Actualizado: Julio de 2025:
La Ley de Ciberresiliencia europea (CRA) es una regulación de ciberseguridad de la UE que exige a los fabricantes de productos con elementos digitales cumplir con requisitos específicos antes de que puedan venderse o distribuirse en países miembros de la UE.
La CRA fue propuesta por la Comisión Europea el 15 de septiembre de 2022. Está dirigida principalmente a fabricantes, importadores y distribuidores de productos con elementos digitales destinados al mercado de la UE. Esto incluye tanto productos de hardware como de software, así como soluciones de procesamiento remoto de datos que forman parte de estos productos.
Según la Ley de Ciberresiliencia europea, los productos con elementos digitales solo pueden estar disponibles en la UE si cumplen con los requisitos esenciales de ciberseguridad establecidos en el Anexo del CRA.
En el Anexo I del CRA, hay dos tipos de requisitos esenciales de ciberseguridad:
La Ley de Ciberresiliencia europea aplica a una amplia gama de productos digitales vendidos o disponibles en la UE. Esto incluye electrónica de consumo como smartphones y portátiles, dispositivos del Internet de las Cosas (IoT) como relojes inteligentes y electrodomésticos conectados, equipos de red como routers y módems, y diversos productos de software incluyendo sistemas operativos y aplicaciones.
Y sí, con algunas excepciones: Productos ya cubiertos por regulaciones existentes específicas del sector, como dispositivos médicos, in vitro, productos de aviación y vehículos de motor, están generalmente exentos. El software libre y de código abierto también está exento salvo que se monetice o se utilice en un producto comercial. Además, ciertos servicios en la nube, particularmente cloud/Software-as-a-Service - excepto “soluciones de procesamiento remoto de datos”.
Dependiendo de la categoría del producto, se aplican diferentes evaluaciones de conformidad según el texto legal del CRA. La clasificación para Productos Importantes (Clase I y Clase II) y Productos Críticos puede encontrarse en CRA-ANNEX III y IV, y más definiciones en los borradores de anexos de Descripción técnica de productos importantes y críticos con elementos digitales.
Si eres fabricante, asegúrate de conocer el proceso principal y todos los pasos a seguir.
Contacta con Applus+ si necesitas ayuda para entender los requisitos y cómo proceder. Todos estamos recorriendo juntos esta nueva Ley de Ciberresiliencia europea.
La Ley de Ciberresiliencia europea está diseñada para funcionar en conjunto con marcos de certificación de ciberseguridad existentes, incluido el esquema basado en Common Criteria (EUCC) derivado de la CSA (Ley de Ciberseguridad). El EUCC ofrece un esquema de certificación voluntario y puede utilizarse como herramienta para demostrar el cumplimiento con el CRA. Existen mapeos entre el CRA y el EUCC con contribuciones de Applus+, consulta la publicación de Applus+: Cómo cumplir a través de la certificación EUCC.
Estos enfoques de mapeo aseguran un panorama de ciberseguridad más cohesivo y completo en toda la UE, combinando medidas voluntarias y obligatorias para mejorar la seguridad digital general.
El 3 de abril de 2025, CEN, CENELEC y ETSI aceptaron oficialmente la solicitud de estandarización (Mandate M/606) de la Comisión Europea para desarrollar normas armonizadas que respalden el cumplimiento del CRA con iniciativas financiadas por la UE: STAN4CR y STAN4CR2, apoyadas por EISMEA/EFTA para coordinar los esfuerzos de CEN/CENELEC y ETSI.
Iniciados en abril de 2025, estos proyectos proporcionan estructura y recursos para acelerar el desarrollo de normas y la participación de las partes interesadas. Se están desarrollando normas horizontales y verticales, con hitos clave en agosto y octubre de 2026, y se espera una implementación completa para finales de 2027. ETSI ya lidera el trabajo de estandarización vertical y los informes de análisis de brechas.
Si fabricas productos en cualquiera de las categorías anteriores, comienza tu camino hacia el cumplimiento cuanto antes para evitar prisas de última hora. Asegúrate de empezar este camino con nuestros servicios de ciberresiliencia hoy.
Si tienes dudas o preguntas nuestros expertos de Applus+ Laboratories estarán encantados de ayudarte a comprender esta nueva regulación y acompañarte en el camino hacia el cumplimiento. Consulta nuestros servicios de ciberseguridad.
Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies.
Permiten el funcionamiento de la web, cargar contenido multimedia y proteger su seguridad. Consulta las cookies que almacenamos en nuestra Política de cookies.
Nos permiten conocer cómo interactúas con la web, el número de visitas en las diferentes secciones y establecer estadísticas para mejorar nuestras prácticas comerciales. Consulta las cookies que almacenamos en nuestra Política de cookies.
A través de tu comportamiento en la web (dónde haces click, el tiempo que navegas, etc.) establecemos parámetros y un perfil para que visualices anuncios que se correspondan con tus intereses. Consulta las cookies que almacenamos en nuestra Política de cookies.