Ley de Ciberresiliencia de la UE: Cronograma Completo de Implementacion 2025-2027
Una Guía práctica sobre los plazos de aplicacion del CRA y lo Qué los fabricantes deben preparar en cada etapa.
In this article
La Ley de Ciberresiliencia de la UE (Reglamento 2024/2847) representa la legislacion de ciberseguridad mas significativa para productos con elementos digitales (PDE) en la Union Europea. Con la aplicacion comenzando en 2025 y el cumplimiento total requerido para diciembre de 2027, los fabricantes necesitan entender el cronograma y prepararse adecuadamente.
Fechas Clave de un Vistazo
| Fecha | Hito |
|---|---|
| Diciembre 2024 | El CRA entra en vigor |
| Septiembre 2026 | Comienzan las obligaciones de Notificación de vulnerabilidades |
| Diciembre 2027 | Aplicacion completa para todos los productos |
Advertencia: Septiembre 2026 es el primer plazo firme. La notificacion de vulnerabilidades a ENISA se vuelve obligatoria — los fabricantes deben estar listos para reportar vulnerabilidades activamente explotadas dentro de las 24 horas.
¿Qué Cambia en Septiembre de 2026?
El primer plazo importante de cumplimiento llega en septiembre de 2026, cuando las obligaciones de Notificación de vulnerabilidades entran en vigor. Esto significa:
- Notificación en 24 horas: Cualquier vulnerabilidad activamente explotada debe reportarse a ENISA dentro de las 24 horas de su descubrimiento
- Informe detallado en 72 horas: Un informe completo de vulnerabilidad con detalles tecnicos
- Actualizacion en 14 dias: Informe de progreso sobre medidas de mitigacion
- Informe final: Analisis completo del incidente dentro de 30 dias
Preparando tu Flujo de Trabajo de Vulnerabilidades
Para cumplir estos plazos, los fabricantes deben establecer:
- Monitoreo de vulnerabilidades para todos los componentes de software en sus productos
- Procedimientos de escalacion interna Qué puedan activarse en horas, no dias
- Plantillas de Notificación a ENISA listas para uso inmediato
- SBOM (Lista de Materiales de Software) para identificar rapidamente los productos afectados
Diciembre 2027: Cumplimiento Total
Para diciembre de 2027, todos los productos con elementos digitales vendidos en la UE deben cumplir con los requisitos completos del CRA:
Requisitos Esenciales de Ciberseguridad (Anexo I)
- Seguridad por diseno y por defecto
- Proteccion contra acceso no autorizado
- Confidencialidad e integridad de datos
- Superficie de ataque minima
- Mecanismos de actualizacion seguros
Documentación Tecnica (Anexo VII)
Cada producto necesita un expediente tecnico completo Qué incluya:
- Documentación de Evaluación de riesgos
- Evidencia de Evaluación de conformidad
- SBOM con trazabilidad a nivel de componente
- Procedimientos de manejo de vulnerabilidades
- Declaración del periodo de soporte (mínimo 5 años)
La Clasificación del Producto Importa
El CRA define tres categorias de productos con diferentes requisitos de Evaluación de conformidad:
| Categoria | Ejemplos | Evaluación |
|---|---|---|
| Por defecto | La mayoria de IoT de consumo, software simple | Autoevaluacion |
| Importante Clase I | Gestion de identidad, VPNs, gestion de redes | Tercero o cumplimiento de estandar |
| Importante Clase II | Firewalls, microprocesadores resistentes a manipulacion | Tercero obligatorio |
| Critico | Medidores inteligentes, sistemas de control industrial | Examen de tipo UE |
Empieza a Prepararte Ahora
Aunque la aplicacion completa es en 2027, el trabajo requerido es sustancial. Recomendamos a los fabricantes comenzar ahora con:
- Inventaria tus productos - ¿Qué PDEs vendes en la UE?
- Clasifica tus productos - ¿Por defecto, Importante o Critico?
- Implementa generacion de SBOM - Automatizada, precisa y completa
Consejo: Comienza con la generacion de SBOM. Es la base para el monitoreo de vulnerabilidades y proporciona valor de cumplimiento inmediato.
- Establece procesos de vulnerabilidades - Monitorear, detectar, reportar, corregir
- Documenta todo - Los expedientes tecnicos requieren tiempo de preparacion
Importante: El plazo de diciembre de 2027 puede parecer lejano, pero las evaluaciones de terceros pueden tardar de 4 a 10 meses. Los productos que requieren la participacion de un Organismo Notificado deben comenzar AHORA.
Cómo Ayuda CRA Evidence
CRA Evidence proporciona una plataforma completa para gestionar tu camino hacia el cumplimiento del CRA:
- Gestion de SBOM: Carga, valida y mantiene SBOMs para todos tus productos
- Seguimiento de Vulnerabilidades: Escaneo automatico con seguimiento de plazos de ENISA
- Exportacion de Expediente Tecnico: Genera paquetes de Documentación conformes con el Anexo VII
- Pista de Auditoria: Trazabilidad completa para evaluaciones de conformidad
El plazo de diciembre de 2027 puede parecer lejano, pero construir procesos conformes lleva tiempo. Comienza tu Evaluación de preparacion para el CRA hoy.
Clasificacion: Determina la categoria de tu producto con nuestra guia de clasificacion de productos.
SBOM: Construye tu infraestructura SBOM con nuestra guia de requisitos de SBOM.
Notificacion: Aprende sobre la regla de las 24 horas en nuestra guia de notificacion de vulnerabilidades a ENISA.
Este articulo es solo para fines informativos y no constituye asesoramiento legal. Para orientacion especifica sobre cumplimiento, consulta con un abogado cualificado.
Temas tratados en este artículo
Artículos Relacionados
¿Son las Cámaras Inteligentes Productos Importantes bajo...
Las cámaras de seguridad inteligentes están clasificadas como Productos...
11 minCybersecurity Act 2 de la UE: Prohibiciones en la Cadena...
La UE propuso sustituir el Cybersecurity Act por completo. Qué cambió, qué...
11 minClasificación de Productos CRA: ¿Tu Producto es Por...
Una Guía práctica para determinar la categoria CRA de tu producto. Incluye...
12 minDoes the CRA apply to your product?
Responde 6 preguntas sencillas para saber si tu producto entra en el ámbito de la Ley de Resiliencia Cibernética de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Comienza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.