Reglamento Europeo de Ciberresiliencia: Calendario de implantación 2024-2027

A abril de 2026, cero Organismos Notificados están designados bajo el CRA. Ninguna norma armonizada se ha publicado en el Diario Oficial. La plataforma de notificación de ENISA no existe todavía. Quedan cinco meses para la aplicación del Art. 14 el 11 de septiembre de 2026.

Si fabrica productos con elementos digitales para el mercado de la UE, esta es la situación real: qué debe construir antes de septiembre, qué está bloqueado hoy y por qué la autoevaluación de Clase I importante no funciona en este momento.

Tres obstáculos que no puede esquivar

Tres requisitos del cumplimiento CRA no existen todavía. Conózcalos antes de cerrar su calendario.

Ninguna norma armonizada

El Art. 32(2) ofrece a los fabricantes de Clase I importante tres vías de evaluación de conformidad: autoevaluación, evaluación por terceros siguiendo normas armonizadas o especificaciones comunes, y evaluación por Organismo Notificado (Módulo B+C o Módulo H). La vía de terceros requiere normas armonizadas CRA. Pero ninguna norma armonizada CRA se ha publicado en el Diario Oficial. A abril de 2026:

• La página de normas armonizadas de la Comisión no tiene ninguna entrada para el Reglamento (UE) 2024/2847.
• No se han adoptado especificaciones comunes bajo el Art. 27(2).
• Ningún acto delegado del Art. 27(9) designa ningún esquema europeo de certificación de ciberseguridad como vía de presunción de conformidad CRA.

Cuando no existen normas ni especificaciones comunes, el Art. 32(2) exige el Módulo B+C (examen de tipo UE) o el Módulo H (aseguramiento total de la calidad). Ambos requieren un Organismo Notificado.

Si fabrica un producto de Clase I importante, la autoevaluación no es una vía válida hoy. La evaluación por Organismo Notificado es la única vía conforme.

CEN-CLC/JTC 13/WG 9 está desarrollando la serie EN 40000:

• prEN 40000-1-1 (Vocabulario): consulta pública completada, pendiente de Votación Formal.
• prEN 40000-1-2 (Principios): consulta pública completada, pendiente de Votación Formal.
• prEN 40000-1-3 (Gestión de vulnerabilidades): consulta pública de diciembre de 2025 a febrero de 2026, actualmente en resolución de comentarios.
• prEN 40000-1-4 (Requisitos generales de seguridad): todavía en fase de redacción.
• Verticales tipo C (navegadores, VPN, SIEM, etc.): borrador avanzado, sin consulta pública aún.

Primera cita en el DOUE más temprana posible: T4 2026. Varios estándares verticales probablemente se retrasarán hasta 2027.

Ningún Organismo Notificado

El Capítulo IV se aplica a partir del 11 de junio de 2026. El objetivo de la Comisión es contar con capacidad ON suficiente para el 11 de diciembre de 2026 (Art. 35(2), esfuerzo razonable). A abril de 2026, no hay ningún Organismo Notificado designado CRA en el Espacio de Cumplimiento del Mercado Único (SMCS).

Si necesita una evaluación de conformidad de Clase I importante antes de diciembre de 2027, planifique:

• Preparación del expediente técnico: 3 a 6 meses.
• Evaluación Módulo B+C: 2 a 4 meses por producto.
• Disponibilidad de ONs: incierta hasta que la designación formal se abra después de junio de 2026.

Contacte ahora con organismos de evaluación de conformidad. La maquinaria formal no existirá hasta mediados de 2026. Esperar hasta entonces hace improbable completar su evaluación antes de diciembre de 2027.

Ninguna plataforma de notificación ENISA

La Plataforma Única de Notificación del Art. 16 no está disponible a abril de 2026. ENISA ha contratado a un proveedor. La plataforma está prevista para abrirse antes del 11 de septiembre de 2026. No existe URL de registro ni se ha publicado ninguna guía para fabricantes.

Qué puede hacer ahora:

• Redactar plantillas de notificación según los requisitos del Art. 14(2) (formatos de 24h, 72h, 14 días y 30 días).
• Identificar el coordinador CSIRT designado en su Estado miembro.
• Definir quién en su organización está autorizado a activar una notificación de 24 horas en un fin de semana o festivo.

En España, el INCIBE-CERT (dependiente del INCIBE, Instituto Nacional de Ciberseguridad) actúa como coordinador CSIRT para el sector privado. Identifique su punto de contacto en INCIBE-CERT antes de que la plataforma ENISA esté disponible.

Página SRP de ENISA: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Qué debe estar operativo antes del 11 de septiembre de 2026

Quedan cinco meses. Si los puntos siguientes no están resueltos, no está atrasado en tareas. Está atrasado en infraestructura, y la infraestructura tarda meses en construirse.

Inventario y clasificación de productos

Debe disponer de una lista completa de todos los productos con elementos digitales (PED) que comercializa en el mercado de la UE, con la clasificación CRA confirmada para cada producto:

• Clase predeterminada: vía de autoevaluación disponible.
• Clase I importante: requiere evaluación por Organismo Notificado hoy (véase la sección anterior).
• Clase II importante: Organismo Notificado obligatorio. Módulo B+C o Módulo H.
• Crítico: Módulo B+C o aseguramiento total de la calidad. Puede aplicarse la certificación europea de ciberseguridad.

Referencia de clasificación: el Reglamento de Ejecución (UE) 2025/2392 (DOUE 1 de diciembre de 2025, en vigor el 21 de diciembre de 2025) proporciona descripciones técnicas de las categorías de productos de los Anexos III y IV. Úselo para resolver casos límite.

Infraestructura SBOM

No puede notificar una vulnerabilidad explotada activamente en 24 horas si no sabe qué componentes contiene su producto. La generación de SBOM debe estar operativa antes de septiembre de 2026.

• Formato: CycloneDX o SPDX. Ambos son válidos bajo el CRA. Elija uno y aplíquelo a todos los productos.
• Alcance: dependencias transitivas, no solo dependencias directas. La visibilidad completa de componentes es necesaria para la evaluación de riesgos del Anexo VII.
• Almacenamiento: con control de versiones, vinculado a las versiones del producto. Cada SBOM debe corresponder a una compilación específica.
• Integración: en el pipeline de CI/CD. Una exportación puntual no cumple la obligación continua.

Monitorización de vulnerabilidades

El plazo de 24 horas empieza en el momento del conocimiento: certeza razonable basada en una valoración inicial. La confirmación forense no es necesaria para activar el plazo. Debe contar con monitorización capaz de producir esa valoración inicial antes de que venza el plazo.

• Suscríbase a NVD, OSV y los avisos de proveedores relevantes para sus componentes.
• Automatice el análisis contra los componentes del SBOM.
• Documente su ruta interna de escalado y pruébela de extremo a extremo.
• Redacte plantillas de notificación ahora, antes de que la plataforma ENISA esté activa.

Lista de verificación: estado antes del 11 de septiembre de 2026

INVENTARIO DE PRODUCTOS (empiece aquí, la clasificación determina su vía de conformidad):
[ ] Lista completa de PED comercializados en la UE con clasificación CRA confirmada por producto
[ ] Productos de Clase I importante: contacto con organismo de evaluación de conformidad
    iniciado ahora. La designación de ONs no se abre hasta junio de 2026. Esperar hasta
    entonces hace improbable completar la evaluación antes de diciembre de 2027.
[ ] Período de soporte declarado según la vida útil prevista del producto (Art. 13(8))

SBOM (empiece aquí, alimenta la monitorización, el expediente técnico y la notificación en 24 horas):
[ ] Generación de SBOM integrada en el pipeline de CI/CD (una exportación puntual no es suficiente)
[ ] Formato estandarizado: CycloneDX o SPDX
[ ] Cobertura de dependencias transitivas verificada (las dependencias directas solas no son suficientes)
[ ] SBOMs con control de versiones vinculados a versiones específicas del producto

MONITORIZACIÓN DE VULNERABILIDADES (debe estar activa antes del 11 de septiembre):
[ ] Monitorización activa para todos los productos: NVD, OSV, avisos de proveedores
[ ] Análisis automatizado contra el SBOM en funcionamiento
[ ] Ruta interna de escalado documentada y probada de extremo a extremo
[ ] Cobertura 24/7 confirmada, incluidas rutas de escalado en festivos y fines de semana

PREPARACIÓN PARA NOTIFICACIÓN (la plataforma ENISA no está activa, prepare todo lo demás ahora):
[ ] Plantillas de notificación redactadas según el Art. 14(2): formatos de 24h, 72h, 14 días y 30 días
[ ] Coordinador CSIRT del Estado miembro identificado
[ ] Persona autorizada para activar una notificación de 24 horas nombrada y localizable en todo momento

DOCUMENTACIÓN:
[ ] Documentación técnica auditada contra el Anexo VII
[ ] Análisis de brechas completado
[ ] Evaluación de riesgos en curso

Art. 14: qué exige la notificación desde el 11 de septiembre de 2026

A partir del 11 de septiembre de 2026, debe notificar las vulnerabilidades explotadas activamente y los incidentes graves a dos destinos de forma simultánea: el coordinador CSIRT designado de su Estado miembro y ENISA a través de la Plataforma Única de Notificación (Art. 16).

¿Cuándo empieza el plazo de 24 horas? El borrador de orientación de la Comisión (3 de marzo de 2026) lo aclara: en el momento del conocimiento, es decir, cuando existe una certeza razonable tras una valoración inicial. La confirmación forense no es necesaria. La evidencia creíble de explotación activa basta para activar el plazo de 24 horas.

Exención para pymes: el Art. 64(10)(a) exime a las microempresas y pequeñas empresas de sanciones específicamente por incumplir los plazos de 24 horas y primera notificación del Art. 14(2)(a) y 14(4)(a). Esta exención se aplica solo a los requisitos de plazo, no a la obligación de notificación en sí.

Qué significa "explotada activamente"

El Art. 14(2)(a) se aplica cuando existe evidencia creíble de que un actor de amenaza ha explotado la vulnerabilidad en un sistema sin permiso de su titular. Los indicadores incluyen:

• Ataques confirmados en entornos reales.
• Explotación comunicada en feeds de inteligencia de amenazas o por investigadores de seguridad.
• Detección en honeypots con evidencia de despliegue activo.

El borrador de orientación de la Comisión (Ares(2026)2319816) utiliza "evidencia creíble de explotación activa" como estándar, que es inferior a requerir confirmación forense.

Lista de verificación: preparación para el Art. 14

INFRAESTRUCTURA DE NOTIFICACIÓN (antes del 11 de septiembre de 2026):
[ ] Plantillas de notificación preparadas: formatos de 24h, 72h, 14 días y 30 días
[ ] Coordinador CSIRT del Estado miembro identificado (es su punto de envío principal
    junto a ENISA)
[ ] Ruta de escalado 24/7 confirmada, incluida cobertura en festivos y contactos de respaldo
[ ] Revisión legal de las obligaciones del Art. 14 completada

GESTIÓN DE VULNERABILIDADES:
[ ] Monitorización activa operativa para todos los productos
[ ] Integración CVE/NVD activa
[ ] Plantillas de notificación a clientes preparadas

PREPARACIÓN DEL EQUIPO:
[ ] Equipo de seguridad formado en las obligaciones del Art. 14 y el calendario de cuatro niveles
[ ] Escalado a dirección documentado
[ ] Equipo legal informado sobre las obligaciones de notificación
[ ] Comunicación y relaciones públicas preparadas para divulgaciones públicas

Cumplimiento pleno antes del 11 de diciembre de 2027

Requisitos esenciales de ciberseguridad (Anexo I)

Todo PED conforme debe cumplir estos requisitos:

Seguridad por diseño

• Nivel de seguridad adecuado al riesgo (Anexo I, Parte I, §1).
• Protección frente a accesos no autorizados.
• Confidencialidad, integridad y disponibilidad de los datos y las funciones esenciales.
• Superficie de ataque mínima, configuración segura por defecto, sin credenciales codificadas ni predeterminadas.

Proceso de gestión de vulnerabilidades

• Proceso documentado para identificar y abordar vulnerabilidades.
• Actualizaciones de seguridad oportunas y gratuitas durante el período de soporte.
• Política de divulgación coordinada de vulnerabilidades (Art. 13(6)).

Capacidad de actualización

• Mecanismo de actualización seguro y fiable.
• Capacidad de separar actualizaciones de seguridad de actualizaciones de funcionalidad.

Documentación técnica (Anexo VII)

Período de soporte: dos obligaciones independientes

El CRA impone dos obligaciones distintas sobre las actualizaciones de seguridad.

Art. 13(8): Debe publicar actualizaciones de seguridad durante un mínimo de 5 años desde la fecha de comercialización del producto, o durante la vida útil prevista del producto si es menor. El umbral de 5 años es un mínimo, no un valor por defecto. Un producto con una vida útil prevista de 10 años necesita un período de soporte de 10 años.

Art. 13(9): Cada actualización de seguridad publicada debe permanecer disponible para descarga durante un mínimo de 10 años desde la fecha de publicación, o durante el tiempo restante del período de soporte, el que sea mayor.

Son obligaciones independientes. Una actualización publicada en el año 4 de un período de soporte de 5 años debe seguir siendo descargable hasta el año 14 desde su publicación. Si elimina paquetes de actualización antiguos o abandona la infraestructura de distribución, incumplirá el Art. 13(9) aunque siga publicando nuevas actualizaciones según el calendario previsto. Planifique su infraestructura de almacenamiento y distribución para el largo plazo antes de publicar su primera actualización bajo el CRA.

Lista de verificación: antes del 11 de diciembre de 2027

CONFORMIDAD DE PRODUCTOS:
[ ] Todos los productos cumplen los requisitos del Anexo I: seguridad por diseño,
    gestión de vulnerabilidades y capacidad de actualización
[ ] Evaluaciones de conformidad completadas: proceso ON finalizado para Clase I y Clase II importantes
[ ] Marcado CE aplicado
[ ] Declaración de Conformidad de la UE preparada según el Art. 28

EXPEDIENTE TÉCNICO (Anexo VII):
[ ] Evaluación de riesgos completa y documentada
[ ] SBOM actualizado y validado
[ ] Evidencia de conformidad organizada y accesible
[ ] Período de soporte declarado según la vida útil prevista del producto del Art. 13(8)

CADENA DE COMERCIALIZACIÓN:
[ ] Cadena de importadores y distribuidores informada sobre sus obligaciones CRA
[ ] Documentación para el cliente actualizada

OBLIGACIONES CONTINUAS:
[ ] Art. 13(8): proceso de actualizaciones de seguridad activo durante la duración del período de soporte
[ ] Art. 13(9): infraestructura de disponibilidad de actualizaciones en marcha (10 años desde cada publicación)
[ ] Monitorización de vulnerabilidades activa y probada
[ ] Respuesta a incidentes ejercitada al menos trimestralmente

Orientación de la Comisión: borrador de marzo de 2026

La Comisión publicó un borrador de Comunicación de unas 70 páginas (Ares(2026)2319816) el 3 de marzo de 2026. La consulta a partes interesadas cerró el 31 de marzo de 2026. El documento no está finalizado. La versión definitiva está pendiente de todas las versiones lingüísticas de la UE. Para un análisis completo, véase nuestra guía sobre la orientación de la Comisión sobre el CRA.

Decisiones clave relevantes para el calendario:

Test RDPS para el alcance del SaaS: el software de procesamiento remoto de datos solo está en el ámbito del CRA si supera una prueba de tres partes. Primera: el software realiza procesamiento remoto de datos. Segunda: el procesamiento remoto es necesario para la función principal del producto. Tercera: el fabricante controla el procesamiento remoto. El SaaS que no supera esta prueba queda fuera del ámbito.

Productos heredados: no debe reconstruir documentación histórica. Necesita una evaluación de riesgos actual. Las familias de productos pueden agruparse para la evaluación de riesgos.

Actualizaciones de software: una actualización no constituye una "modificación sustancial" que active una nueva evaluación de conformidad, a menos que introduzca nuevos vectores de amenaza o cambie el propósito previsto del producto. La orientación proporciona una prueba de cuatro preguntas.

Plazo de 24 horas: empieza en el momento del conocimiento, es decir, cuando existe certeza razonable basada en una valoración inicial, sin necesidad de confirmación forense.

Umbral del período de soporte: 5 años es un mínimo, no un valor por defecto. El período de soporte debe reflejar la vida útil prevista del producto.

Código abierto: publicar el código fuente no constituye la comercialización de un producto. Los colaboradores que no controlan la publicación de un producto terminado no son fabricantes según el CRA.

Anuncio oficial: https://digital-strategy.ec.europa.eu/en/news/commission-publishes-feedback-draft-guidance-assist-companies-applying-cyber-resilience-act

Sanciones

El Art. 64(2) del Reglamento (UE) 2024/2847 fija la sanción máxima en 15 millones de euros o el 2,5% del volumen de negocios anual mundial total, el importe que sea mayor, por:

• Incumplimiento de los requisitos esenciales de ciberseguridad del Anexo I y las obligaciones del Art. 13.
• Incumplimiento de las obligaciones del Art. 14 (notificación de vulnerabilidades e incidentes).

Ambas infracciones están en el mismo nivel de sanción. No existe un nivel inferior para el incumplimiento de la notificación.

El Art. 64(3) (10 millones de euros o el 2%) cubre un conjunto separado de obligaciones: Arts. 18 a 23, 28, 30 a 33, 39, 41, 47, 49, 53, principalmente obligaciones de importadores, distribuidores y Organismos Notificados. El Art. 14 no está en esta lista.

Exención para pymes: el Art. 64(10)(a) exime a las microempresas y pequeñas empresas de sanciones por incumplir los requisitos de plazo específicos del Art. 14(2)(a) y 14(4)(a). La exención se aplica al plazo, no al fondo de la obligación de notificación.

Notas por sector

Electrónica de consumo

La automatización del SBOM es la inversión más rentable en esta fase inicial. Alimenta directamente la monitorización de vulnerabilidades y la generación del expediente técnico. Los productos de consumo suelen tener cadenas de suministro complejas con múltiples proveedores de componentes.

La gestión de actualizaciones de firmware en grandes volúmenes de dispositivos requiere infraestructura OTA. Una actualización publicada en el año 3 de la vida de un producto debe seguir siendo descargable durante 10 años desde esa fecha de publicación (Art. 13(9)). Planifique su infraestructura de distribución ahora, no en el momento de la publicación.

Editores de software

La notificación de vulnerabilidades es la obligación operativamente más exigente para los productos de software. Las tasas de detección son más altas y el seguimiento de dependencias a profundidad transitiva en stacks modernos no es trivial. Integre la generación de SBOM en sus pipelines de CI/CD existentes. Alimenta directamente la monitorización y el flujo de respuesta.

Equipamiento industrial

Los ciclos de vida largos de los productos (10 a 20 años) interactúan directamente tanto con el umbral mínimo de soporte de 5 años (Art. 13(8)) como con el requisito de disponibilidad de actualizaciones de 10 años por publicación (Art. 13(9)). Un producto con una vida útil prevista de 20 años puede necesitar un compromiso de soporte de 20 años.

Los productos industriales caen con frecuencia en la Clase I o II importante, lo que actualmente implica evaluación por Organismo Notificado. Contacte ahora con organismos de evaluación de conformidad. El proceso formal de designación de ONs se abre después de junio de 2026, y la capacidad estará limitada al menos hasta diciembre de 2026.

Dispositivos IoT

La eliminación de credenciales predeterminadas es un requisito imperativo (Anexo I, Parte I, §2(e)). Empiece por ahí. Es una violación clara del Anexo I y relativamente acotada de resolver. Los mecanismos de actualización segura para dispositivos con recursos limitados requieren más trabajo. Resuelva primero las credenciales y luego aborde las actualizaciones.

Próximos pasos

¿Gestiona el cumplimiento CRA en varios productos a la vez? CRA Evidence realiza el seguimiento de la preparación para el Artículo 14, la cobertura del SBOM y el estado de la evaluación de conformidad en toda su cartera.

Una vez confirmadas las clasificaciones de sus productos, construya su infraestructura SBOM con nuestra guía de requisitos SBOM. Consulte la guía de notificación de vulnerabilidades a ENISA para el proceso de notificación en 24 horas que debe tener operativo antes de septiembre de 2026.

Este artículo es solo informativo y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulte con asesoría jurídica cualificada.