Si tu empresa fabrica, desarrolla o importa cualquier producto que lleve software — desde una app o un SaaS hasta una máquina industrial, un dispositivo IoT o un componente electrónico — el Reglamento de Ciberresiliencia te afecta. Y no es una directiva que cada país adapta a su manera: es un reglamento (UE 2024/2847), de aplicación directa e idéntica en toda la Unión Europea.
La idea de fondo es simple: hasta ahora, el marcado CE garantizaba que un producto no te electrocuta ni se incendia. A partir del CRA, también deberá garantizar que no es una puerta de entrada para los atacantes. Sin cumplirlo, no se podrá vender en el mercado europeo.
A quién afecta
A casi toda la cadena: fabricantes (incluyendo a quien desarrolla software comercial), importadores y distribuidores de “productos con elementos digitales” — hardware o software que se conecta, directa o indirectamente, a un dispositivo o a una red.
Quedan fuera los ámbitos ya regulados por normas propias (dispositivos médicos, automoción, aviación) y, con matices, el software de código abierto no comercial. Todo lo demás — el grueso de lo que hace una pyme tecnológica o industrial — entra.
Qué exige, en esencia
- Seguridad desde el diseño. El producto debe salir al mercado sin vulnerabilidades conocidas explotables, con configuración segura por defecto, actualizaciones posibles y protección de los datos que trata (anexo I del reglamento).
- Gestión de vulnerabilidades durante todo el ciclo de vida. Identificar y documentar componentes (SBOM — inventario de software), publicar política de divulgación coordinada, distribuir parches de seguridad gratuitos durante el periodo de soporte (como norma general, mínimo 5 años).
- Notificación de incidentes y vulnerabilidades explotadas: alerta temprana a ENISA y al CSIRT nacional en 24 horas desde que tienes conocimiento, notificación completa en 72 horas e informe final al cabo de un mes.
- Evaluación de conformidad y marcado CE. Para la mayoría de productos, autoevaluación; para las categorías “importantes” y “críticas” (gestores de contraseñas, cortafuegos, hipervisores…), evaluación más exigente, a menudo con terceros.
Las fechas que debes apuntar
- En vigor desde el 10 de diciembre de 2024.
- 11 de septiembre de 2026: entran en aplicación las obligaciones de notificación de incidentes y vulnerabilidades explotadas.
- 11 de diciembre de 2027: aplicación completa. Todo producto con elementos digitales puesto en el mercado a partir de esta fecha debe cumplir el reglamento entero.
Parece lejos, pero no lo es: si tu producto tiene un ciclo de desarrollo de año y medio, lo que estás diseñando hoy es lo que tendrás que certificar en 2027.
Qué hacer este trimestre
- Determina si entras. Lista tus productos y pregúntate: ¿llevan software? ¿Se conectan a algo? ¿Se venden en la UE?
- Haz inventario de componentes. Sin un SBOM (de qué está hecho tu producto, bibliotecas incluidas) no puedes ni empezar.
- Revisa tu proceso de vulnerabilidades. ¿Tienes manera de recibir avisos de terceros, corregir y distribuir parches? ¿Está definido quién notifica qué en 24 horas?
- Clasifica el producto (por defecto, importante o crítico) para saber qué camino de evaluación de conformidad te toca.
El CRA es uno de los marcos de cumplimiento que gestionamos para nuestros clientes, con las evidencias documentadas. Si fabricáis o desarrolláis producto y queréis saber en qué punto estáis, escribidnos a hola@cynderlab.com.