un organismo notificado para verificar el cumplimiento.

Productos críticos

Aquellos cuya vulnerabilidad puede tener un impacto estructural o sistémico en infraestructuras, servicios o ecosistemas digitales. Esta categoría está asociada a:


  • Componentes esenciales de infraestructura digital.
  • Tecnologías con impacto transversal en múltiples sectores.
  • Elementos cuya indisponibilidad o manipulación podría generar efectos en cascada.

Para estos productos, la evaluación de conformidad es más estricta y requiere obligatoriamente la intervención de un organismo de evaluación independiente (organismo notificado).

Seguridad "por diseño" y "por defecto"

La CRA exige que el producto se diseñe, desarrolle y produzca con un nivel adecuado de ciberseguridad, de modo que:

  • Salga al mercado sin vulnerabilidades explotables conocidas.
  • Tenga configuración segura por defecto.
  • Disponga de actualizaciones de seguridad, incluidas automáticas cuando proceda.
  • Incorpore controles frente a accesos no autorizados.
  • Garantice confidencialidad (por ejemplo, mediante cifrado), integridad, minimización de datos, disponibilidad y resiliencia.
  • Limite la superficie de ataque e incluya mecanismos de registro, monitorización y borrado seguro de datos. 
Gestión de vulnerabilidades

La norma obliga a:

  • Identificar y documentar vulnerabilidades y componentes, incluyendo una SBOM legible por máquina.
  • Corregir sin demora mediante parches.
  • Realizar pruebas periódicas de seguridad.
  • Publicar información sobre vulnerabilidades corregidas cuando exista una actualización (con margen para retrasos justificados).
  • Establecer una política de divulgación coordinada de vulnerabilidades (CVD).
  • Habilitar un punto de contacto para reportes.
  • Distribuir actualizaciones de forma segura y gratuita, salvo excepciones previstas.
Documentación, pruebas y notificación: lo que te van a pedir

La CRA se cumple y se demuestra con evidencias.

La documentación técnica del producto debe elaborarse antes de su comercialización y mantenerse actualizada durante el período de soporte, que refleja el tiempo de uso previsto y que, por defecto, es de al menos de 5 años. Debe demostrar que el producto cumple los requisitos de ciberseguridad e incluir, entre otros aspectos:

  • Descripción del producto y su finalidad.
  • Diseño y desarrollo desde la perspectiva de seguridad.
  • Evaluación de riesgos actualizada.
  • Procesos de gestión de vulnerabilidades.
  • Inventario de componentes de software (SBOM).
  • Resultados de pruebas de seguridad.
  • Declaración formal de conformidad.

Desde el 11 de septiembre de 2026, el fabricante deberá notificar simultáneamente al CSIRT competente (según su establecimiento principal) y a ENISA:

  • Vulnerabilidades explotadas activamente: alerta temprana ≤24h, notificación ≤72h, informe final ≤14 días tras una medida correctora o paliativa disponible.
  • Incidentes graves: alerta temprana ≤24h, notificación ≤72h, informe final ≤1 mes tras la notificación.

Estas notificaciones se realizarán a través de una plataforma única de notificación gestionada por ENISA.


Plazos de aplicación y fases

La CRA entró en vigor el 10 de diciembre de 2024, veinte días después de su publicación en el Diario Oficial de la Unión Europea (DOUE) y será plenamente aplicable a partir del 11 de diciembre de 2027. No obstante:

  • Desde el 11 de junio de 2026 los organismos notificados designados por los Estados miembros podrán comenzar a operar formalmente bajo la CRA y a realizar las evaluaciones de conformidad exigidas para determinados productos, especialmente aquellos clasificados como importantes o críticos.
  • Desde el 11 de septiembre de 2026 será obligatoria la notificación de vulnerabilidades e incidentes a través de la plataforma de ENISA.

¿Qué ocurre con los productos que ya están en el mercado?

La CRA no se aplica de forma retroactiva a todos los productos ya comercializados antes del 11 de diciembre de 2027. Si un producto fue introducido en el mercado antes de esa fecha y no sufre una modificación sustancial, no estará obligado a adaptarse íntegramente a los nuevos requisitos técnicos.


Sin embargo, desde el 11 de septiembre de 2026 sí será obligatoria la notificación de vulnerabilidades explotadas activamente e incidentes graves, incluso para productos ya comercializados.


Además, si un producto antiguo se modifica de forma sustancial después del 11 de diciembre de 2027, se considerará como un producto nuevo a efectos de la normativa y deberá cumplir plenamente con los requisitos de la CRA.


En consecuencia, aunque la norma no obliga a rediseñar automáticamente todos los productos existentes, sí exige a las empresas prepararse para nuevas obligaciones de reporte y evaluar cuidadosamente cualquier evolución técnica futura.

Sanciones y responsabilidades legales

  • Hasta 15.000.000€ o 2,5% del volumen de negocio anual mundial por incumplimiento de los requisitos esenciales de ciberseguridad del producto, las obligaciones de evaluación de riesgos y gestión de vulnerabilidades y las obligaciones de notificación.
  • Hasta 10.000.000€ o 2% por incumplimientos relevantes como incumplimientos de obligaciones de importadores o distribuidores, deficiencias en la documentación o en la declaración UE de conformidad y falta de cooperación con autoridades de vigilancia de mercado.
  • Hasta 5.000.000€ o 1% por información incompleta, incorrecta o engañosa facilitada a autoridades u organismos notificados. 
Existen matices como, por ejemplo, las multas de ciertos apartados no se aplican a micro/pequeñas empresas por incumplimiento del plazo de 24h de alerta temprana.

La CRA implica un cambio estructural en cómo se gestiona el ciclo de vida tecnológico, obligando a integrar la ciberseguridad en el diseño, desarrollo y mantenimiento del producto.

Esperar a 2027 para actuar es un error. Las empresas que desarrollen o comercialicen productos digitales deberían empezar ahora a:

  • Analizar si sus productos entran en el ámbito de aplicación.
  • Evaluar su nivel real de preparación.
  • Revisar sus procesos de desarrollo y mantenimiento.
  • Definir responsables internos claros.