norppa.io
Guías

Guía CRA · 11 min

El Reglamento de Ciberresiliencia de la UE (CRA): qué exige, cuándo se aplica y qué significa para su cadena de suministro

El Reglamento de Ciberresiliencia es la primera ley horizontal de ciberseguridad de la UE para productos. Donde NIS2 rige cómo las organizaciones gestionan su seguridad, el CRA rige la seguridad del hardware y el software que se introducen en el mercado de la UE (desde dispositivos conectados hasta software autónomo. Ya está en vigor, sus primeras obligaciones de notificación comienzan en septiembre de 2026 y, a partir de diciembre de 2027, un producto que no cumpla sus requisitos no podrá venderse legalmente en la UE. Esta guía explica el ámbito de aplicación, el calendario y las obligaciones) y, para los equipos que compran estos productos y dependen de ellos, qué exigir a sus proveedores y cómo evidenciarlo.

Puntos clave

  • El CRA regula los productos con elementos digitales (hardware y software) que se venden en la UE; se dirige primero a los fabricantes, con obligaciones también para importadores y distribuidores.
  • Fechas escalonadas: en vigor desde diciembre de 2024, notificación de vulnerabilidades e incidentes desde el 11 de septiembre de 2026, todas las obligaciones principales desde el 11 de diciembre de 2027.
  • El SaaS puro queda, por lo general, fuera del CRA, pero si usted adquiere productos o componentes, su obligación de cadena de suministro de NIS2 y el CRA apuntan ahora en la misma dirección: exija pruebas de seguridad desde el diseño y de tratamiento de vulnerabilidades.

Qué es el CRA

El Reglamento de Ciberresiliencia (Reglamento (UE) 2024/2847) establece requisitos obligatorios de ciberseguridad para los «productos con elementos digitales»: cualquier producto de software o hardware, y sus soluciones de tratamiento de datos a distancia, que pueda conectarse a un dispositivo o a una red y se introduzca en el mercado de la UE. Es un reglamento, por lo que se aplica directamente en los 27 Estados miembros sin transposición nacional.

La mayor parte de las obligaciones recae en el fabricante, que debe diseñar, fabricar y mantener el producto de forma segura y demostrar la conformidad (el marcado CE). Los importadores y distribuidores tienen sus propias obligaciones: solo pueden introducir en el mercado productos conformes y deben actuar cuando sepan que un producto no lo es. El Reglamento define además dos categorías de mayor riesgo, los productos «importantes» y «críticos» (por ejemplo, gestores de contraseñas, sistemas de gestión de redes o módulos de seguridad de hardware), sujetos a vías de conformidad más estrictas.

Dentro del ámbito

Productos de hardware y software introducidos en el mercado de la UE que pueden conectarse a un dispositivo o a una red: dispositivos conectados, sistemas operativos, aplicaciones, bibliotecas y las soluciones de tratamiento de datos a distancia que les son inherentes.

Fuera del ámbito (en especial el SaaS)

El software como servicio puro no suele ser un «producto» según el CRA y se aborda en cambio mediante NIS2: salvo que una solución de tratamiento de datos a distancia sea esencial para el funcionamiento de un producto y esté desarrollada por el fabricante de ese producto. También se excluyen los productos ya cubiertos por normas sectoriales (p. ej., productos sanitarios, vehículos de motor, ciertos productos de aviación).

El calendario que importa

El CRA se aplica por fases. Dos fechas guían la mayor parte de la planificación:

10 dic 2024

Entró en vigor. El reloj de cumplimiento empieza a correr; aún no se aplican obligaciones sustantivas.

11 sept 2026

Comienzan las obligaciones de notificación. Los fabricantes deben notificar las vulnerabilidades explotadas activamente y los incidentes graves (una alerta temprana en 24 horas, una notificación en 72 horas y un informe final en 14 días) a su CSIRT nacional y a ENISA a través de la plataforma única de notificación.

11 dic 2027

Plena aplicación. Se aplican todos los requisitos esenciales; los productos con elementos digitales no conformes ya no podrán introducirse en el mercado de la UE.

Qué deben hacer los fabricantes

Los requisitos esenciales abarcan todo el ciclo de vida del producto. En resumen, un fabricante conforme debe:

  • Diseñar de forma segura (seguridad desde el diseño y por defecto): entregar con una configuración segura, minimizar la superficie de ataque y proteger la confidencialidad y la integridad.
  • Tratar las vulnerabilidades durante todo el periodo de soporte: identificarlas, documentarlas y subsanarlas, y proporcionar actualizaciones de seguridad de forma gratuita durante un periodo de soporte que refleje la vida útil prevista del producto (la Comisión apunta a un mínimo de cinco años para muchos productos).
  • Proporcionar una lista de materiales de software (SBOM): mantener un inventario legible por máquina de los componentes para que, cuando surja una nueva vulnerabilidad en una dependencia, los productos afectados se localicen con rapidez.
  • Operar una política de divulgación coordinada de vulnerabilidades: publicar un punto de contacto y un proceso para notificar vulnerabilidades (el papel que cumple security.txt en la práctica).
  • Notificar las vulnerabilidades explotadas activamente y los incidentes graves: según el calendario de 24 h / 72 h / 14 días, a partir del 11 de septiembre de 2026.
  • Demostrar la conformidad y colocar el marcado CE: mediante autoevaluación para la mayoría de los productos, o evaluación por un tercero para las categorías «importantes» y «críticas», con el respaldo de documentación técnica.

Cómo se relaciona el CRA con NIS2

NIS2 y el CRA son complementarios, no rivales. NIS2 trata de las entidades (cómo una entidad esencial o importante gobierna y opera su propia seguridad, incluido el riesgo cibernético de sus proveedores (art. 21.2.d). El CRA trata de los productos) si las cosas introducidas en el mercado son seguras desde el diseño y se mantienen adecuadamente. Uno regula al operador; el otro, lo que el operador compra y utiliza.

Ahí es justamente donde se encuentran. La obligación de cadena de suministro de una entidad NIS2 incluye cada vez más la pregunta «¿están listos para el CRA los productos y componentes que adquirimos?»: ¿trata el proveedor las vulnerabilidades, entrega actualizaciones, publica un canal de divulgación y proporciona una SBOM? A partir de diciembre de 2027, el marcado CE responderá a parte de ello; hasta entonces, y de forma continua después, los compradores siguen necesitando su propia garantía de que la seguridad de un proveedor se sostiene en la práctica.

El CRA es un reglamento de tipo seguridad de los productos, y algunas fronteras (en especial la línea entre SaaS y tratamiento de datos a distancia, y las categorías «importantes» y «críticas») pueden ser matizadas. Confirme cómo se aplica a un producto concreto con asesoramiento cualificado y el texto oficial.

Qué significa para usted

Sus obligaciones dependen de su papel en la cadena. Una orientación rápida:

Un fabricante de productos con elementos digitales

El CRA se aplica directamente. Desarrolle ya las capacidades de seguridad desde el diseño, tratamiento de vulnerabilidades, SBOM, divulgación y notificación: la obligación de notificar está vigente desde septiembre de 2026 y la plena conformidad se exige para diciembre de 2027.

Un importador o distribuidor

Solo puede introducir en el mercado de la UE productos conformes y con marcado CE, debe comprobar que el fabricante cumplió sus obligaciones y debe actuar (e informar a las autoridades) cuando sepa que un producto presenta un riesgo de ciberseguridad importante.

Un comprador u operador (en especial bajo NIS2)

El CRA no lo regula directamente como comprador, pero redefine qué es «bueno» en la contratación. Exija pruebas de tratamiento de vulnerabilidades, una SBOM, una política de divulgación y un periodo de soporte, y vigile si los proveedores realmente cumplen.

Un proveedor de SaaS puro

Por lo general, fuera del CRA (queda bajo NIS2): salvo que su servicio sea una solución de tratamiento de datos a distancia esencial para un producto regulado. En cualquier caso, la diligencia debida de sus clientes planteará las mismas preguntas de seguridad.

Fuentes: Reglamento (UE) 2024/2847 (Cyber Resilience Act) y las páginas de la Comisión Europea sobre el Cyber Resilience Act. Las fechas y el ámbito reflejan el reglamento publicado; confirme los detalles para sus productos con asesoramiento cualificado.

Cómo ayuda norppa.io

norppa.io no hará que un producto cumpla el CRA (eso corresponde al fabricante) pero da a compradores y operadores la prueba externa que ahora exigen la contratación y la diligencia debida de NIS2. Las señales sobre las que se construye el CRA son justo las que vigilamos de forma continua: software al final de su vida útil y vulnerabilidades sin parchear (tratamiento de vulnerabilidades deficiente), la ausencia de un canal de divulgación coordinada y servicios expuestos o mal configurados.

Los cuestionarios de autoevaluación captan las partes que ningún escaneo externo ve (disponibilidad de la SBOM, el periodo de soporte y actualización declarado, el estado de conformidad) y cada respuesta se coteja con el perfil técnico en vivo. El resultado es una prueba actual y corroborada del nivel de seguridad de un proveedor, lista para su expediente de proveedores, en lugar de una afirmación puntual.

Pruebas de que sus proveedores realmente se sostienen

Vea un informe de proveedor de ejemplo (hallazgos, pruebas y correspondencia de artículos) en unos dos minutos.

Ver informe de ejemplo
Ver el panel de ejemplo

Guías relacionadas

Cómo cumplir NIS2: una hoja de ruta paso a paso

Los pasos hacia el cumplimiento de NIS2 en orden: confirmar el ámbito, registrarse, responsabilidad de la dirección (art. 20), las medidas del art. 21.2, seguridad de la cadena de suministro, notificación de incidentes (art. 23) y garantía continua y evidenciada.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

NIS2 y el requisito de la cadena de suministro: qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

NIS2 Art. 21(2): lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados

Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.

NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber

Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.

ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no

Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.

RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos

En qué se diferencian y solapan RGPD y NIS2, cuándo un incidente activa ambos (RGPD art. 33 72 h a la autoridad de control vs NIS2 art. 23 24 h/72 h/un mes al CSIRT), la cooperación del art. 35 y la prohibición de doble multa, y qué significan ambos para la diligencia de proveedores.

El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)

Qué exige el Reglamento de IA de la UE: los niveles de riesgo, las fechas escalonadas (en vigor 2024, prohibido feb 2025, GPAI ago 2025, alto riesgo ago 2026), las obligaciones del art. 26 del responsable del despliegue, cómo se suma a NIS2 y el RGPD, y qué significa para la adquisición de IA.