La Cyber Resilience Act introduce los requisitos de ciberseguridad en la UE para productos con elementos digitales. Este artículo explica qué cambia, cuándo se aplican las obligaciones clave y qué organizaciones de toda la UE deben actuar.

Contenido

1. Cyber Resilience Act Summary
2. ¿Quiénes se ven afectados?
3. Evaluar e implementar
4. Cyber Resilience Act timeline
5. Requisitos de la CRA
6. Diferencia con la NIS2

Cyber Resilience Act Summary

La Cyber Resilience Act (CRA) es un reglamento de la UE. Establece requisitos comunes de ciberseguridad para los productos con elementos digitales, incluidos el software y los dispositivos conectados, que se comercializan en el mercado de la UE.

Estos requisitos se aplican a lo largo de todo el ciclo de vida del producto. Esto incluye el diseño, el desarrollo, la comercialización de productos, la gestión de vulnerabilidades y las actualizaciones de seguridad. Para comercializar los productos incluidos en el ámbito de aplicación en el mercado de la UE, los operadores económicos deben demostrar la conformidad con los requisitos del reglamento, normalmente mediante procedimientos de evaluación de la conformidad y el marcado CE.

Las responsabilidades se reparten a lo largo de la cadena de suministro. Los fabricantes deben diseñar y mantener los productos de acuerdo con los requisitos de la CRA. Los importadores y distribuidores deben comprobar que se han llevado a cabo los pasos de conformidad necesarios antes de que los productos se comercialicen.

La CRA también exige una gestión estructurada de las vulnerabilidades. Por ejemplo, los fabricantes necesitan procesos para identificar, documentar y abordar las vulnerabilidades, y la CRA introduce plazos de notificación a nivel de la UE para las vulnerabilidades explotadas activamente y los incidentes graves. Las obligaciones de notificación comienzan el 11 de septiembre de 2026, mientras que las obligaciones principales se aplican a partir del 11 de diciembre de 2027.Como punto de partida fiable, la introducción de la Comisión Europea sobre la Cyber Resilience Act, el texto legal en EUR-Lex y los recursos sobre política de ciberseguridad de ENISA son puntos de referencia útiles. A fecha de marzo de 2026, siguen siendo las fuentes más relevantes a nivel de la UE para entender la CRA.

Cyber Resilience Act (CRA) FAQ

¿Qué cambios se introducirán en virtud de la Cyber Resilience Act (CRA) en 2026 y 2027?

A partir del 11 de septiembre de 2026 comienzan a aplicarse las obligaciones clave, entre ellas:

• Notificación obligatoria de vulnerabilidades dentro de los plazos definidos.
• Procesos para gestionar y divulgar los problemas de seguridad.

A partir del 11 de diciembre de 2027 la CRA se aplicará en su totalidad. Los productos con elementos digitales comercializados en el mercado de la UE deben:

• Cumplir los requisitos esenciales de ciberseguridad (seguridad por diseño y por defecto).
• Incluir procesos de gestión de vulnerabilidades y de divulgación coordinada.
• Proporcionar actualizaciones de seguridad cuando sea necesario.
• Estar respaldados por documentación técnica y una evaluación de la conformidad.

¿Cuáles son las mejores prácticas para la resiliencia cibernética?

La resiliencia cibernética eficaz combina controles técnicos con disciplina operativa:

• Reforzar los sistemas para reducir la exposición.
• Aplicar actualizaciones y parches de forma constante.
• Priorizar y remediar las vulnerabilidades de alto riesgo.
• Permitir la notificación de incidentes de forma clara y rápida.

Para que esto funcione en la práctica, se debe:

• Definir la responsabilidad en todos los equipos.
• Probar los procesos de respuesta con regularidad.
• Apoyar a los empleados con concienciación continua y orientación sobre la notificación.

¿Qué son los «productos con elementos digitales» según la CRA?

Los productos con elementos digitales son hardware o software que dependen del software para funcionar.

Esto incluye:

• Sistemas operativos y aplicaciones.
• Dispositivos conectados (p. ej., routers, IdC, dispositivos inteligentes).
• Sistemas de control industrial.
• Sistemas informáticos empresariales con software o firmware.

La mayoría de los productos conectados comercializados en el mercado de la UE entran en el ámbito de aplicación.

¿Cómo pueden reforzar la resiliencia cibernética las organizaciones?

Las organizaciones refuerzan la resiliencia integrando la seguridad en las operaciones diarias:

• Establecer procesos estructurados para actualizaciones, vulnerabilidades e incidentes.
• Probar estos procesos con regularidad.
• Hacer que la notificación sea sencilla y accesible.

Paralelamente, se debe reforzar el factor humano:

• Proporcionar formación en concienciación continua y práctica.
• Utilizar simulaciones realistas.
• Apoyar a los empleados para que tomen decisiones seguras en tiempo real.

Comprende la resiliencia cibernética de tu organización con este rápido test.

¿Quiénes se ven afectados por la Cyber Resilience Act?

La Cyber Resilience Act se aplica en toda la UE a los principales operadores económicos que comercializan productos con elementos digitales: fabricantes, importadores y distribuidores. Abarca los productos de hardware y software cuyo uso previsto, o razonablemente previsible, incluye una conexión de datos directa o indirecta a un dispositivo o red.

Los fabricantes son responsables de diseñar, desarrollar y comercializar productos en el mercado de la UE con su nombre o marca. Los importadores introducen productos en la UE procedentes de terceros países y deben comprobar que se han llevado a cabo los pasos de cumplimiento de las normativas necesarios. Los distribuidores ponen los productos a disposición del mercado de la UE y deben verificar los requisitos formales clave, como el marcado CE y la información requerida para el usuario.

Algunos ejemplos típicos de productos con elementos digitales son:

• Sistemas operativos
• Aplicaciones y software
• Firmware
• Routers, switches y cortafuegos
• Dispositivos inteligentes para el hogar y la oficina
• Sistemas de control industrial
• Dispositivos ponibles
• TI empresarial, como servidores y sistemas de almacenamiento con software o firmware integrados

Dispones de una referencia rápida en el resumen de productos con elementos digitales en el marco de la Cyber Resilience Act.

Cyber resilience assessment y planificación de la implementación

Una autoevaluación rápida muestra lo bien preparada que está tu organización para la resiliencia cibernética, incluso si no desarrollas software ni fabricas productos digitales. Te ayuda a revisar si las medidas básicas ya están implantadas en tu organización y en la cadena de suministro, incluidas las políticas, la formación, la gestión de parches, los canales de notificación y los controles básicos. El resultado es una visión inicial de las carencias y las prioridades.

Una cyber resilience assessment más detallada se basa en esa línea de referencia. Convierte los primeros hallazgos en una hoja de ruta práctica con responsabilidades claras, hitos, actividades de concienciación e informes periódicos. Los paneles de métricas pueden ayudar a los equipos a seguir el progreso y a mantener la visibilidad a lo largo del tiempo.

Assess your cyber readiness in less than 5 minutes

Test your cyber
resilience now

How cyber resilient is your organisation? Answer a few quick questions and instantly see your cyber security readiness level — plus tailored tips to strengthen your defences.

Start assessment

Your results

Score:

Level 1Foundational

Level 2Proactive

Level 3Resilient

Want to reach the next level?

Get your full results, expert insights, and personalized steps to strengthen your security!

Get results

Cyber Resilience Act timeline: fechas clave para la entrada en vigor y la implementación

El gráfico destaca los Cyber Resilience Act deadlines, desde su adopción hasta su plena aplicación en toda la UE. Tras su publicación en el Diario Oficial de la Unión Europea, la Ley entró en vigor y comenzó un periodo de transición por fases. Esto da a las organizaciones tiempo para establecer los procesos, la documentación y las responsabilidades necesarias para el cumplimiento de las normativas antes de que todas las obligaciones se apliquen plenamente.

Requisitos de la Cyber Resilience Act de un vistazo

La Cyber Resilience Act establece requisitos tanto técnicos como organizativos. Estos se aplican a lo largo de todo el ciclo de vida del producto, desde el diseño y el desarrollo hasta el mantenimiento, las actualizaciones y la gestión de vulnerabilidades. Juntos, crean un marco común de la UE para la resiliencia cibernética a la hora de construir, mantener y dar soporte técnico a los productos.

Seguridad por diseño y por defecto
Los requisitos de seguridad se incorporan a la arquitectura, el desarrollo y la configuración del producto desde el principio. La configuración por defecto debe proporcionar una base segura sin requerir más acciones por parte de los usuarios.

Gestión de vulnerabilidades y actualizaciones
Las organizaciones necesitan procesos para identificar, evaluar y abordar las vulnerabilidades de manera oportuna. Las actualizaciones de seguridad deben facilitarse de forma segura, y la divulgación coordinada de vulnerabilidades favorece una corrección más rápida de estas.

Documentación y cumplimiento de las normativas
La documentación técnica, las evaluaciones de riesgos y el procedimiento de evaluación de la conformidad pertinente facilitan el acceso al mercado de la UE. Estos registros deben mantenerse actualizados y ser trazables a lo largo del tiempo.

Canales de notificación y procesos de incidentes
Los equipos necesitan responsabilidades claras, pasos de notificación interna y vías de notificación de progreso. Esto ayuda a las organizaciones a registrar, evaluar y canalizar los problemas de seguridad de forma estructurada.

Cadena de suministro y componentes
Los productos deben incluir documentación clara de los componentes y dependencias, incluido el software de código abierto y, si procede, una lista de materiales de software (SBOM). Los cambios deben poder rastrearse a lo largo de todo el ciclo de vida del producto.

Información para los usuarios
Los usuarios deben recibir información clara sobre las funcionalidades de seguridad, el soporte técnico y los periodos de actualización, así como sobre los cambios pertinentes. Esto mejora la transparencia y favorece el uso seguro en la práctica.

La NIS2 frente a la Cyber Resilience Act: ¿cuál es la diferencia?

Tanto la NIS2 como la Cyber Resilience Act forman parte del marco actual de ciberseguridad de la UE, pero se aplican a diferentes partes del panorama de riesgos. La NIS2 se centra en cómo gestionan la ciberseguridad las organizaciones, mientras que la Cyber Resilience Act se centra en la seguridad de los productos con elementos digitales a lo largo de su ciclo de vida. Comparar ambas ayuda a aclarar dónde se solapan, en qué se diferencian y qué exige cada una en la práctica.

Aspecto	NIS2	Cyber Resilience Act (CRA)
Naturaleza jurídica	Directiva de la UE. Transpuesta a la legislación nacional.	Reglamento de la UE. Se aplica directamente en toda la UE.
Foco de atención	Gestión de riesgos de ciberseguridad en las organizaciones, incluidas las obligaciones de notificación de incidentes.	Seguridad de los productos con elementos digitales a lo largo de su ciclo de vida, incluida la seguridad por diseño y la gestión de vulnerabilidades.
Destinatarios	Entidades esenciales e importantes en sectores definidos.	Fabricantes, importadores y distribuidores de productos con elementos digitales.
Obligaciones	Medidas de gestión de riesgos, gestión de incidentes y obligaciones de notificación.	Requisitos de seguridad para el diseño, el desarrollo, el mantenimiento y las actualizaciones, incluida la evaluación de la conformidad y la documentación.
Pruebas	Políticas, procedimientos, evaluaciones de riesgos y procesos de notificación.	Documentación técnica, evaluación de la conformidad y marcado CE.
Objetivo	Reforzar la resiliencia cibernética de las entidades esenciales e importantes.	Garantizar la seguridad de los productos digitales en el mercado interior de la UE.
Rol práctico	Refuerza la seguridad y la gobernanza de la organización.	Complementa la NIS2 al abordar los requisitos de seguridad a nivel de producto. Juntas, cubren tanto el riesgo organizativo como el relacionado con el producto.

Las organizaciones que ya trabajan en la NIS2 pueden aprovechar muchas de las mismas bases al prepararse para la Cyber Resilience Act. Ambas pretenden reforzar la resiliencia cibernética en toda Europa, pero abordan diferentes capas de riesgo. La NIS2 se centra en la seguridad organizativa, mientras que la CRA se centra en la seguridad del producto. Juntas, forman un marco complementario para la ciberseguridad y el cumplimiento de las normativas.

Para muchas organizaciones, esto crea una estructura clara para priorizar los próximos pasos.

Nota importante: Este artículo tiene únicamente fines informativos y no constituye asesoramiento jurídico. No sustituye a una evaluación jurídica individual. Para obtener una orientación vinculante sobre tus obligaciones en virtud de la Cyber Resilience Act, consulta a asesores jurídicos cualificados o a las autoridades pertinentes.

Crea un enfoque escalable de la seguridad y el cumplimiento de las normativas

Entiende cómo gestionar los requisitos normativos mientras respaldas a los equipos en su trabajo diario.

Mira cómo funciona