CRA para automatización industrial: IEC 62443 y seguridad OT

El CRA en la automatización industrial y OT: alineación IEC 62443, por qué los PLC y SCADA suelen ser de categoría por defecto y qué eleva la clase.

Equipo CRA Evidence Publicado 8 de enero de 2026 Actualizado 19 de abril de 2026
CRA para automatización industrial: IEC 62443 y seguridad OT
En este artículo

Los productos de automatización industrial afrontan retos específicos del Reglamento de Ciberresiliencia por su papel crítico en la fabricación, la energía y las infraestructuras. Muchos entran en Clase Importante II, lo que obliga a una evaluación de la conformidad por un tercero. La buena noticia es que la norma IEC 62443, ya consolidada, ofrece una base sólida para el cumplimiento CRA.

Esta guía aborda el cumplimiento CRA para fabricantes de automatización industrial.

Resumen

  • Muchos productos de automatización industrial son Clase Importante II (evaluación por tercero obligatoria).
  • La certificación IEC 62443 apoya de forma significativa el cumplimiento CRA (no es equivalencia automática).
  • Los entornos OT tienen retos propios de actualización y ciclo de vida.
  • Se aplica un periodo mínimo de soporte de 5 años según el artículo 13, apartado 8, del CRA; planifica los ciclos de vida del producto en consecuencia.
  • Los requisitos de SBOM se aplican a los sistemas de control industrial.
  • La integración seguridad-funcional y ciberseguridad es crítica (IEC 62443 junto con IEC 61508 / ISO 13849).
5 años
Periodo mínimo de soporte
Artículo 13(8) del CRA
24 h
Alerta temprana
a CSIRT y ENISA
72 h
Notificación de vulnerabilidad
Artículo 14(2)(b) del CRA
14 días
Informe final
tras la mitigación

Fuente: Reglamento (UE) 2024/2847, artículo 13, apartado 8 (periodo de soporte) y artículo 14, apartado 2, letras a), b) y c) (plazos de notificación).

¿Qué productos industriales están cubiertos?

Ámbito del CRA en automatización industrial

El CRA se aplica a los «productos con elementos digitales» introducidos en el mercado de la UE. En automatización industrial esto incluye:

Claramente dentro del ámbito:

  • PLC (controladores lógicos programables)
  • PC industriales y HMI
  • Software SCADA
  • Sistemas DCS
  • Sensores y pasarelas IoT industriales
  • Routers y switches industriales
  • Soluciones de acceso remoto
  • Estaciones de ingeniería y software asociado

Pueden aplicarse exenciones:

  • Productos exclusivos para seguridad nacional
  • Productos diseñados para uso militar
  • Sistemas industriales personalizados y únicos (pueden considerarse «piezas de repuesto»)

Clasificación CRA para productos industriales

La mayoría de los productos de automatización industrial entran en Clase Importante I o II.

Clase Importante II: evaluación por tercero

La vía es un Organismo Notificado (Módulo B+C o Módulo H) o un esquema de certificación disponible y aplicable. Algunos productos industriales tienen la funcionalidad básica de una categoría del Anexo IV, como los módulos de seguridad hardware y las pasarelas de contadores inteligentes; esos son productos Críticos, un nivel superior que también requiere evaluación por tercero.

Ejemplos
  • Cortafuegos para uso industrial
  • Sistemas IDS/IPS industriales
  • Microprocesadores y microcontroladores resistentes a manipulaciones
Clase Importante I: autoevaluación con normas armonizadas, especificaciones comunes o esquema de certificación

La autoevaluación es posible cuando las normas armonizadas, las especificaciones comunes o un esquema de certificación cubren íntegramente los requisitos del producto.

Ejemplos
  • PLC y controladores industriales
  • Software SCADA/DCS
  • Pasarelas IoT industriales
  • Soluciones de acceso remoto y VPN
  • Routers, módems y switches industriales
  • Microcontroladores y microprocesadores con funcionalidades relacionadas con la seguridad
Por defecto

Autoevaluación.

Ejemplos
  • Sensores básicos sin conectividad de red
  • Periféricos industriales simples
  • Equipos no conectados a red
Verifica con la fuente primaria

La clasificación depende de las capacidades concretas del producto. Consulta los anexos III y IV del CRA para la clasificación definitiva.

Alineación entre IEC 62443 y el CRA

¿Qué es la IEC 62443?

La IEC 62443 es la serie internacional de normas para la seguridad de los sistemas de automatización y control industrial (IACS). Cubre:

  • IEC 62443-4-1: ciclo de vida de desarrollo seguro.
  • IEC 62443-4-2: requisitos de seguridad de componentes (4 niveles de seguridad, SL 1 a SL 4).
  • IEC 62443-3-3: requisitos de seguridad de sistema.
  • IEC 62443-2-4: requisitos para proveedores de servicios.

IEC 62443 ↔ cobertura CRA de un vistazo

Bien cubierto por IEC 62443
  • Proceso de gestión de vulnerabilidades
  • Control de acceso
  • Criptografía
  • Registro de auditoría
  • Capacidad de actualización
Cubierto parcialmente
  • Configuración segura por defecto
  • Protección de datos
  • Prueba de ausencia de vulnerabilidades conocidas
Añadidos exclusivos del CRA
  • SBOM
  • Marcado CE / Declaración UE de Conformidad
  • Notificación del Artículo 14
  • Declaración del periodo de soporte

Dónde la evidencia IEC 62443 se corresponde directamente con los requisitos del CRA, dónde cubre solo parte de la obligación y dónde el CRA añade obligaciones nuevas.

Correspondencia IEC 62443 ↔ CRA

Requisito del CRACobertura IEC 62443Estado
Seguro por defectoRequisitos de SL (4-2)Parcial, el CRA es más estricto
Gestión de vulnerabilidades4-1 (SDL), 2-4 (mantenimiento)Buena alineación
Actualizaciones de seguridad4-1, 2-4Alineación de procesos
Ausencia de vulnerabilidades conocidas4-1 (gestión de vulnerabilidades)Proceso alineado
Protección de datos4-2 (confidencialidad)Parcial
Control de acceso4-2 (autenticación, autorización)Alineación fuerte
Criptografía4-2 (requisitos de cifrado)Buena alineación
Registro de auditoría4-2 (registros de auditoría)Buena alineación
Capacidad de actualización4-2 (actualización de firmware)Alineación
SBOMNo está en IEC 62443Brecha
Marcado CENo está en IEC 62443Brecha
Soporte de 5 añosNo especificadoBrecha

IEC 62443 como base, no como equivalencia

Importante

La certificación IEC 62443 NO implica automáticamente cumplimiento CRA. Úsala como base y evidencia, no como equivalencia.

Lo que aporta IEC 62443:

  • Una base técnica de seguridad sólida.
  • Un ciclo de vida de desarrollo seguro maduro.
  • Capacidades de seguridad bien documentadas.
  • Evidencia para la evaluación de la conformidad.

Lo que el CRA añade sobre IEC 62443:

  • Requisitos de SBOM (nuevos).
  • Notificación específica de vulnerabilidades al CSIRT designado como coordinador y a ENISA (alerta temprana en 24 horas, notificación de vulnerabilidad en 72 horas e informe final a los 14 días, según el artículo 14, apartado 2, del CRA).
  • Marcado CE y declaración UE de conformidad.
  • Compromiso de soporte mínimo de 5 años según el artículo 13, apartado 8, del CRA.
  • Requisitos específicos de formato en la documentación.
  • Coordinación con la vigilancia del mercado.

Aprovechar IEC 62443 para el CRA

  1. Si cuentas con certificación IEC 62443-4-1. Reutiliza la documentación del SDL para el expediente técnico del CRA, demuestra tu ciclo de vida de desarrollo seguro y apórtala como evidencia del enfoque de evaluación de riesgos.
  2. Si cuentas con certificación IEC 62443-4-2. Reutiliza la documentación de capacidades de seguridad, asocia cada nivel de seguridad alcanzado con los requisitos esenciales del CRA y preséntala como evidencia de la implementación de funciones de seguridad.
  3. Añade por encima lo específico del CRA. Genera un SBOM, implanta la capacidad de notificación a ENISA, documenta el compromiso de soporte de 5 años, prepara la declaración UE de conformidad y aplica el marcado CE.

Retos de cumplimiento específicos de OT

Retos de actualización y parcheo

Los entornos industriales tienen restricciones particulares en las actualizaciones.

Retos:

  • Operación 24/7 sin ventanas de mantenimiento.
  • Revalidación de sistemas de seguridad funcional tras cada actualización.
  • Integración con sistemas heredados.
  • Entornos aislados (air-gapped) o semiconectados.
  • Ciclos de cualificación largos.

Los requisitos del CRA siguen aplicándose:

  • Se deben proporcionar actualizaciones de seguridad durante al menos 5 años (artículo 13, apartado 8, del CRA).
  • Debe existir un mecanismo para entregar actualizaciones.
  • Las vulnerabilidades deben corregirse en un plazo razonable.
  1. Despliegue por fases. Primero entornos de prueba, después líneas de producción piloto y finalmente despliegue completo con monitorización.
  2. Planificación de actualizaciones. Coordínate con el mantenimiento planificado, avisa con semanas o meses de antelación y da soporte a ciclos de actualización definidos por el cliente.
  3. Entrega fuera de línea. Paquetes de actualización por USB, servidores de actualización dentro de la red OT o mecanismos seguros de transferencia de archivos para emplazamientos aislados.
  4. Revalidación de la seguridad funcional. Documenta el impacto de la actualización sobre las funciones de seguridad, aporta guía de revalidación y considera la coingeniería seguridad-ciberseguridad.

Ciclos de vida de producto largos

Los productos industriales suelen tener ciclos de vida de 15 a 20 años o más, mientras que el CRA solo exige un mínimo de 5 años.

Años 1 a 5

Venta activa y periodo de soporte CRA (mínimo). Se aplican las actualizaciones de seguridad y la gestión de vulnerabilidades.

Años 5 a 10

Soporte ampliado. El fabricante puede seguir aportando actualizaciones de seguridad más allá del mínimo del CRA, sobre todo si el producto sigue en uso.

Años 10 a 15

Soporte legado. Actualizaciones limitadas; una parte mayor del riesgo operativo pasa al cliente.

Año 15 en adelante

Fin de vida. Responsabilidad del cliente; comunica con claridad la fecha de fin de soporte en el punto de venta.

Regla del periodo de soporte del CRA

Mínimo 5 años desde la puesta en el mercado (Artículo 13(8)), o más si la expectativa de vida útil del producto supera los 5 años. Planifica el periodo de soporte en función de la vida útil razonable, no solo del mínimo del CRA.

Necesidades de documentación:

  • Comunica con claridad el periodo de soporte en la compra.
  • Aporta una fecha de fin de soporte.
  • Documenta las responsabilidades del cliente tras el fin del soporte.

Integración seguridad funcional y ciberseguridad

Los productos industriales suelen tener requisitos de seguridad funcional (niveles SIL según IEC 61508 / ISO 13849). El CRA añade requisitos de ciberseguridad.

1
Evaluación de riesgos

Modelado de amenazas combinado de seguridad funcional y ciberseguridad. Trata las amenazas cibernéticas sobre funciones de seguridad como un modo de fallo de primer nivel.

2
Requisitos

Los requisitos de seguridad funcional (SIL 1 a SIL 4) y los de ciberseguridad (SL 1 a SL 4) conviven en paralelo. Ninguna medida de ciberseguridad debe comprometer la seguridad funcional.

3
Validación

La validación de seguridad funcional, las pruebas de ciberseguridad y los escenarios combinados se ejecutan antes del lanzamiento. Cada disciplina firma su aprobación de forma independiente.

4
Gestión de cambios

Revalidación de seguridad funcional tras parches de ciberseguridad. Evaluación de ciberseguridad ante cambios de seguridad funcional. Ambos ciclos son obligatorios, no opcionales.

Principio fundamental

Ninguna medida de ciberseguridad debe comprometer la seguridad funcional. Cuando ambas disciplinas entran en conflicto, gana la seguridad funcional y se rediseña la medida de ciberseguridad.

SBOM para sistemas industriales

Retos de identificación de componentes

Los productos industriales contienen a menudo:

  • Sistemas operativos en tiempo real (RTOS).
  • Firmware propietario.
  • Librerías de terceros (pilas OPC UA, MQTT, Modbus).
  • Componentes de hardware con firmware.
  1. Componentes de software. RTOS y kernel, pilas de protocolo (OPC UA, Modbus, EtherNet/IP, PROFINET), librerías de seguridad (TLS, criptografía), middleware de terceros y software de aplicación.
  2. Firmware. Cargador de arranque, firmware de dispositivo y componentes programables en campo.
  3. Profundidad. Los componentes principales están bajo control del fabricante; solicita SBOM a los proveedores para los componentes de terceros y llega tan profundo como sea posible en los componentes anidados.
Formato
CycloneDX o SPDX. Ambos son aceptables.
Identificadores
Incluye identificadores PURL cuando estén disponibles.
Componentes a medida
Documenta de forma explícita los componentes a medida y propietarios.

Complejidad de la cadena de suministro

Los productos industriales suelen tener cadenas de suministro complejas.

Nivel 1
Tu producto

Tu software y firmware. SBOM completo obligatorio.

Nivel 2
Proveedores directos

Componentes de terceros. Solicita el SBOM a cada proveedor e inclúyelo en el tuyo.

Nivel 3
Subproveedores

Componentes dentro de componentes. Inclusión en la medida de lo posible. Documenta las limitaciones conocidas.

Acciones:

  • Actualiza los acuerdos con proveedores para incluir requisitos de SBOM.
  • Establece un formato de intercambio de SBOM con los proveedores.
  • Crea un proceso de integración de SBOM.
  • Documenta las limitaciones de la cadena de suministro.

Evaluación de la conformidad para productos industriales

Módulo B+C (examen UE de tipo)

Para productos industriales de Clase Importante II:

  1. Módulo B, examen de tipo. El organismo notificado examina la integridad del expediente técnico, la idoneidad de la evaluación de riesgos, la cobertura de los requisitos de ciberseguridad, cualquier certificación IEC 62443 presentada como evidencia, la calidad del SBOM y los resultados de pruebas. Entregable: un certificado de examen UE de tipo.
  2. Módulo C, conformidad con el tipo. El fabricante garantiza que la producción coincide con el tipo examinado, mantiene el control interno de calidad de la producción y conserva la documentación actualizada. Entregable: una autodeclaración de conformidad con el tipo.

Uso de la certificación IEC 62443

Si cuentas con certificación IEC 62443-4-2:

  1. Preséntala al organismo notificado. Aporta el certificado IEC 62443-4-2, el nivel de seguridad alcanzado (SL 1 a SL 4), el certificado ISASecure si procede y el informe de evaluación.
  2. Evaluación del organismo notificado. El organismo reconoce IEC 62443 como evidencia, verifica la cobertura de los requisitos del CRA, identifica brechas y puede reducir el alcance de las pruebas.
  3. Evidencia adicional todavía necesaria. SBOM (no cubierto por IEC 62443), capacidad de notificación a ENISA, compromiso documentado de soporte de 5 años y documentación de usuario.

Orientación por segmento industrial

PLC y controladores

Normalmente Clase Importante I o II.

Requisitos clave. Capacidad de arranque seguro, comunicaciones cifradas (opcionales y evolucionando a por defecto), autenticación robusta, registro de auditoría, mecanismo de actualización de firmware, SBOM para firmware y runtime.

Alineación IEC 62443. Usa IEC 62443-4-2 SL 2+ como base, documenta las capacidades de seguridad y prueba las funciones de seguridad.

Puntos de atención. Restricciones de tiempo real frente al procesamiento de ciberseguridad; protección de funciones de seguridad funcional; soporte de protocolos heredados (Modbus y similares).

Software SCADA / DCS

Normalmente Clase Importante I.

Requisitos clave. Arquitectura segura, control de acceso basado en roles, comunicaciones cifradas, traza de auditoría, mecanismo de actualización, SBOM para todos los componentes.

Puntos de atención. Seguridad de la base de datos, configuración de seguridad de OPC UA, protección de datos del historiador, seguridad del acceso remoto.

Pasarelas IoT industriales

Normalmente Clase Importante I.

Requisitos clave. Arranque seguro, soporte de segmentación de red, protocolos cifrados (MQTT-TLS y similares), autenticación de dispositivo, mecanismo de actualización de firmware, SBOM.

Puntos de atención. Seguridad en edge computing, seguridad de la conectividad con la nube, seguridad de la traducción de protocolos, filtrado y validación de datos.

Hoja de ruta práctica de cumplimiento

Fase 1: Evaluación

Inventario de productos.

  • Enumera todos los productos con elementos digitales.
  • Clasifícalos según las categorías del CRA.
  • Identifica los productos de Clase Importante II.

Certificaciones existentes.

  • Enumera las certificaciones IEC 62443.
  • Asócialas a los requisitos del CRA.
  • Identifica las brechas.

Análisis de brechas.

  • Capacidad de SBOM.
  • Preparación para la notificación de vulnerabilidades.
  • Planificación del soporte de 5 años.
  • Brechas de documentación.

Fase 2: Preparación

Técnico.

Documentación.

  • Estructura del expediente técnico.
  • Actualización de la documentación de ciberseguridad.
  • Guía de usuario para despliegue seguro.
  • Comunicación del periodo de soporte.

Comercial.

  • Definición del periodo de soporte.
  • Actualización de contratos con clientes.
  • Revisión de precios cuando el coste de cumplimiento sea significativo.

Fase 3: Cumplimiento

A partir del 11 de septiembre de 2026.

  • Notificación de vulnerabilidades operativa.
  • Plataforma única de notificación en uso.

Durante 2027.

  • Completa las evaluaciones de la conformidad.
  • Contacta con organismos notificados (Clase Importante II).
  • Obtén certificados de examen UE de tipo.
  • Actualiza toda la documentación del producto.

Para el 11 de diciembre de 2027.

  • Todos los productos en ámbito cumplen con el CRA.
  • Marcado CE aplicado.
  • Comunicación a clientes completada.

Recursos del sector

Organismos de normalización

  • IEC (Comisión Electrotécnica Internacional). Serie IEC 62443. iec.ch
  • ISA (International Society of Automation). Desarrollo de ISA/IEC 62443 y programa de certificación ISASecure. isa.org
  • NAMUR (Asociación de la industria de procesos). Recomendaciones NE para ciberseguridad OT. namur.net
  • NIST. Cybersecurity Framework, SP 800-82 (guía de ciberseguridad OT). nist.gov

Asociaciones sectoriales

Asociación Enfoque Web
ZVEI (Alemania) Industria eléctrica zvei.org
ORGALIM Ingeniería europea orgalim.eu
VDMA (Alemania) Maquinaria vdma.org
GAMBICA (Reino Unido) Automatización industrial gambica.org.uk
ODVA Redes industriales odva.org

Si fabricas maquinaria con elementos digitales, consulta nuestra guía para fabricantes de maquinaria con orientación específica sobre el doble cumplimiento con el CRA y el Reglamento de Máquinas de la UE.

Checklist para automatización industrial

Clasificación del producto

  • Clasificación determinada (Por defecto / Importante I / Importante II).
  • Ruta de evaluación de la conformidad seleccionada.
  • Organismo notificado identificado, si procede.

Certificaciones existentes

  • IEC 62443-4-1 (SDL).
  • IEC 62443-4-2 (seguridad de componentes).
  • Certificación ISASecure.
  • Asociadas a los requisitos del CRA.

Cumplimiento técnico

  • Configuración segura por defecto.
  • Mecanismo de actualización seguro.
  • Capacidad de generación de SBOM.
  • Proceso de gestión de vulnerabilidades.
  • Capacidad de notificación a ENISA.

Documentación

  • Expediente técnico preparado.
  • Evaluación de riesgos documentada.
  • Arquitectura de ciberseguridad documentada.
  • Guía de ciberseguridad para el usuario preparada.

Ciclo de vida

  • Periodo de soporte de 5 años definido.
  • Mecanismo de entrega de actualizaciones.
  • Planificación de fin de vida.
  • Proceso de revalidación de seguridad funcional ante actualizaciones.

Cadena de suministro

  • Requisitos de SBOM para proveedores.
  • Evaluación de ciberseguridad de los componentes.
  • Documentación de la cadena de suministro.
Entidades esenciales NIS 2

La clase CRA de un producto de automatización industrial depende de su funcionalidad básica según los Anexos III/IV, no del sector del comprador. Vender a entidades esenciales NIS 2 puede elevar las expectativas de riesgo y de evidencia, pero no convierte el producto en Clase Importante II por sí solo (Artículo 7(1)).

Ventaja con IEC 62443

Tener alineación con IEC 62443 te da ventaja para el cumplimiento CRA. Muchos requisitos se solapan, lo que reduce la carga de cumplimiento adicional.

Preguntas frecuentes

¿La certificación IEC 62443 equivale al cumplimiento CRA?

No. La certificación IEC 62443 no implica automáticamente cumplimiento CRA. Aporta una base técnica de ciberseguridad sólida y evidencia que un organismo notificado puede reutilizar, pero el CRA añade obligaciones que IEC 62443 no cubre: requisitos de SBOM, notificación de incidentes a ENISA según el artículo 14, marcado CE y declaración UE de conformidad, y un compromiso de soporte mínimo de 5 años según el artículo 13, apartado 8.

¿Qué productos de automatización industrial entran en Clase Importante II?

Cortafuegos industriales, sistemas IDS/IPS industriales y microprocesadores y microcontroladores resistentes a manipulaciones pertenecen a la Clase Importante II, que requiere evaluación de la conformidad por un tercero (normalmente Módulo B+C o Módulo H). Los microcontroladores y microprocesadores con funcionalidades relacionadas con la seguridad, y los routers y switches industriales, son Clase Importante I. Los módulos de seguridad hardware y las pasarelas de contadores inteligentes tienen la funcionalidad básica de categorías del Anexo IV, por lo que son productos Críticos. Consulta la guía de clasificación de productos para el flujo de decisión completo.

¿Se aplica el soporte mínimo de 5 años del CRA también a productos con ciclos de vida industriales de 15 a 20 años?

Sí. Cinco años es el mínimo fijado por el artículo 13, apartado 8, del CRA. Cuando cabe esperar razonablemente que el producto esté en uso durante más tiempo, el fabricante debe fijar un periodo de soporte mayor que refleje esa vida útil. Los productos industriales con ciclos de 15 a 20 años suelen necesitar planificar soporte muy por encima del mínimo de 5 años y comunicar con claridad la fecha de fin de soporte en el punto de venta.

¿Cómo se gestionan las actualizaciones de ciberseguridad del CRA en entornos OT sin ventanas de mantenimiento?

Combina un despliegue por fases (prueba, piloto, producción completa), ventanas de actualización coordinadas con el mantenimiento planificado, mecanismos de entrega fuera de línea como paquetes USB o servidores de actualización dentro de la red OT, y una revalidación de seguridad funcional documentada para cada actualización. El CRA no exige conectividad online continua, pero sí que exista un mecanismo para entregar actualizaciones y que las vulnerabilidades se corrijan en un plazo razonable.

¿Qué requisitos del CRA no están cubiertos por IEC 62443?

La generación y el mantenimiento del SBOM, la notificación de vulnerabilidades e incidentes graves al CSIRT designado como coordinador y a ENISA con la cadencia de 24 horas, 72 horas y 14 días fijada por el artículo 14, apartado 2, del CRA, el marcado CE con declaración UE de conformidad, el compromiso de soporte mínimo de 5 años y la coordinación con la vigilancia del mercado. La evidencia IEC 62443 ayuda con los requisitos técnicos, pero no libera de ninguna de estas obligaciones. Mantenemos «reporte» como sinónimo cuando hablamos del informe final al regulador.

¿Puede la certificación IEC 62443-4-2 reducir el alcance de las pruebas del organismo notificado?

Sí, es posible. Un organismo notificado que reconozca IEC 62443-4-2 como evidencia verificará la cobertura de los requisitos del CRA, identificará brechas y podrá reducir el alcance de las pruebas en consecuencia. Presenta el certificado, el nivel de seguridad alcanzado (SL 1 a SL 4), cualquier certificado ISASecure y el informe de evaluación. Aun así tendrás que aportar evidencia de SBOM, capacidad de notificación a ENISA, compromiso documentado de soporte de 5 años y documentación de usuario. Consulta la guía de decisión para la evaluación de la conformidad con la comparativa completa de módulos.

Qué hacer a continuación

  1. Clasifica cada producto (Por defecto / Importante I / Importante II) con la guía de clasificación de productos CRA.
  2. Asocia tu evidencia IEC 62443 a la estructura del expediente técnico del CRA descrita en la guía del expediente técnico del anexo VII.
  3. Añade la generación de SBOM a tu pipeline de compilación. IEC 62443 no lo cubre. Consulta la guía de generación de SBOM.
  4. Pon en marcha la notificación de incidentes a ENISA con cadencia de 24 h, 72 h y 14 días antes del 11 de septiembre de 2026 con la guía de notificación.
  5. Define el periodo de soporte y comunícalo en el punto de venta con la guía de planificación del periodo de soporte.
  6. Si un producto es Clase Importante II, elige el módulo de evaluación de la conformidad con la guía de decisión Módulo A / B+C / H.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Para orientación específica de cumplimiento, consulta a asesores legales cualificados.

CRA Estándares de Seguridad Clases de Productos Industrial
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
View full CRA compliance guide