Cybersecurity Act 2 de la UE: Prohibiciones en la Cadena de Suministro, Reforma de Certificación y Qué Deben Vigilar los Fabricantes

El 20 de enero de 2026, la Comisión Europea publicó COM(2026) 11 final, una propuesta para lo que se está denominando Cybersecurity Act 2. No se trata de una actualización menor. La Comisión propone derogar y sustituir íntegramente el Reglamento (UE) 2019/881, el Cybersecurity Act original de 2019.

La propuesta abarca más de 120 artículos distribuidos en seis títulos. Hemos leído el texto completo, los anexos y la evaluación de impacto para que tú no tengas que hacerlo. Este artículo cubre qué es realmente nuevo, qué importa para los fabricantes de productos y dónde se cruza con el cumplimiento CRA.

Cuatro Pilares de la Propuesta

El CSA2 se articula en torno a cuatro áreas. Dos son ampliaciones de marcos existentes y dos son completamente nuevas.

1. Reforma del Mandato de ENISA

ENISA, la Agencia de Ciberseguridad de la UE, recibe una mejora significativa. Desde 2019, nueva legislación (NIS2, CRA, Ley de Cibersolidaridad) ha acumulado nuevas tareas sin actualizar el mandato ni los recursos de la agencia.

La propuesta lo resuelve con:

• Presupuesto: EUR 341 millones en siete años (2028-2034), un aumento del 81,5% sobre el nivel de 2025
• Personal: 118 nuevas posiciones a tiempo completo en ENISA, más 50 en la Comisión
• Servicio de asistencia contra ransomware: ENISA debe operar ahora capacidades dedicadas de respuesta y recuperación ante ransomware
• Base de Datos Europea de Vulnerabilidades: Mejorada con puntuación de severidad, listas de productos y un catálogo de vulnerabilidades explotadas conocidas
• Criptografía post-cuántica: ENISA recibe un mandato explícito para evaluar algoritmos post-cuánticos
• Academia de Competencias en Ciberseguridad: Formalizada por ley con certificaciones portables a nivel europeo para profesionales de ciberseguridad, emitidas en los Monederos de Identidad Digital de la UE

2. Reforma del Marco de Certificación

El Marco Europeo de Certificación de Ciberseguridad (ECCF) se amplía significativamente.

Qué cambió:

El cambio más trascendental: certificación de la postura cibernética. Las organizaciones (particularmente las entidades NIS2) ahora pueden certificar sus medidas generales de gestión de riesgos de ciberseguridad. Una única certificación podría sustituir múltiples comprobaciones de cumplimiento entre Estados miembros, creando una presunción de conformidad con los requisitos de NIS2.

Para los fabricantes de productos, esto significa que una certificación obtenida bajo el ECCF podría potencialmente demostrar el cumplimiento de los requisitos de ciberseguridad de CRA, NIS2, DORA y normativas sectoriales simultáneamente.

3. Simplificación del Cumplimiento

La Comisión estima que las empresas podrían ahorrar hasta EUR 15.300 millones en cinco años mediante un cumplimiento simplificado.

Los mecanismos clave:

• Una certificación, múltiples regulaciones: Una certificación europea de ciberseguridad puede servir como prueba de cumplimiento en múltiples actos legislativos: NIS2, CRA, DORA, requisitos de seguridad del GDPR y normativas sectoriales
• Armonización máxima: Cuando la Comisión adopte actos de ejecución bajo NIS2, se convierten en armonización máxima, y los Estados miembros no pueden añadir requisitos adicionales
• Plataforma única de notificación: ENISA debe desarrollar un punto de entrada único para la notificación de incidentes que satisfaga múltiples regulaciones simultáneamente

Este último punto es importante. Hoy en día, un único incidente puede generar obligaciones de notificación bajo CRA (a ENISA), NIS2 (a las autoridades nacionales) y posiblemente DORA o normativas sectoriales, cada una con formularios y destinatarios diferentes. La plataforma única de notificación pretende acabar con eso.

4. Marco de Seguridad de la Cadena de Suministro ICT: El Gran Cambio

Esta es la parte completamente nueva y políticamente más significativa de la propuesta. Crea un marco horizontal y tecnológicamente neutro para abordar lo que la Comisión denomina "riesgos de ciberseguridad no técnicos" en las cadenas de suministro ICT. En la práctica, es el mecanismo legal para restringir a proveedores de alto riesgo en infraestructuras críticas.

Cómo funciona, paso a paso:

PASO 1: EVALUACIÓN DE RIESGOS
El Grupo de Cooperación NIS o la Comisión inician
una evaluación coordinada de riesgos de cadenas de
suministro ICT específicas
Plazo: 6 meses para completar
                    │
                    ▼
PASO 2: DESIGNACIÓN DE PAÍSES
La Comisión evalúa si un tercer país plantea
"riesgos no técnicos graves y estructurales"
Criterios: leyes de divulgación de vulnerabilidades,
recursos judiciales, actividad de actores de amenazas,
disposición a cooperar
                    │
                    ▼
PASO 3: CONSECUENCIAS
Las entidades de países designados PROHIBIDAS de:
- Proporcionar componentes ICT en activos clave
- Contratación pública para activos ICT clave
- Programas de financiación de la UE
- Certificación y evaluación de conformidad
                    │
                    ▼
PASO 4: IDENTIFICACIÓN DE ACTIVOS ICT CLAVE
La Comisión identifica, mediante actos de ejecución,
qué activos ICT son "clave" por sector
                    │
                    ▼
PASO 5: LISTAS DE PROVEEDORES DE ALTO RIESGO
La Comisión publica listas de proveedores de
alto riesgo basadas en evaluaciones de propiedad
y control

Las telecomunicaciones son las primeras afectadas. El Anexo II predefine activos ICT clave para redes móviles, fijas y satelitales: funciones del núcleo de red, redes de acceso radio, sistemas de gestión de red, redes de transporte, productos criptográficos. Los operadores móviles enfrentan una eliminación progresiva de 36 meses desde la entrada en vigor. El coste anual para los operadores móviles por la eliminación de equipos de alto riesgo se estima entre EUR 3.400 y 4.300 millones.

Existe un mecanismo de exención. Las entidades de países designados pueden solicitar demostrar que disponen de medidas efectivas para abordar los riesgos no técnicos. La Comisión mantiene un registro público de las decisiones de exención.

Qué Significa Esto para los Productos Cubiertos por CRA

El CSA2 no modifica el Cyber Resilience Act directamente, pero crea nuevas dinámicas que los fabricantes cubiertos por CRA deben comprender.

La Diligencia Debida en la Cadena de Suministro Se Complica

CRA ya exige a los fabricantes ejercer la diligencia debida al integrar componentes de terceros. El CSA2 añade una nueva capa: si tu producto incorpora componentes de un proveedor que posteriormente es designado como de alto riesgo, y tu producto se utiliza en infraestructuras críticas, tus clientes podrían verse obligados a sustituir esos componentes.

Esto crea una presión práctica para:

• Mapear tu cadena de suministro de componentes ahora, incluyendo el país de origen de los componentes clave
• Identificar cuáles de tus clientes operan en sectores de alta criticidad (energía, transporte, banca, salud, infraestructura digital)
• Evaluar proveedores alternativos para componentes procedentes de países que podrían enfrentar designación

La Certificación Podría Simplificar tu Cumplimiento CRA

La ampliación del ECCF significa que una certificación europea de ciberseguridad para tu producto podría servir como evidencia de conformidad con CRA. Esto es particularmente relevante para productos de Clase Importante I y Clase II que enfrentan requisitos de evaluación de conformidad por terceros.

Los tres niveles de garantía se mantienen: Básico (autoevaluación en este nivel), Sustancial y Alto. Si se adopta un esquema de certificación de ciberseguridad que cubra los requisitos esenciales del CRA, los fabricantes podrían usar esa certificación en lugar de pasar por un proceso separado de evaluación de conformidad CRA.

La Notificación de Incidentes Se Consolida

La plataforma única de notificación es una buena noticia. CRA exige notificar las vulnerabilidades activamente explotadas a ENISA en 24 horas. NIS2 exige notificar incidentes significativos a las autoridades nacionales. El punto de entrada único del CSA2 permitiría presentar una sola notificación y distribuirla a todos los destinatarios requeridos.

Los Organismos de Evaluación de Conformidad Enfrentan Nuevas Reglas

Si dependes de organismos notificados para la evaluación de conformidad CRA, ten en cuenta que el CSA2 añade requisitos para estos organismos. El Anexo I de la propuesta especifica que los organismos de evaluación de conformidad no deben ser proveedores de alto riesgo y no pueden utilizar componentes ICT de proveedores de alto riesgo en sus actividades de evaluación.

Cifras Clave de un Vistazo

Qué Sucede Ahora

Esto es una propuesta legislativa. Todavía debe pasar por el Parlamento Europeo y el Consejo bajo el procedimiento legislativo ordinario. El calendario no está definido, pero dada la importancia política de las disposiciones sobre cadena de suministro, se espera debate.

Hitos clave a vigilar:

• Asignación de comité del Parlamento Europeo, probablemente ITRE (Industria, Investigación y Energía)
• Discusiones del grupo de trabajo del Consejo, donde las posiciones de los Estados miembros darán forma al texto final
• Negociaciones de trílogo, donde el Parlamento, el Consejo y la Comisión encuentran un compromiso
• Entrada en vigor, normalmente 20 días tras la publicación en el Diario Oficial
• Inicio del plazo de eliminación para móviles, 36 meses desde la entrada en vigor

Para el cumplimiento CRA, el CSA2 no modifica tus obligaciones ni plazos actuales. Las obligaciones de notificación CRA siguen comenzando en septiembre de 2026 y el cumplimiento completo sigue siendo obligatorio en diciembre de 2027. Pero el CSA2 podría crear nuevas herramientas, particularmente en torno a la certificación, que podrían facilitar la demostración del cumplimiento CRA una vez entre en vigor.

Qué Deberías Hacer Ahora

No necesitas tomar medidas inmediatas respecto al CSA2: es una propuesta, no una ley. Pero hay pasos prácticos que tienen sentido independientemente de cuándo o cómo se adopte:

1. Audita tu cadena de suministro de componentes. Conoce de dónde proceden tus componentes clave. Esto ya es una buena práctica CRA y se vuelve crítico si el marco de cadena de suministro se adopta.

2. Sigue el panorama de certificación. Si se adopta un esquema europeo de certificación de ciberseguridad que cubra los requisitos esenciales de CRA, podría simplificar significativamente tu proceso de evaluación de conformidad.

3. Prepárate para la notificación consolidada. Si estás sujeto tanto a CRA como a NIS2, la plataforma única de notificación eventualmente consolidará tus obligaciones. Diseña tus procesos de respuesta a incidentes de forma agnóstica respecto a la regulación.

4. Monitoriza tu base de clientes. Si tus productos se utilizan en sectores de alta criticidad (energía, transporte, salud, banca, infraestructura digital), las disposiciones sobre cadena de suministro podrían crear presiones adicionales sobre tus elecciones de componentes.

Guías Relacionadas

• Cronograma de Implementación del CRA 2025-2027
• Guía de Clasificación de Productos CRA

Cómo Ayuda CRA Evidence

CRA Evidence ya rastrea los elementos de cadena de suministro que el CSA2 hará más importantes:

• Gestión de SBOM mapea las dependencias de tus componentes, incluyendo los orígenes de los proveedores
• Monitorización de vulnerabilidades rastrea las vulnerabilidades explotadas conocidas en tu portfolio de productos
• Panel de cumplimiento muestra tu estado de preparación CRA y las brechas
• Notificación de incidentes soporta el flujo de notificación de 24 horas requerido por CRA
• Documentación mantiene tu expediente técnico y declaración de conformidad

Comienza a construir tu evidencia de cumplimiento en craevidence.com.

El texto completo de la propuesta (COM(2026) 11 final) sus anexos y la evaluación de impacto están disponibles en la biblioteca de Estrategia Digital de la Comisión Europea. Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento, consulte con asesoría legal cualificada.