← Volver al blog

CRA: el reglamento europeo que hará de la ciberseguridad un requisito para vender tu producto

2026-07-06 · CRA · cumplimiento · producto

CRA: el reglamento europeo que hará de la ciberseguridad un requisito para vender tu producto

Si tu empresa fabrica, desarrolla o importa cualquier producto que lleve software — desde una app o un SaaS hasta una máquina industrial, un dispositivo IoT o un componente electrónico — el Reglamento de Ciberresiliencia te afecta. Y no es una directiva que cada país adapta a su manera: es un reglamento (UE 2024/2847), de aplicación directa e idéntica en toda la Unión Europea.

La idea de fondo es simple: hasta ahora, el marcado CE garantizaba que un producto no te electrocuta ni se incendia. A partir del CRA, también deberá garantizar que no es una puerta de entrada para los atacantes. Sin cumplirlo, no se podrá vender en el mercado europeo.

A quién afecta

A casi toda la cadena: fabricantes (incluyendo a quien desarrolla software comercial), importadores y distribuidores de “productos con elementos digitales” — hardware o software que se conecta, directa o indirectamente, a un dispositivo o a una red.

Quedan fuera los ámbitos ya regulados por normas propias (dispositivos médicos, automoción, aviación) y, con matices, el software de código abierto no comercial. Todo lo demás — el grueso de lo que hace una pyme tecnológica o industrial — entra.

Qué exige, en esencia

Las fechas que debes apuntar

Parece lejos, pero no lo es: si tu producto tiene un ciclo de desarrollo de año y medio, lo que estás diseñando hoy es lo que tendrás que certificar en 2027.

Qué hacer este trimestre

  1. Determina si entras. Lista tus productos y pregúntate: ¿llevan software? ¿Se conectan a algo? ¿Se venden en la UE?
  2. Haz inventario de componentes. Sin un SBOM (de qué está hecho tu producto, bibliotecas incluidas) no puedes ni empezar.
  3. Revisa tu proceso de vulnerabilidades. ¿Tienes manera de recibir avisos de terceros, corregir y distribuir parches? ¿Está definido quién notifica qué en 24 horas?
  4. Clasifica el producto (por defecto, importante o crítico) para saber qué camino de evaluación de conformidad te toca.

El CRA es uno de los marcos de cumplimiento que gestionamos para nuestros clientes, con las evidencias documentadas. Si fabricáis o desarrolláis producto y queréis saber en qué punto estáis, escribidnos a hola@cynderlab.com.