← Tornar al blog

CRA: el reglament europeu que farà de la ciberseguretat un requisit per vendre el teu producte

2026-07-06 · CRA · compliment · producte

CRA: el reglament europeu que farà de la ciberseguretat un requisit per vendre el teu producte

Si la teva empresa fabrica, desenvolupa o importa qualsevol producte que porti programari — des d’una app o un SaaS fins a una màquina industrial, un dispositiu IoT o un component electrònic — el Reglament de Ciberresiliència t’afecta. I no és una directiva que cada país adapta a la seva manera: és un reglament (UE 2024/2847), d’aplicació directa i idèntica a tota la Unió Europea.

La idea de fons és simple: fins ara, el marcatge CE garantia que un producte no t’electrocuta ni s’incendia. A partir del CRA, també haurà de garantir que no és una porta d’entrada per als atacants. Sense complir-lo, no es podrà vendre al mercat europeu.

A qui afecta

A gairebé tota la cadena: fabricants (incloent-hi qui desenvolupa programari comercial), importadors i distribuïdors de “productes amb elements digitals” — maquinari o programari que es connecta, directament o indirectament, a un dispositiu o a una xarxa.

Queden fora els àmbits ja regulats per normes pròpies (dispositius mèdics, automoció, aviació) i, amb matisos, el programari de codi obert no comercial. Tota la resta — el gruix del que fa una pime tecnològica o industrial — hi entra.

Què exigeix, en essència

Les dates que has d’apuntar

Sembla lluny, però no ho és: si el teu producte té un cicle de desenvolupament d’un any i mig, el que estàs dissenyant avui és el que hauràs de certificar el 2027.

Què fer aquest trimestre

  1. Determina si hi entres. Llista els teus productes i pregunta’t: porten programari? Es connecten a alguna cosa? Es venen a la UE?
  2. Fes inventari de components. Sense un SBOM (de què està fet el teu producte, biblioteques incloses) no pots ni començar.
  3. Revisa el teu procés de vulnerabilitats. Tens manera de rebre avisos de tercers, corregir i distribuir pegats? Tens definit qui notifica què en 24 hores?
  4. Classifica el producte (per defecte, important o crític) per saber quin camí d’avaluació de conformitat et toca.

El CRA és un dels marcs de compliment que gestionem per als nostres clients, amb les evidències documentades. Si fabriqueu o desenvolupeu producte i voleu saber en quin punt sou, escriviu-nos a hola@cynderlab.com.