Publicaciones

Ley de Ciberresiliencia: La guía esencial

01/10/2025

    El nuevo Reglamento de Ciberresiliencia: El nuevo marco para la seguridad de los productos digitales

    El Reglamento de Ciberresiliencia (CRA) es una normativa de la Unión Europea destinada a garantizar un nivel adecuado de ciberseguridad para los productos con elementos digitales comercializados en el mercado de la UE, en función de su criticidad. Su objetivo principal es mejorar la postura general de ciberseguridad incorporando la seguridad durante todo el ciclo de vida del producto con elementos digitales, desde el diseño y desarrollo hasta el soporte posterior a la comercialización. 

    ¿Por qué todo el mundo habla del impacto del CRA?

    Para los fabricantes, el CRA representa un cambio significativo en las expectativas regulatorias, estableciendo responsabilidades claras para ofrecer productos seguros por defecto y gestionar eficazmente las vulnerabilidades a lo largo del tiempo. Comprender y cumplir con el CRA es esencial no solo para el acceso legal al mercado, sino también para mantener la confianza del cliente, evitar sanciones y seguir siendo competitivo en un mercado cada vez más consciente de la seguridad.

    ¿Qué significa “poner un producto en el mercado de la Unión”?

    Se define como “poner un producto a disposición en el mercado de la Unión por primera vez con vistas a su distribución o uso dentro de la Unión, ya sea a título oneroso o gratuito e independientemente de la técnica de venta”.

    Según la Guía Azul, es importante destacar que un nuevo lote de un producto existente deberá cumplir con los nuevos requisitos incluso si la versión es la misma que antes del plazo.


    ¿Cuáles son las obligaciones legales del CRA y a quién se aplican?

    El CRA se aplica a fabricantes, importadores y distribuidores, y las principales obligaciones son:

    • Evaluaciones de riesgos de ciberseguridad: Es uno de los primeros pasos para iniciar la evaluación de conformidad relacionada con un producto según el uso previsto.
    • Documentación técnica: Proporcionar documentación y expediente técnico, incluyendo la Lista de Materiales de Software (SBOM) o información necesaria sobre el diseño y desarrollo del producto con elementos digitales.
    • Seguridad por defecto: Garantizar una configuración segura por defecto y actualizaciones de seguridad periódicas y gratuitas (idealmente automáticas).
    • Gestión y divulgación de vulnerabilidades: Establecer mecanismos de coordinación, divulgación y notificación de incidentes.
    • Conservación de documentación y datos durante al menos 10 años o el tiempo de soporte.

     

     

    ¿Cuándo entró en vigor el CRA y cuándo se aplican sus requisitos?

    • El reglamento entró en vigor el 10 de diciembre de 2024. Le siguió un período transitorio de 36 meses:
    • Las obligaciones de notificación serán exigibles 21 meses después, el 11 de septiembre de 2026.
    • Los requisitos técnicos se aplicarán 15 meses después, por lo que para el 11 de diciembre de 2027 se espera el cumplimiento total del CRA. 

     

    ¿Qué productos están dentro del alcance del CRA? ¿Existe alguna guía para saber cómo categorizarlos?

    El CRA se aplica a “productos con elementos digitales” (PDE), que incluyen tanto hardware como software, así como soluciones asociadas de procesamiento remoto de datos. Para estar cubierto, el uso del producto debe implicar previsiblemente una conexión lógica o física a una red u otro dispositivo.

    La categorización de un producto bajo el CRA es el primer paso, ya que determina qué procedimientos de evaluación de conformidad se aplicarán. El Reglamento prevé diferentes niveles de evaluación según si un producto se clasifica en la categoría general por defecto de PDE o en una clase de mayor riesgo (Importante y Crítica).

    Las diferentes rutas de evaluación de conformidad según la categorización se describen en el diagrama adjunto para mayor claridad.

     

    Consulta en qué categoría se encuentra tu producto en el Anexo III y IV del CRA. Dependiendo de la categoría, se permite la autoevaluación.

    Se espera orientación de la Comisión Europea y actos de ejecución para ayudar a fabricantes y proveedores a determinar la categorización correcta. Mientras tanto, la Comisión ha redactado la descripción técnica de las categorías de productos importantes y críticos en el Borrador de Reglamento de Ejecución - Ares (2025) 2037850 y Anexo - Ares(2025)2037850 en la Descripción técnica de productos importantes y críticos con elementos digitales. Ten en cuenta que este documento aún está en discusión.

    Qué productos o sectores están excluidos?

    Quedan excluidas del CRA las categorías de productos ya reguladas por marcos específicos de la UE:

    • Dispositivos médicos y dispositivos médicos de diagnóstico in vitro (Reglamentos (UE) 2017/745 y (UE) 2017/746)
    • Vehículos de motor (Reglamento (UE) 2019/2144)
    • Productos aeronáuticos certificados (Reglamento (UE) 2018/1139)
    • Equipos marinos (Directiva 2014/90/UE)
    • Piezas de repuesto idénticas (piezas que se ponen en el mercado para sustituir componentes idénticos en productos con elementos digitales y que se fabrican según las mismas especificaciones)
    • Elementos digitales desarrollados exclusivamente para la seguridad nacional (productos desarrollados o modificados exclusivamente para fines de seguridad nacional o defensa, o diseñados para procesar información clasificada)
    • Ofertas puras de SaaS pueden quedar fuera del alcance, salvo que califiquen como soluciones de procesamiento remoto de datos
    • Software de código abierto no monetizado también puede estar exento.

    Ten cuidado porque pertenecer a un sector no significa que estés excluido. La idea detrás del CRA es que los productos cubiertos por otras regulaciones no se solapen.

    ¿Cuál es el estado de la Solicitud de Normalización (SR)? ¡Aún estás a tiempo de contribuir! Únete a los grupos de trabajo de normalización 

    Se están elaborando normas para productos Importantes (Clase I y II) y Críticos, y los fabricantes y partes interesadas pueden contribuir. La solicitud de normalización para el CRA en Mandato606 muestra que 41 temas serán cubiertos por diferentes normas, categorizadas en tres tipos:

    • Tipo “A”: Evaluaciones de riesgos (Marco horizontal)
      • CEN/CENELEC (JTC 13 WG9)
      • Tema nº 1 del Mandato606.
    • Tipo “B”: Medidas técnicas independientes del producto y gestión de vulnerabilidades (Marco horizontal)
      • CEN/CENELEC (JTC 13 WG9)
      • Temas nº 2-15 del Mandato606.
    • Tipo “C”: Productos Importantes y Críticos 30/10/2026
      • CEN/CENELEC y ETSI para los temas nº 16-38 del Mandato606.
      • CEN/CENELEC para los temas nº 39-40 del Mandato606.

    El tipo “A” no otorga presunción de conformidad. Los tipos “A” y “B” sirven como base para definir las normas de “Tipo C”, y estas últimas proporcionarán presunción de conformidad.

    Estos son los plazos previstos para las normas:

    Hay sanciones por incumplimiento?

    Si. Algunas de las infracciones definidas son:

    • Incumplimiento de los requisitos esenciales: Multas de hasta 15 millones de euros o hasta el 2,5 % de la facturación anual mundial.
    • Otros incumplimientos de las obligaciones establecidas en artículos como del 18 al 23, artículo 28, artículo 30(1) a (4), artículo 31(1) a (4), artículo 32(1), (2) y (3), artículo 33(5), y artículos 39, 41, 47, 49 y 53 estarán sujetos a multas administrativas de hasta 10 millones de euros o hasta el 2 % de la facturación anual mundial, lo que sea mayor.
    • El suministro de información incorrecta, incompleta o engañosa a los organismos notificados y autoridades de vigilancia del mercado en respuesta a una solicitud estará sujeto a multas administrativas de hasta 5 millones de euros o, si el infractor es una empresa, hasta el 1 % de su facturación anual mundial, lo que sea mayor.


    ¿Cómo afecta el CRA al software de código abierto?

    El CRA incluye una categoría para responsables de código abierto que son aquellos que comercializan o apoyan productos de código abierto. Están obligados a mantener políticas de ciberseguridad, cooperar con las autoridades y apoyar la divulgación responsable de vulnerabilidades. Los proyectos de código abierto no comerciales pueden estar exentos. 
     

    Buenas prácticas para la preparación del cumplimiento

    Las mejores prácticas para la adopción del CRA.

    • Participa en formaciones y talleres sobre el CRA.
    • Verifica y evalúa si tus productos son PDE. Si lo son, determina su clase de riesgo (por defecto, importante o crítica) y decide el tipo de evaluación de conformidad que se puede utilizar y que mejor se adapte a tu tipo de producto. 
    • Comienza la documentación y las evaluaciones de riesgos cuanto antes. Incluye SBOM, expedientes técnicos y procesos de actualización que contengan:
      • Descripciones generales, propósito previsto, información e instrucciones para el usuario
      • Evaluación de riesgos
      • Determinación de períodos de soporte
      • Informes de pruebas realizadas para verificar la conformidad.
    • Diseña productos con la ciberseguridad en mente desde el principio y en todo el ciclo de vida: configuraciones seguras por defecto, mejores mecanismos criptográficos, mecanismos de actualización segura, gestión de vulnerabilidades o notificación de incidentes.
    • Verifica las obligaciones para fabricantes, importadores y distribuidores (y representantes autorizados).
    • Colabora con organismos notificados o prepárate para una evaluación de terceros si los productos se consideran importantes o críticos o si no dispones de suficientes recursos o conocimientos para iniciar la conformidad.
    • Mantén documentación técnica y de soporte detallada durante al menos 10 años o el ciclo de vida de soporte del producto.

     

    ¿Cómo puede ayudarte Applus+ Laboratories?

    Ayudamos a nuestros clientes a adelantarse a los plazos de cumplimiento ofreciendo:

    • Formación y talleres: Sesiones prácticas para aumentar el conocimiento de tu equipo sobre los requisitos del Reglamento de Ciberresiliencia (CRA) de la UE y las mejores prácticas generales.
    • Análisis GAP: Sesiones prácticas para aumentar el conocimiento de tu equipo sobre los requisitos del CRA y las mejores prácticas.
    • Marca Applus+ de Ciberresiliencia: Usando nuestra metodología FITCEM, evaluamos tu producto frente a los requisitos esenciales del CRA para identificar tu nivel actual de cumplimiento.ación sirve como un análisis GAP claro, ayudándote a entender qué pasos son necesarios para lograr el cumplimiento total. 
    • Certificación EUCC que se espera utilizar como evaluaciónidad para productos críticos. Applus+ tiene amplia experiencia en la metodología Common Criteria.
    Ver todas las publicaciones

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies