Obligaciones de los fabricantes según la Ley de Ciberresiliencia (CRA)

23/06/2026

    ¿Cuáles son las obligaciones de los fabricantes según la Ley de Ciberresiliencia (CRA)?

    El artículo 13 del Reglamento de Ciberresiliencia (CRA) define las principales obligaciones de los fabricantes que deben implementarse a lo largo de todo el ciclo de vida de los productos con elementos digitales.

    Aunque el CRA establece un marco regulatorio integral para la ciberseguridad, este artículo se centra específicamente en las obligaciones de los fabricantes conforme al artículo 13, que van más allá de la evaluación de la conformidad y requieren que los fabricantes establezcan procesos estructurados de ciberseguridad, documentación y prácticas de gestión del ciclo de vida.

    Para una visión general más amplia de la normativa, consulta nuestra guía esencial del CRA.
    Para los requisitos de notificación de incidentes y vulnerabilidades según el artículo 14, consulta nuestro artículo sobre obligaciones de reporte del CRA.

    Para orientarte sobre cómo implementar estas obligaciones, explora nuestros servicios de cumplimiento del CRA.

    Por qué las obligaciones de los fabricantes según el CRA son complejas

    El Reglamento de Ciberresiliencia (Cyber Resilience Act) representa un cambio significativo para los fabricantes, introduciendo responsabilidades de ciberseguridad a lo largo de todo el ciclo de vida que van mucho más allá de los enfoques tradicionales de cumplimiento.

    Los principales desafíos incluyen:

    • Gestionar la ciberseguridad a lo largo de todo el ciclo de vida del producto, desde el diseño hasta el soporte posterior a la comercialización.
    • Garantizar la integración segura de componentes de terceros, incluido el software de código abierto.
    • Mantener procesos continuos de supervisión y respuesta ante vulnerabilidades.
    • Alinear con normas armonizadas y expectativas regulatorias en evolución.
    • Proporcionar actualizaciones de seguridad y compromisos de soporte a largo plazo.

    Esto refleja un principio fundamental del CRA: la ciberseguridad no es un requisito puntual, sino una responsabilidad operativa continua para los fabricantes. 

    Requisitos esenciales de ciberseguridad del CRA y evaluación de riesgos

    Los fabricantes deben garantizar que los productos cumplen los requisitos esenciales de ciberseguridad definidos en el Anexo I del CRA. 

    Un elemento clave es la evaluación de riesgos de ciberseguridad, que debe realizarse antes de comercializar un producto y mantenerse durante todo su ciclo de vida.

    Esta evaluación debe:

    • Analizar los riesgos de ciberseguridad en función de la finalidad prevista del producto.
    • Tener en cuenta el uso y mal uso razonablemente previsibles.
    • Evaluar el entorno operativo y los activos protegidos.
    • Considerar la vida útil prevista del producto.

    También debe documentar claramente:

    • Cómo se aplican los requisitos esenciales al producto.
    • Cómo se implementan.
    • Cómo se abordan los requisitos de gestión de vulnerabilidades.

    Esto garantiza que la ciberseguridad esté integrada desde el diseño hasta el final de la vida útil, en lugar de tratarse como un requisito puntual.

    Gestión de vulnerabilidades y diligencia debida según el CRA

    Los fabricantes deben ejercer diligencia debida al integrar componentes de terceros, como:

    • Software comercial.
    • Software de código abierto.
    • Módulos de hardware.

    Estos componentes no deben comprometer la ciberseguridad del producto final.

    Cuando se identifican vulnerabilidades, los fabricantes deben:

    • Notificarlas al responsable del componente.
    • Implementar medidas de corrección.
    • Compartir soluciones o directrices de mitigación cuando proceda.

    Además, los fabricantes deben establecer procesos estructurados de gestión de vulnerabilidades, que incluyan:

    • Supervisión continua de vulnerabilidades.
    • Documentación de incidencias de ciberseguridad.
    • Actualización de las evaluaciones de riesgos cuando sea necesario.
    • Políticas de divulgación coordinada de vulnerabilidades.

    Estos procesos deben abordar tanto las incidencias detectadas internamente como las vulnerabilidades notificadas externamente.

    Las obligaciones de notificación de incidentes y vulnerabilidades se definen por separado en el Artículo 14 (consulte nuestro artículo sobre obligaciones de reporte del CRA).

    Requisitos de actualizaciones de seguridad y periodo de soporte

    El CRA exige que los fabricantes garanticen que las vulnerabilidades se abordan eficazmente durante un periodo de soporte definido. El periodo de soporte debe reflejar la vida útil prevista del producto y, en general, debe ser de al menos cinco años, salvo que el uso previsto del producto justifique una duración menor. 

    Los fabricantes deben:

    • Proporcionar actualizaciones de seguridad continuas.
    • Garantizar que las actualizaciones estén disponibles a lo largo del tiempo.
    • Comunicar claramente el periodo de soporte a los usuarios.

    El periodo de soporte debe reflejar:

    • La vida útil prevista del producto.
    • Las expectativas de los usuarios.
    • El uso previsto del producto.
    • Los requisitos regulatorios aplicables.

    Los fabricantes deben garantizar que las actualizaciones de seguridad estén disponibles durante un periodo prolongado, normalmente al menos 10 años o durante la duración del periodo de soporte definido.

    El CRA también promueve configuraciones seguras por defecto y actualizaciones continuas como prácticas esenciales de ciberseguridad. 

    Documentación técnica y requisitos de información del CRA

    Los fabricantes deben preparar y mantener documentación técnica que demuestre el cumplimiento de los requisitos del CRA. 

    Esto incluye:

    • La evaluación de riesgos de ciberseguridad.
    • Documentación de los controles de seguridad.
    • Información sobre el diseño y desarrollo del producto (incluyendo SBOM cuando corresponda).

    Los requisitos de documentación técnica se detallan adicionalmente en el Artículo 31 y el Anexo VII del CRA, mientras que la información y las instrucciones dirigidas a los usuarios se definen en el Anexo III.

    El Software Bill of Materials (SBOM), como parte de la documentación técnica, se abordará en detalle en un artículo específico.

    La documentación debe:

    • Estar disponible para las autoridades de vigilancia del mercado cuando lo soliciten.
    • Conservarse durante al menos 10 años o durante la duración del periodo de soporte.

    Además, los fabricantes deben proporcionar a los usuarios instrucciones e información claras sobre:

    • El uso seguro del producto.
    • Las actualizaciones de seguridad.
    • Los riesgos conocidos.

    La documentación técnica desempeña un papel fundamental para garantizar la trazabilidad y la rendición de cuentas a lo largo del ciclo de vida del producto. 

    Identificación del producto y responsabilidades del fabricante

    El CRA también establece obligaciones relacionadas con la trazabilidad del producto y la comunicación.

    Los fabricantes deben:

    • Garantizar que los productos sean claramente identificables (por ejemplo, tipo, lote o número de serie).
    • Proporcionar su nombre, dirección y datos de contacto.
    • Designar un punto de contacto único para cuestiones de ciberseguridad y notificación de vulnerabilidades.

    Declaración UE de conformidad y marcado CE según el CRA

    Antes de comercializar un producto en el mercado de la UE, los fabricantes deben realizar una evaluación de conformidad para demostrar el cumplimiento de los requisitos del CRA.

    Una vez confirmada la conformidad:

    • Debe emitirse una Declaración UE de conformidad.
    • El producto debe llevar el marcado CE.

    Los fabricantes también deben:

    • Garantizar la conformidad continua de los productos fabricados en serie.
    • Conservar la documentación y las evidencias de conformidad.
    • Cooperar con las autoridades de vigilancia del mercado.

    Dependiendo de la categoría del producto, pueden aplicarse diferentes vías de cumplimiento, incluyendo la autoevaluación o la evaluación por terceros a través de organismos notificados. 

    Cuando los fabricantes publiquen versiones de software sustancialmente modificadas, podrán optar por mantener la conformidad únicamente para la versión más reciente, siempre que:

    • los usuarios puedan acceder a la última versión de forma gratuita.
    • los usuarios no necesiten actualizar su hardware o entorno.

    Los fabricantes también pueden mantener archivos públicos de versiones históricas de software, pero deben informar claramente a los usuarios sobre los riesgos de utilizar software no soportado.

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies