Acompañamos a los fabricantes en su camino hacia el cumplimiento del CRA, desde la comprensión inicial hasta la evaluación de la conformidad.

Aunque la Ley de Ciberresiliencia aún no es plenamente obligatoria, sus requisitos se aplicarán progresivamente. Dado que cada organización parte de un nivel distinto de madurez en ciberseguridad, el nivel de preparación dependerá tanto del calendario del CRA como de la situación actual de sus productos y procesos. 

 


Checklist de cumplimiento del CRA: pasos clave para fabricantes

  • Identificar la clasificación aplicable del producto (básica, importante Clase I/II, crítica)
  • Determinar la vía de evaluación de la conformidad adecuada (Módulo A, B+C, H o esquema CSA)
  • Verificar la disponibilidad de normas armonizadas (hEN) para productos importantes
  • Preparar la documentación técnica
  • Realizar la autoevaluación o recurrir a un organismo de evaluación independiente
  • Garantizar el cumplimiento de los requisitos de ciberseguridad y regulatorios
  • Mantener la documentación y las evidencias de conformidad
Paso 1

Comprender la Ley de Ciberresiliencia

Empiece por comprender el alcance, los objetivos y la estructura de la Ley de Ciberresiliencia, incluido qué productos y qué operadores económicos se ven afectados.

El CRA establece obligaciones específicas a lo largo de todo el ciclo de vida del producto y se apoya en requisitos esenciales de ciberseguridad que definen lo que los productos con elementos digitales deben cumplir en la práctica. Obligaciones de los fabricantes en el CRA

Aunque el cumplimiento completo del CRA no será obligatorio hasta diciembre de 2027, la notificación de vulnerabilidades explotadas e incidentes graves será obligatoria a partir de septiembre de 2026. Obligaciones de notificación del CRA (septiembre de 2026)


Paso 2

Identificar la clasificación aplicable a cada producto y las posibles vías de cumplimiento

En el marco de la Ley de Ciberresiliencia, los fabricantes disponen de varias vías de evaluación de la conformidad. Sin embargo, esta elección no es completamente discrecional. El CRA define claramente qué vías de cumplimiento son aplicables en función de la categoría del producto. 

Antes de seleccionar una vía de cumplimiento del CRA, es clave determinar primero si el producto entra dentro del ámbito de aplicación del CRA y cómo se clasifica. Esta clasificación inicial limita o habilita directamente los módulos de evaluación de la conformidad disponibles.

Básica

Electrónica de consumo, software de propósito general, etc.

Autoevaluación

  • Módulo A
  • Opciones voluntarias: Módulo B+C o Módulo H
Importante – Clase I

Equipos de red, autenticación, soluciones de domótica, etc.

Autoevaluación si existe hEN o evaluación por tercera parte

  • Módulo A (si existe hEN disponible)
  • Módulo B+C
  • Módulo H
Importante – Clase II

Chips resistentes a manipulaciones, firewalls, hipervisores, etc.

Evaluación por tercera parte

  • Módulo B+C
  • Módulo H
  • Esquema CSA, si está disponible y resulta aplicable (Sustancial)
Crítica

Módulos de seguridad, contadores inteligentes, tarjetas inteligentes, elementos seguros.

Evaluación por tercera parte

  • Módulo B+C
  • Módulo H
  • Esquema CSA (EUCC)

Paths towards CRA Compliance

  • Módulo A – Internal control: El fabricante es el único responsable de garantizar que el producto cumple con los requisitos esenciales de ciberseguridad del Anexo I. Elabora la documentación técnica y asegura procesos adecuados de diseño, desarrollo, producción y gestión de vulnerabilidades. Emite la declaración de conformidad y coloca el marcado CE, conservando la documentación durante al menos diez años o el periodo de soporte.
  • Módulo B – Examen de tipo UE: Un organismo notificado evalúa el diseño técnico del producto y los procesos de gestión de vulnerabilidades a partir de la documentación presentada. Verifica el cumplimiento de los requisitos esenciales y, si es conforme, emite un certificado de examen UE de tipo para ese producto.
  • Módulo C – Conformidad con el tipo basada en el control interno de la producción: El fabricante garantiza que los productos fabricados son conformes al tipo aprobado en el Módulo B y siguen cumpliendo los requisitos de ciberseguridad. Aplica controles de producción, coloca el marcado CE y emite la declaración de conformidad, que debe conservarse durante el periodo requerido.
  • Módulo H – Conformidad basada en el aseguramiento total de la calidad: El fabricante garantiza que los productos fabricados son conformes al tipo aprobado en el Módulo B y siguen cumpliendo los requisitos de ciberseguridad. Aplica controles de producción, coloca el marcado CE y emite la declaración de conformidad, que debe conservarse durante el periodo requerido.. 
  • Esquema CSA: Los productos, servicios o procesos TIC pueden certificarse según esquemas europeos definidos bajo la Ley de Ciberresiliencia. La certificación la realizan entidades acreditadas o autoridades nacionales, y demuestra el cumplimiento de requisitos técnicos y organizativos. Los certificados son válidos en toda la UE.

Paso 3

Evaluar el nivel de preparación para la Ley de Ciberresiliencia

Complete nuestro cuestionario de preparación para el CRA para confirmar si sus productos entran dentro del ámbito de aplicación del CRA y conocer su nivel actual de madurez en ciberseguridad frente a requisitos clave a lo largo del ciclo de vida del producto.

Cuando el nivel de madurez en ciberseguridad aún es bajo, las sesiones de formación sobre el CRA pueden ser un primer paso útil antes de avanzar hacia un análisis estructurado de preparación y brechas.

Cuestionario CRA

Formación CRA

Paso 4

Consideraciones sobre las vías de cumplimiento del CRA

Antes de elegir una vía de cumplimiento del CRA, se debe tener en cuenta el estado de las normas armonizadas y la interacción con las certificaciones de ciberseguridad ya existentes. 

Para empresas con varios productos o con productos de categorías Importante y Crítica, estos factores pueden afectar a la aplicabilidad de la autoevaluación y permitir la reutilización de evidencias o la alineación con enfoques basados en sistemas de calidad, como el Módulo H.

Interacción del CRA con otras certificaciones (EUCC)

Mapa de normas del CRA

 


Paso 5

Empezar ya la preparación para el cumplimiento del CRA con un futuro Organismo Notificado

Applus+ Laboratories está avanzando en el proceso de acreditación y notificación como Organismo Notificado (NB) en el marco de la Ley de Ciberresiliencia. Mientras tanto, los fabricantes ya pueden empezar a preparar sus productos y su documentación técnica para la evaluación de la conformidad conforme al CRA, especialmente en las vías que implican una evaluación por tercera parte, como los Módulos B+C y el Módulo H.

Una preparación temprana permite a los fabricantes evaluar por adelantado el diseño del producto, los procesos de gestión de vulnerabilidades y las evidencias de soporte, reduciendo la incertidumbre y evitando retrabajos una vez comiencen las evaluaciones formales con organismos notificados.

Servicios para el Módulo A

Evaluación de preparación para el CRA

Identificación de brechas frente a los requisitos esenciales de ciberseguridad del CRA y definición de una hoja de ruta hacia el cumplimiento.

Recomendado para productos de la categoría 'predeterminados' y para empresas con experiencia limitada en requisitos regulatorios de ciberseguridad.

Inicie su análisis de brechas del CRA

Servicios para el Módulo B+C

Evalúe su producto para el cumplimiento del CRA

Preparación de productos y documentación para el Módulo B+C, permitiendo la reutilización de ensayos y evidencias durante la evaluación formal.

Un enfoque centrado en el producto, adecuado para todas las categorías y para empresas que buscan reducir el riesgo regulatorio de una autoevaluación interna.

Inicie el proceso de cumplimiento de su producto

Servicios para el Módulo H

Evalúe su sistema de calidad para el cumplimiento del CRA

Prepare su organización y su sistema de calidad para una auditoría del Módulo H con un futuro Organismo Notificado.

Recomendado para productos de Clase II y productos críticos, así como para empresas que buscan una alternativa escalable al Módulo B+C.

Inicie los procesos de cumplimiento de su sistema de calidad

Certificación europea de ciberseguridad

Evaluación de la conformidad EUCC

Certificación europea de ciberseguridad para productos Importantes y Críticos que requieren una evaluación independiente por tercera parte.

EUCC proporciona niveles de aseguramiento reconocidos en toda la UE y puede servir de apoyo al cumplimiento del CRA cuando resulte aplicable.

Alcance el cumplimiento del CRA con la certificación EUCC

 

¿Por qué elegir a Applus+ Laboratories como partner en su proceso de cumplimiento del CRA?

El cumplimiento del CRA es complejo, evoluciona constantemente y depende en gran medida de la categoría del producto, del nivel de aseguramiento y del estado de la normalización. No es un proceso único válido para todos los casos.

  • Actúe ahora, prepárese con antelación: las obligaciones del CRA se aplican progresivamente y una preparación temprana reduce riesgos y costes.
  • Experiencia en ciberseguridad centrada en el producto: amplia experiencia en la evaluación de productos complejos.
  • Preparación alineada con los Módulos B+C y el Módulo H.
  • EUCC ya disponible: apoyo inmediato para vías de certificación de alto aseguramiento.
  • Interacción y reutilización: alineación contrastada entre CRA, EUCC, CC y otros marcos de certificación.
  • Un único partner, de principio a fin: desde la preparación hasta la evaluación de la conformidad y la certificación.

Hable con nuestros expertos en CRA y defina su estrategia de cumplimiento

Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

Panel de configuración de cookies