Cybersecurity Act 2: qué cambia para fabricantes CRA

CSA2 sigue siendo una propuesta. COM(2026) 11 final cambiaría certificación, cadena de suministro TIC y mandato de ENISA.

CRA Evidence Team Publicado 19 de febrero de 2026 Actualizado 23 de mayo de 2026
Tarjeta de previsualización del explicativo sobre el Cybersecurity Act 2: título a la izquierda, motivo ilustrativo a la derecha, acento regulatorio en índigo.
En este artículo

El Cybersecurity Act 2 (CSA2) no es el Reglamento de Ciberresiliencia. Es una propuesta independiente de la Comisión, COM(2026) 11 final, publicada el 20 de enero de 2026, que deroga el Reglamento (UE) 2019/881 e introduce tres bloques operativos: un marco europeo revisado de certificación de la ciberseguridad (Título III), un nuevo marco horizontal de cadena de suministro de TIC con potestad para designar países (Título IV) y un mandato reforzado de ENISA (Título II). Cuatro meses después de su publicación, a 22 de mayo de 2026, el expediente está en fase inicial de examen en el Parlamento y el Consejo, no en trílogo.

Por qué un fabricante sujeto al CRA debería leer esto. La certificación bajo el marco revisado es la vía que la Comisión propone para demostrar la conformidad con el CRA, NIS2 y otros actos de la Unión, una vez exista un esquema relevante. El marco de cadena de suministro se cruza con las obligaciones del artículo 13 del CRA sobre componentes de terceros. Y el artículo 100 del CSA2 prohíbe a entidades de terceros países designados actuar como organismos de evaluación de la conformidad, lo que afecta directamente a qué organismos puedes usar para la conformidad CRA.

Toda la interacción sobre cómo se podrá usar el futuro esquema de postura cibernética para demostrar la conformidad con NIS2 será un punto importante de discusión con los Estados miembros.

Maika Fohrenbach, DG CONNECT · ENISA Certification Conference, 15 April 2026 (notas de campo)

Resumen

  • El CSA2 es una propuesta de la Comisión, no una ley. COM(2026) 11 final, 122 artículos, 270 páginas, que deroga el Reglamento (UE) 2019/881 (el Cybersecurity Act de 2019). Actualmente en fase inicial de examen en el Parlamento y el Consejo.
  • Tres bloques operativos: Marco Europeo revisado de Certificación de la Ciberseguridad (Título III), marco de seguridad de la cadena de suministro de TIC (Título IV) y mandato reforzado de ENISA (Título II).
  • El alcance del ECCF se amplía a servicios gestionados de seguridad y a la postura cibernética de las entidades, no solo a productos, servicios y procesos de TIC (artículo 81; considerando 92).
  • ENISA debe presentar esquemas candidatos en un plazo de 12 meses desde la solicitud de la Comisión (artículo 73).
  • Se mantienen los tres niveles de garantía: basic, substantial, high (considerando 101). La declaración UE de conformidad solo usa basic.
  • El marco de cadena de suministro permite a la Comisión designar terceros países que planteen «riesgos no técnicos graves y estructurales» (artículo 100). Las entidades de países designados quedan vetadas para suministrar activos clave de TIC, para la contratación pública de esos activos, para la financiación de la UE y para la actividad de certificación y evaluación de la conformidad.
  • La retirada progresiva en telecomunicaciones de componentes de proveedores de alto riesgo en redes móviles tiene un tope de 36 meses desde la entrada en vigor (artículo 110). Las retiradas en redes fijas y por satélite las fija la Comisión más adelante mediante actos de ejecución.
  • Las sanciones del artículo 115 se aplican a las infracciones del Título IV (cadena de suministro): 1 %, 2 % o 7 % del volumen de negocio anual mundial, según la disposición infringida. No hay tope fijo en euros. Las sanciones del Título III (certificación) las fijan los Estados miembros sin tope a escala UE (artículo 97).
  • Ahorro estimado en cumplimiento para las empresas: 14.600 millones de euros en cinco años bajo la opción preferida C.2 (Evaluación de Impacto §4390).
  • Coste estimado de sustitución en telecomunicaciones: 3.400 a 4.300 millones de euros al año durante tres años para equipos no actualizables de proveedores de alto riesgo (Evaluación de Impacto §4577, §4.4.1).
122
Artículos
en COM(2026) 11 final
36 meses
Tope de retirada en telecom
redes móviles, artículo 110
14,6 mil M€
Ahorro en cumplimiento
en 5 años, opción C.2
3,4–4,3 mil M€
Sustitución en telecom
al año durante 3 años

Fuentes: COM(2026) 11 final (recuento de artículos y páginas); Evaluación de Impacto adjunta SWD(2026) 11 final, secciones 4.3.3 y 4.4.1.

Qué propone realmente el CSA2

La Comisión articula la propuesta en torno a cuatro objetivos. Tres son reformas a instrumentos existentes; uno es nuevo.

TemaQué cambiaPor qué importa a equipos CRAReferencia
Marco de certificaciónTítulo III El alcance se ampliaría más allá de productos, servicios y procesos TIC para cubrir servicios gestionados de seguridad y postura cibernética de entidades. Los futuros esquemas podrían formar parte de la ruta de evidencias para la conformidad CRA. Artículo 73; 12 meses para ENISA.
Cadena de suministro TICTítulo IV Las evaluaciones de riesgo podrían llevar a designar terceros países y excluir activos TIC clave, contratación pública y financiación de la UE. Organismos de evaluación, proveedores o fuentes de componentes pueden dejar de estar disponibles para clientes regulados. Artículos 99-100.
Postura cibernéticaSimplificación NIS2 Un esquema de postura cibernética podría apoyar una certificación para varios actos de la Unión. Sirve para planificar, pero la conexión con NIS2 aún depende de la negociación. Dirección política, no derecho cerrado.
Mandato de ENISATítulo II ENISA tendría funciones más claras en esquemas, notificación, reserva, vulnerabilidades y atestación. La infraestructura europea de notificación y vulnerabilidades se centralizaría más. Punto Único de Entrada; Reserva UE; EUVD.

Panorama de esquemas: dónde está cada vía

CSA2 es solo una parte del mapa europeo de certificación. Esta vista separa los esquemas que ya están en vigor o en consulta del esquema de postura cibernética, que sigue siendo una propuesta CSA2 y depende de la negociación con los Estados miembros.

EUCCEn vigor
Productos

29 certificados, 28 organismos, todos en CC-1.

EUDI WalletConsulta
Servicios + eID

Lanzado el 3 abr 2026. Texto final previsto para sep.-oct.

EU MSSBorrador v4
Servicios gestionados de seguridad

v4 publicado el 9 abr 2026. La consulta pública empieza en julio.

Postura cibernéticaNegociación
Entidades · propuesta CSA2

La conexión certificación-NIS2 sigue abierta con los Estados miembros.

El marco de cadena de suministro, paso a paso

Es la parte políticamente más delicada de la propuesta. El mecanismo se ejecuta de forma secuencial, anclado cada paso en un artículo concreto. Los artículos a continuación se refieren a COM(2026) 11 final.

  1. Evaluación de riesgos (artículo 99). La Comisión, o al menos tres Estados miembros, pueden solicitar una evaluación coordinada de riesgos de una cadena de suministro de TIC. La evaluación debe finalizarse en seis meses. Se prevé un procedimiento de urgencia cuando esté justificada una intervención inmediata.
  2. Designación de país (artículo 100). Cuando un tercer país plantea «riesgos no técnicos graves y estructurales» a las cadenas de suministro de TIC, la Comisión puede designarlo. Las entidades establecidas en ese país, o controladas desde él, quedan vetadas para suministrar componentes de TIC para activos clave de TIC, para la contratación pública relacionada, para los programas de financiación de la UE y para actuar como organismos de evaluación de la conformidad.
  3. Medidas de mitigación (artículos 101 a 103). La Comisión puede, mediante acto de ejecución, exigir a entidades de sectores de alta criticidad la aplicación de medidas específicas de mitigación, incluyendo prohibiciones de uso de componentes de proveedores de alto riesgo listados.
  4. Identificación de activos clave de TIC (artículos 102 y 103). La Comisión identifica, mediante acto de ejecución, qué activos de TIC se consideran «clave» por sector. El Anexo II ya predefine activos clave de TIC para redes de comunicaciones electrónicas móviles, fijas y por satélite.
  5. Listas de proveedores de alto riesgo (artículo 104). La Comisión publica listas de proveedores de alto riesgo basadas en evaluaciones de establecimiento, propiedad y control, tras consultar a los proveedores afectados y a las autoridades competentes. Los artículos 105 a 107 establecen un procedimiento de exención y un registro público de decisiones de exención.
Telecomunicaciones es el primer sector afectado

El Anexo II predefine los activos clave de TIC para redes de comunicaciones electrónicas móviles, fijas y por satélite. La retirada progresiva de componentes de proveedores de alto riesgo en redes móviles tiene un tope de 36 meses desde la entrada en vigor (artículo 110). Los plazos de retirada para redes fijas y por satélite quedan en manos de actos de ejecución de la Comisión. La Evaluación de Impacto estima un coste único de sustitución de 3.400 a 4.300 millones de euros al año durante tres años para equipos no actualizables, derivado de los niveles de inversión en 5G en la UE desde 2019 y de una cuota del 32 al 40 % de activos de alto riesgo (IA §4577, §4.4.1).

Sanciones: topes porcentuales, sin cifra fija en euros

La estructura de sanciones es uno de los puntos en los que las lecturas del CSA2 suelen fallar. El artículo 115 fija los niveles máximos de sanción para infracciones del Título IV (el marco de cadena de suministro). El tope es únicamente porcentaje del volumen de negocio anual mundial; no hay techo fijo en euros.

Disposición infringidaSanción máximaFuente
Artículo 103(2)(a) · cooperación con la Comisión1 % del volumen de negocio anual mundialArtículo 115(5)
Artículo 103(2)(b)–(g) · obligaciones de medidas de mitigación2 % del volumen de negocio anual mundialArtículo 115(6)
Artículo 103(1) · deberes primarios de mitigación; artículo 111 · prohibiciones en telecomunicaciones7 % del volumen de negocio anual mundialArtículo 115(7)
Título III · infracciones del marco de certificaciónLas fija cada Estado miembro; «efectivas, proporcionadas y disuasorias»; sin tope a escala UEArtículo 97

El tramo del 7 % es el que afecta de forma más directa a los operadores de telecomunicaciones, porque cubre el artículo 111 (la prohibición específica de instalar o integrar componentes de TIC de proveedores de alto riesgo en telecomunicaciones).

Dónde se cruza esto con el CRA

El CSA2 no modifica el CRA. Sí cambia tres cosas a su alrededor.

Diligencia debida sobre componentes según el artículo 13

El artículo 13 del CRA ya exige a los fabricantes ejercer diligencia debida sobre componentes de terceros. El CSA2 eleva el coste de equivocarse en eso. Si tu producto incorpora componentes de un proveedor designado posteriormente como de alto riesgo, y tu cliente opera en un sector cubierto por los anexos I o II de la Directiva (UE) 2022/2555 (NIS2), un acto de ejecución podría obligar a tu cliente a sustituir esos componentes. Eso te cae en cascada en la hoja de ruta. Para la lectura práctica de la diligencia debida sobre componentes del CRA, consulta la guía de verificación para importadores.

Los organismos de evaluación de la conformidad no pueden proceder de países designados

El artículo 100(2) prohíbe a entidades de terceros países designados realizar evaluación de la conformidad. Si planeas usar un organismo cuya estructura de propiedad o control podría ponerlo en el lado equivocado de una futura decisión de designación, la elección del organismo es ya parte de tu riesgo de cadena de suministro. Para la elección de módulo mientras los esquemas anclados al CSA siguen en redacción, consulta la guía de decisión sobre evaluación de la conformidad.

Punto Único de Entrada para la notificación de incidentes

La propuesta de la Comisión obliga a ENISA a mantener y ampliar la Plataforma Única de Notificación existente (la plataforma creada bajo el artículo 16(1) del CRA, Reglamento (UE) 2024/2847) hasta convertirla en un Punto Único de Entrada que consolide la notificación de incidentes en NIS2, CRA, DORA y otros actos de la Unión. Es una ampliación de una herramienta CRA existente, no una invención del CSA2. Los fabricantes que ya estén diseñando su flujo de notificación CRA deberían diseñarlo para que sea agnóstico al reglamento desde el principio.

Postura cibernética y conformidad CRA, sin maquillaje

El esquema de postura cibernética es el mecanismo estrella con el que la Comisión defiende que «una certificación, varios reglamentos» es alcanzable. Es dirección política, no una disposición cerrada. Dos cosas no están aún acordadas: si los Estados miembros aceptan en negociación la conexión certificación-NIS2 y cómo se acoplará el reglamento de ejecución para la armonización máxima sobre las transposiciones nacionales de NIS2. La misma cuestión afecta a si un futuro esquema CSA anclado al CRA librará a los fabricantes de evaluaciones separadas por módulo del Anexo VIII, o se limitará a coexistir con ellas. Lo seguimos en las notas de campo de la conferencia de ENISA.

Lo que está abierto, sin calendario

¿Se adoptará el CSA2 antes de la plena aplicación del CRA?

La plena aplicación del CRA está fijada para el 11 de diciembre de 2027. El CSA2 se publicó el 20 de enero de 2026 bajo el procedimiento legislativo ordinario (2026/0011 (COD)). Cuatro meses después, a 22 de mayo de 2026, el expediente está en comisión y en grupo de trabajo del Consejo. El trílogo está a meses vista. La adopción antes de la plena aplicación del CRA es posible pero no está asegurada, y la Evaluación de Impacto no se compromete con una fecha.

Preguntas frecuentes

¿Es el CSA2 lo mismo que el Reglamento de Ciberresiliencia?

No. El CRA (Reglamento (UE) 2024/2847) regula los requisitos de ciberseguridad para productos con elementos digitales puestos en el mercado de la UE. El CSA2 (COM(2026) 11 final) revisa el marco de certificación de la ciberseguridad de la Unión, crea un marco horizontal de cadena de suministro de TIC y refuerza el mandato de ENISA. Son instrumentos separados. El CSA2 no cambia las obligaciones ni los plazos del CRA. Sí cambia las vías de certificación y las reglas de proveedores que un fabricante CRA puede o debe usar. Para el calendario de aplicación del CRA, consulta nuestro calendario de aplicación del CRA 2025-2027.

¿Cuándo entrará en vigor el CSA2?

La propuesta se publicó el 20 de enero de 2026 bajo el procedimiento legislativo ordinario. Cuatro meses después, a 22 de mayo de 2026, el expediente está en fase inicial de examen en el Parlamento y el Consejo. El trílogo está a meses vista como muy pronto, y la adopción depende del resultado de la negociación. La Comisión no se ha comprometido con una fecha. Sigue el avance a través del rastreador de procedimientos de EUR-Lex para 2026/0011 (COD) y de nuestro resumen de la ENISA Certification Conference 2026.

¿El CSA2 cambia mis obligaciones o plazos del CRA?

No. Las obligaciones de notificación del CRA empiezan en septiembre de 2026 y la plena aplicación sigue fijada en el 11 de diciembre de 2027. El CSA2, si se adopta, introducirá vías de certificación adicionales que podrían usarse después para demostrar la conformidad CRA. Introducirá también reglas de cadena de suministro que afectan a qué organismos y qué proveedores puede usar legalmente un fabricante. Hasta que se adopte el CSA2, planifica con el CRA tal como está. Consulta la guía de decisión sobre evaluación de la conformidad.

¿Cubrirá una sola certificación europea de ciberseguridad CRA, NIS2 y DORA a la vez?

Esa es la dirección política declarada por la Comisión. No es una disposición cerrada. Fohrenbach (DG CONNECT), en la conferencia de ENISA del 15 de abril de 2026, describió la conexión entre la certificación de postura cibernética y el cumplimiento de NIS2 como «sujeta a negociación» con los Estados miembros. Para los futuros esquemas CSA, el alineamiento con la legislación existente debe diseñarse desde la fase de solicitud; en el EUCC se está haciendo a posteriori. Trátalo como dirección política, no como un hecho sobre el que construir hoy un plan de cumplimiento.

¿Qué es el esquema de postura cibernética?

Un esquema CSA2 propuesto que permite a las entidades (no a los productos) certificar el conjunto de sus medidas de gestión de riesgos de ciberseguridad (considerandos 92 a 94 de COM(2026) 11 final). Es el caso de uso estrella para la ampliación de alcance del ECCF a entidades. La Comisión lo plantea como una vía para que las entidades sujetas a NIS2 demuestren el cumplimiento de las obligaciones de gestión de riesgos, con armonización máxima mediante un reglamento de ejecución que se acopla sobre las transposiciones nacionales de NIS2. La mecánica que haría esto robusto en los 27 Estados miembros son puntos abiertos de negociación.

Mi producto usa componentes de un proveedor extracomunitario. ¿Debo actuar ya sobre el marco de cadena de suministro?

Sí, en dos formas concretas, ninguna condicionada a la adopción del CSA2. Primero, mapea el país de origen de los componentes en tus SBOM. El CRA ya espera que lo hagas según el artículo 13; el CSA2 eleva las consecuencias si no puedes hacerlo. Segundo, si vendes a telecomunicaciones o a cualquier sector cubierto por los anexos I o II de NIS2, identifica la exposición a proveedores que pudieran enfrentarse de forma plausible a una designación, y empieza un plan de fuente alternativa. No rediseñes tu estrategia de conformidad CRA en torno al CSA2 hasta que se adopte. Consulta la guía de generación de SBOM y la guía de verificación para importadores.

¿Afecta el CSA2 al EUCC, y ayuda el EUCC con el CRA?

El CSA2 mantiene en vigor el EUCC y los demás esquemas adoptados. Por separado, la Comisión ha declarado su intención de especificar, antes de finales de 2026, cómo puede usarse el EUCC para demostrar la conformidad con el CRA. ENISA está realizando 18 pilotos sobre la presunción de conformidad EUCC-CRA (Fohrenbach, DG CONNECT, conferencia de ENISA del 15 de abril de 2026). Para el trabajo de esquema CRA-adyacente más relevante a producto hasta la fecha, consulta nuestro desglose del esquema EUDI Wallet.

¿Cuáles son las sanciones del CSA2?

El artículo 115 fija topes de sanción para infracciones del Título IV (cadena de suministro) como porcentaje del volumen de negocio anual mundial, sin tope fijo en euros: 1 % por infracciones de cooperación del artículo 103(2)(a), 2 % por las demás infracciones de medidas de mitigación del artículo 103(2), y 7 % por infracciones primarias de mitigación del artículo 103(1) y por las prohibiciones específicas en telecomunicaciones del artículo 111. Las infracciones del Título III (marco de certificación) las sancionan los Estados miembros sin tope a escala UE; el artículo 97 solo exige que las sanciones sean «efectivas, proporcionadas y disuasorias».

Próximos pasos

Qué hacer este trimestre

  1. Lee la página de la propuesta de la Comisión para COM(2026) 11 final y la evaluación de impacto adjunta.
  2. Si vendes a telecomunicaciones (redes móviles, fijas o por satélite), identifica la exposición a componentes de proveedores de alto riesgo bajo el Anexo II y arranca ya un plan de sustitución a 36 meses, condicionado a la adopción.
  3. Mapea el país de origen de los componentes en tus SBOM. El CRA ya lo espera según el artículo 13; el CSA2 eleva el coste de equivocarse. Guía de generación de SBOM.
  4. No rediseñes aún tu estrategia de conformidad CRA en torno a un futuro esquema de postura cibernética o EUCC-CRA. Mantente en la vía de módulo del Anexo VIII. Guía de decisión sobre evaluación de la conformidad.
  5. Sigue el trílogo y el hito EUCC-CRA de finales de 2026 a través de nuestro resumen de la ENISA Certification Conference 2026.

Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento jurídico. Para orientación específica sobre cumplimiento, consulta a un asesor legal cualificado. Fuentes primarias: COM(2026) 11 final y sus anexos, Evaluación de Impacto adjunta SWD(2026) 11 final, disponibles en la biblioteca de Estrategia Digital de la Comisión Europea.

CRA Cumplimiento Cadena de Suministro Certification
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
View full CRA compliance guide