Publicaciones

Ley de Ciberresiliencia: Status de Implementación a 2025

17/10/2025

    Lo que sabemos, lo que aún no está claro y lo que ya podemos preparar

    El Reglamento de Ciberresiliencia (CRA) está transformando el panorama de la ciberseguridad para los productos digitales en la Unión Europea. Aunque algunos detalles normativos aún están pendientes de aclaración, el marco ya ofrece a fabricantes y laboratorios una base sólida para comenzar a prepararse. Este artículo resume los principales puntos del seminario web de Applus+ Laboratories titulado CRA: What We Know & What We Don’t Know (Yet), y los alinea con las últimas publicaciones oficiales. La grabación del vídeo está disponible junto con este artículo.
     

    La Ley Europea de Ciberresiliencia

    El CRA se aplica a la mayoría de los productos de hardware y software conectados, con una aplicación total prevista para diciembre de 2027. Para septiembre de 2026, los fabricantes deberán comenzar a informar sobre vulnerabilidades activamente explotadas e incidentes graves. La regulación exige ciberseguridad desde el diseño y por defecto, gestión continua de vulnerabilidades y documentación técnica completa. Estos elementos están bien establecidos y han sido tratados ampliamente en publicaciones anteriores de Applus+ Laboratories.

    Modelos de Evaluación de la Conformidad para el CRA: Rutas Definidas, pero Faltan las Guías

    El CRA define varios modelos de evaluación de la conformidad, cada uno vinculado a la clasificación y nivel de riesgo del producto:

    • Módulo A (Autoevaluación): Para productos por defecto, permite a los fabricantes declarar la conformidad sin validación externa.
    • Módulos B+C (Examen de Tipo + Control de Producción): Implica a un organismo notificado para la validación del diseño (Módulo B) y control interno de producción (Módulo C).
    • Módulo H (Auditoría del Sistema de Calidad): Evaluación basada en la auditoría del sistema de calidad del fabricante para verificar que cumple con los requisitos del CRA.
    • Esquemas de Certificación Europeos: Como EUCC o EUCS, que pueden ofrecer presunción parcial o total de conformidad si son reconocidos por la Comisión Europea.

    Enfoque en el Módulo H

    Desde octubre de 2025, el Módulo H ha surgido como un tema especialmente relevante. Ofrece una vía potencialmente eficiente hacia el cumplimiento, aprovechando auditorías del sistema de gestión de calidad del fabricante—similar en estructura a ISO 9001—en lugar de requerir pruebas producto por producto. Este modelo podría ser especialmente atractivo para fabricantes con procesos internos maduros.

    Sin embargo, varios aspectos siguen sin resolverse:

    • No existe aún una guía oficial sobre cómo se aplicará el Módulo H en el contexto del CRA.
    • No está claro qué nivel de profundidad de auditoría se requerirá ni cómo se armonizará con los estándares de calidad existentes.
    • Los criterios para la acreditación de organismos notificados bajo el Módulo H aún están en desarrollo, lo que plantea dudas sobre la coherencia y el alcance entre distintos tipos de productos.

    A pesar de estas lagunas, organizaciones como Applus+ Laboratories ya están trabajando en enfoques modulares alineados con el Nuevo Marco Legislativo (NLF) para preparar la implementación del Módulo H.

    Normas Armonizadas paral el CRA: Un Objetivo en Proceso

    Las organizaciones europeas de normalización están desarrollando activamente normas armonizadas para apoyar el cumplimiento del CRA. Estas incluyen:

    • Normas horizontales: Normas a nivel de marco aplicables a distintos tipos de productos y usos, que sirven de base para las normas verticales.
    • Normas verticales: Específicas para categorías de productos como sistemas de gestión de identidad, sistemas operativos o microprocesadores y microcontroladores resistentes a manipulaciones. Estas normas se están desarrollando para productos de Clase I, II y Críticos.

    En el momento de la publicación:

    • Las normas armonizadas verticales ofrecerán presunción de conformidad, simplificando el proceso de cumplimiento.
    • Su uso es voluntario, pero altamente recomendado.

    Sin embargo, persisten varias incógnitas:

    • La lista final de normas aplicables aún no se ha publicado, aunque los actores de la normalización están trabajando activamente en ello.
    • No todos los tipos de productos contarán con normas verticales dedicadas a tiempo para la fecha límite de 2027. Actualmente no hay normas verticales previstas para productos por defecto, que representan aproximadamente el 90% del mercado, aunque el marco horizontal puede utilizarse como referencia. Esto genera dudas sobre cómo demostrarán conformidad estos productos sin una guía específica.

    Obligaciones del Fabricante según el CRA: Requisitos Claros, Implementación Compleja

    El CRA impone un conjunto completo de obligaciones a los fabricantes, que incluyen:

    • Cumplir con los requisitos esenciales de ciberseguridad establecidos en el Anexo I (Partes 1 y 2), que cubren tanto las propiedades de seguridad del producto como la gestión de vulnerabilidades.
    • Realizar evaluaciones de riesgos basadas en el uso previsto, el uso indebido previsible y el contexto de despliegue.
    • Llevar a cabo la debida diligencia sobre todos los componentes, incluidos software de terceros y de código abierto, para garantizar que cumplen con el CRA, incluso si aún no están regulados o vendidos en la UE.
    • Mantener una Lista de Materiales de Software (SBOM) legible por máquina para rastrear todos los componentes de software.
    • Proporcionar actualizaciones de seguridad durante todo el periodo de soporte del producto.
    • Preparar documentación técnica detallada (Anexo VII) y orientación para el usuario final (Anexo II), incluyendo instrucciones de configuración segura, puntos de contacto para reportar vulnerabilidades y declaraciones de conformidad.

    En el momento de redactar este artículo, aunque estas obligaciones están bien definidas en la regulación, su implementación práctica sigue siendo un reto:

    • Los fabricantes deben establecer procesos internos para la monitorización continua de vulnerabilidades y respuesta.
    • Aún se espera orientación sobre cómo gestionar componentes de código abierto y productos heredados ya en el mercado.
    • La obligación de informar sobre vulnerabilidades en productos vendidos antes de diciembre de 2027 (según el Artículo 69.3) añade complejidad a la gestión del ciclo de vida.

    Obligaciones de Reporte del CRA: Plazos Estrictos, Complejidad Operativa

    Bajo el CRA, los fabricantes deben informar sobre:

    • Vulnerabilidades activamente explotadas
    • Incidentes graves de ciberseguridad

    Estos deben reportarse a ENISA y al CSIRT designado a través de una única plataforma de informes, siguiendo plazos estrictos:

    • En un plazo de 24 horas: Alerta temprana.
    • En un plazo de 72 horas: Notificación con evaluación inicial y plan de mitigación.
    • En un plazo de 14 días: Informe final sobre vulnerabilidades.
    • En un plazo de 1 mes: Informe final sobre incidentes.

    Conclusión

    Aunque los requisitos fundamentales del CRA están claros, muchos detalles técnicos y procedimentales aún están evolucionando. A partir de octubre de 2025, los fabricantes ya pueden comenzar a prepararse en áreas clave como la clasificación de productos, documentación, gestión de vulnerabilidades y reporte. Mantenerse informado y comprometido con las actualizaciones regulatorias será esencial para garantizar el cumplimiento y conservar el acceso al mercado.

     

    Visualiza el video del webinar en youtube

     

    Descarga la presentacion del webinar (.pdf)

    Ver todas las publicaciones

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies