Cumplimiento normativo
El Cyber Resilience Act (CRA) es el reglamento europeo de ciberseguridad para los productos con elementos digitales. Si desarrollas o vendes hardware o software, te obliga a la seguridad desde el diseño y al marcado CE en ciberseguridad. Te preparamos para todo el ciclo: requisitos esenciales, gestión de vulnerabilidades, documentación técnica y evaluación de conformidad.
Equipo certificado (CISA, CISSP, CISM) con experiencia en seguridad de producto y evaluación de conformidad.
El calendario
El CRA entró en vigor en diciembre de 2024 y se aplica por fases. La fecha final es lejana, pero hay obligaciones que ya están cerca, y prepararse lleva meses.
11 sep 2026
Obligación de notificar vulnerabilidades explotadas e incidentes graves, con alerta temprana en 24 horas. Alcanza incluso a los productos ya en el mercado.
Lo más cercano11 dic 2026
Empiezan a designarse los organismos de evaluación de la conformidad, los que podrán certificar los productos que lo requieran.
11 dic 2027
Todos los requisitos en vigor: seguridad desde el diseño, documentación, evaluación de conformidad y marcado CE para los productos nuevos.
La fecha de septiembre de 2026 es la que más urge, porque obliga a tener listos los procesos de detección y reporte, y aplica también a lo que ya tienes en el mercado. Construir esa capacidad no se improvisa.
A quién obliga
El CRA alcanza a los productos con elementos digitales que se ponen en el mercado de la Unión Europea, tanto hardware como software. Y no solo al fabricante: importadores y distribuidores tienen su parte de responsabilidad.
Si no estás seguro de si tu producto entra o de en qué categoría, el análisis de aplicabilidad lo aclara: no todos los productos tienen el mismo nivel de exigencia.
Servicio
Clasificación del producto: si entra en el CRA y con qué nivel de exigencia, según su criticidad.
Análisis de brechas frente a los requisitos esenciales del Anexo I, en producto y en procesos.
Seguridad desde el diseño: requisitos integrados en el desarrollo, no añadidos al final.
Gestión de vulnerabilidades: procesos de detección, tratamiento y los reportes de 24 y 72 horas que exige el artículo 14.
Documentación técnica y SBOM: el inventario de componentes y la documentación que pide la norma.
Periodo de soporte: definición y comunicación del soporte de seguridad a lo largo de la vida del producto.
Evaluación de conformidad y preparación del marcado CE, con la vía que corresponda a tu producto.
Cadena de suministro: requisitos a tus proveedores de componentes para que no rompan tu conformidad.
Método
Determinamos si el producto entra, en qué categoría y la distancia frente al Anexo I, en producto y procesos.
Hoja de ruta priorizada que cruza requisitos con tu hoja de producto y las fechas del CRA.
Seguridad en el desarrollo, gestión de vulnerabilidades, documentación técnica, SBOM y periodo de soporte.
Evaluación de conformidad por la vía que corresponda y preparación del marcado CE.
Sinergias
El CRA no es papeleo aparte: vive dentro de cómo construyes el producto. Lo integramos en tu ciclo de desarrollo seguro, de modo que los requisitos se cumplan trabajando, no rellenando documentos al final. Si ya tienes prácticas de seguridad en el desarrollo o un SGSI, gran parte de la base está hecha. Y como el CRA pide demostrar que el desarrollo es seguro, nuestra auditoría de código fuente aporta esa evidencia, revisando el código por dentro. Y para el producto industrial, la IEC 62443 es el marco que demuestra su seguridad.
Lo que nos diferencia: somos auditores además de implantadores, y unimos la visión de cumplimiento con la técnica. Sabemos qué evidencia pedirá una evaluación de conformidad porque trabajamos con esa lógica cada día.
Dudas
El Cyber Resilience Act es el reglamento europeo que fija requisitos de ciberseguridad para los productos con elementos digitales, hardware y software, que se venden en la Unión Europea. Obliga a la seguridad desde el diseño, a gestionar las vulnerabilidades durante toda la vida del producto y a demostrarlo con documentación y marcado CE.
A casi cualquier producto con elementos digitales que se conecte directa o indirectamente a otro dispositivo o a una red: software, hardware y sus componentes. Hay exclusiones tasadas (por ejemplo, productos ya cubiertos por otra normativa sectorial), y dentro del alcance hay distintos niveles de criticidad que marcan cómo se evalúa la conformidad. El análisis de aplicabilidad lo aclara para tu caso.
Por fases. Entró en vigor en diciembre de 2024 y se aplica del todo el 11 de diciembre de 2027, pero hay obligaciones antes: el reporte de vulnerabilidades e incidentes del artículo 14 desde el 11 de septiembre de 2026, que alcanza incluso a productos ya en el mercado, y la designación de organismos notificados a finales de 2026. Conviene empezar pronto, porque crear los procesos lleva tiempo.
El incumplimiento de los requisitos esenciales de ciberseguridad o de las obligaciones de reporte puede llegar a multas de hasta 15 millones de euros o el 2,5% de la facturación mundial anual, aplicándose la cuantía mayor. Para fabricantes que venden en la UE, es un riesgo de negocio de primer orden.
El SBOM es el inventario de componentes de tu software, la lista de todo lo que lo compone, incluidas las librerías de terceros. El CRA lo pide porque no puedes proteger ni reportar vulnerabilidades de lo que no sabes que usas. Te ayudamos a generarlo y a mantenerlo vivo como parte de la gestión de vulnerabilidades.
Es el mismo marcado CE, pero acreditando el cumplimiento de los requisitos de ciberseguridad del CRA. No es un sello que se pega: es la consecuencia visible de haber hecho el trabajo, la evaluación de conformidad, la documentación técnica y la seguridad desde el diseño. Te preparamos para obtenerlo por la vía que corresponda a tu producto.
¿Hablamos?
El análisis de aplicabilidad resuelve la duda en pocos días: si tu producto entra en el CRA, en qué nivel y qué te separa del marcado CE.
Ponte en contacto