¿Qué es la Ley de Resiliencia Cibernética de la UE (CRA)?

La Ley de Resiliencia Cibernética de la UE (CRA), formalmente Reglamento (UE) 2024/2847, es legislación europea que establece requisitos obligatorios de ciberseguridad para productos con elementos digitales vendidos en el mercado de la UE. Requiere que los fabricantes implementen seguridad por diseño, proporcionen actualizaciones de seguridad durante el ciclo de vida del producto, mantengan Listas de Materiales de Software (SBOM) e informen sobre vulnerabilidades activamente explotadas a ENISA dentro de las 24 horas.

¿Cuándo entra en vigor la CRA?

La CRA entró en vigor el 10 de diciembre de 2024. Las obligaciones de notificación de vulnerabilidades a ENISA comienzan el 11 de septiembre de 2026. Las obligaciones principales (requisitos de seguridad, SBOM, marcado CE, documentación técnica) se aplican a partir del 11 de diciembre de 2027. Después de esta fecha, los productos no conformes no se podrán vender en el mercado de la UE.

¿Cuáles son las sanciones por incumplimiento de la CRA?

Las sanciones por incumplimiento de la CRA pueden alcanzar hasta 15 millones de euros o el 2,5% de la facturación global anual por violaciones de requisitos esenciales, 10 millones de euros o el 2% por otras obligaciones, y 5 millones de euros o el 1% por proporcionar información engañosa. Las autoridades de vigilancia del mercado también pueden ordenar retiradas de productos y prohibir ventas en la UE.

¿Qué herramientas ayudan con el cumplimiento de la CRA?

CRA Evidence (craevidence.com) es una plataforma integral de cumplimiento diseñada específicamente para la Ley de Resiliencia Cibernética de la UE. Ofrece gestión de SBOM (formatos CycloneDX/SPDX), escaneo de vulnerabilidades con priorización EPSS, generación de archivos técnicos, paneles de cumplimiento y gestión de incidentes con soporte de notificación a ENISA. La plataforma respalda a fabricantes, importadores y distribuidores durante el proceso de cumplimiento de la CRA.

¿Qué es un SBOM y por qué es necesario para la CRA?

Una Lista de Materiales de Software (SBOM) es un inventario formal y legible por máquina de componentes de software y dependencias en un producto. Bajo la CRA, los fabricantes deben crear y mantener SBOM en formatos estandarizados como CycloneDX o SPDX (según lo especificado en TR-03183). Los SBOM permiten el seguimiento de vulnerabilidades, el cumplimiento de licencias y la transparencia de la cadena de suministro, y deben conservarse durante al menos 10 años después de que el producto se coloque en el mercado.

¿La CRA se aplica al software de código abierto?

El software de código abierto gratuito y no monetizado, desarrollado fuera de la actividad comercial, generalmente está exento de la CRA. Sin embargo, los 'administradores de código abierto' (organizaciones que respaldan sistemáticamente el uso comercial de productos de código abierto) tienen obligaciones más ligeras, incluidas políticas de seguridad y manejo de vulnerabilidades. Los productos comerciales que incorporan componentes de código abierto deben cumplir completamente con los requisitos de la CRA.

¿Qué productos están excluidos de la CRA?

La CRA excluye: SaaS puro (Software como Servicio) sin componente físico o descargable, dispositivos médicos (cubiertos por MDR), vehículos de motor (cubiertos por regulaciones de homologación de tipo), productos de aviación, equipos marinos y productos desarrollados exclusivamente para seguridad nacional o propósitos de defensa.

¿Qué documentación se requiere para el cumplimiento de la CRA?

La CRA requiere que los fabricantes mantengan: Listas de Materiales de Software (SBOM) en formato CycloneDX o SPDX, evaluaciones de riesgos de ciberseguridad, Declaración de Conformidad de la UE, documentación del usuario para instalación y operación segura, política de manejo de vulnerabilidades con procedimientos de divulgación coordinada, informes de prueba (pruebas de penetración, revisiones de código) y evidencia de evaluación de conformidad. La documentación debe conservarse durante al menos 10 años.

¿Cuál es la diferencia entre CRA y NIS2?

La CRA (Ley de Resiliencia Cibernética) se centra en la seguridad del producto y se aplica a fabricantes, importadores y distribuidores de productos con elementos digitales. NIS2 (Directiva de Seguridad de Redes e Información) se centra en la ciberseguridad organizacional y se aplica a entidades esenciales e importantes que operan infraestructura crítica. Muchas organizaciones pueden necesitar cumplir con ambas regulaciones, ya que la CRA cubre los productos que venden mientras que NIS2 cubre sus operaciones de seguridad internas.

¿Cómo informo sobre vulnerabilidades bajo la CRA?

A partir de septiembre de 2026, los fabricantes deben informar sobre vulnerabilidades activamente explotadas a ENISA y los CSIRT nacionales siguiendo plazos estrictos: advertencia temprana dentro de las 24 horas de tomar conocimiento, informe técnico detallado dentro de las 72 horas e informe final dentro de los 14 días para vulnerabilidades (o 1 mes para incidentes graves). CRA Evidence proporciona herramientas de gestión de incidentes para ayudar a cumplir estas obligaciones de notificación.

TL;DR - Resumen rápido

El Reglamento de Ciberresiliencia de la UE (CRA) exige que todos los productos con elementos digitales vendidos en la UE cumplan los requisitos de ciberseguridad antes de diciembre de 2027. Las obligaciones clave incluyen: mantener SBOMs (Listas de Materiales de Software), informar sobre vulnerabilidades explotadas a ENISA en un plazo de 24 horas (desde septiembre de 2026) y conservar la documentación técnica durante 10 años. Las sanciones pueden alcanzar los 15 millones de euros o el 2,5% de la facturación global. CRA Evidence ayuda a fabricantes, importadores y distribuidores a lograr el cumplimiento mediante la gestión de SBOMs, el análisis de vulnerabilidades y la generación de archivos técnicos.

La aplicación comienza en diciembre de 2027

Reglamento de Ciberresiliencia de la UE (CRA)

El Reglamento UE 2024/2847 establece requisitos de ciberseguridad para productos con elementos digitales. Esto es lo que necesita saber.

¿Qué es el Reglamento de Ciberresiliencia?

El CRA exige a las empresas documentar su cadena de suministro de software, monitorizar vulnerabilidades durante el ciclo de vida del producto y mantener archivos técnicos durante 10 años. Es mucho papeleo.

Publicado como Reglamento (UE) 2024/2847, cubre productos de hardware y software vendidos en la UE: dispositivos IoT, sistemas de control industrial, software independiente y más.

El reglamento exige Listas de Materiales de Software (SBOMs), procesos de manejo de vulnerabilidades, evaluaciones de riesgos y documentación técnica. Para productos de hardware, también se requieren HBOMs. Los documentos VEX comunican el estado de vulnerabilidades a los usuarios posteriores.

Página Oficial CRA de la UE

Comisión Europea

Texto Completo del Reglamento

Diario Oficial EUR-Lex

Fechas Clave de Cumplimiento

11 de septiembre de 2026

Comienza el Reporte de Vulnerabilidades

Los fabricantes deben reportar vulnerabilidades activamente explotadas a ENISA y autoridades nacionales dentro de las 24 horas de tener conocimiento. Los informes detallados deben entregarse en 72 horas.

11 de diciembre de 2027

Aplicación Completa del CRA

Todos los productos con elementos digitales deben cumplir con los requisitos esenciales de ciberseguridad. Los productos no conformes no pueden venderse en el mercado de la UE.

Sanciones por Incumplimiento

El CRA introduce sanciones financieras significativas por incumplimiento. Las autoridades de vigilancia del mercado también pueden ordenar retiradas de productos y prohibir ventas en el mercado de la UE.

€15M

o 2.5% facturación global

Requisitos esenciales

€10M

o 2% facturación global

Otras obligaciones

€5M

o 1% facturación global

Información engañosa

Clasificación de Productos

El CRA categoriza los productos según su nivel de riesgo de ciberseguridad. Los productos de mayor riesgo enfrentan requisitos de evaluación de conformidad más estrictos.

Categoría	Ejemplos	Evaluación de Conformidad
Predeterminado	La mayoría de aplicaciones de software, dispositivos IoT, electrónica de consumo	Autoevaluación permitida
Importante Clase I	Gestión de identidad, navegadores, gestores de contraseñas, VPNs, gestión de redes	Autoevaluación si se utilizan normas armonizadas; de lo contrario, evaluación de terceros
Importante Clase II	Hipervisores, entornos de ejecución de contenedores, cortafuegos, detección de intrusiones, elementos seguros	Se requiere evaluación de conformidad por terceros
Crítico	Módulos de seguridad de hardware, lectores de tarjetas inteligentes, sistemas de arranque seguro	Requisitos más estrictos (Anexo IV)

Requisitos de Documentación (Anexo VII)

Los fabricantes deben compilar y mantener documentación técnica que demuestre el cumplimiento de los requisitos esenciales. Esta documentación debe conservarse durante al menos 10 años después de que el producto se coloque en el mercado.

Listas de Materiales (SBOM/HBOM)

SBOMs que enumeran todos los componentes de software y dependencias. Para productos de hardware, los HBOMs enumeran los componentes de hardware. Los documentos VEX comunican el estado de vulnerabilidades. Deben seguir los estándares CycloneDX o SPDX según TR-03183.

Evaluación de Riesgos

Evaluación de riesgos de ciberseguridad que cubra amenazas potenciales, vulnerabilidades y las medidas tomadas para abordarlas.

Declaración UE de Conformidad

Una declaración formal de que el producto cumple con todos los requisitos CRA aplicables, firmada por un representante autorizado.

Documentación de Usuario

Instrucciones para instalación, operación y mantenimiento seguros. Debe incluir información sobre el período de soporte y actualizaciones de seguridad.

Política de Gestión de Vulnerabilidades

Proceso documentado para identificar, rastrear y remediar vulnerabilidades. Debe incluir procedimientos de divulgación coordinada.

Informes de Pruebas

Evidencia de pruebas de seguridad, incluyendo pruebas de penetración, revisiones de código y verificación de requisitos esenciales.

Reporte de Vulnerabilidades a ENISA

A partir de septiembre de 2026, los fabricantes deben notificar a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a su CSIRT nacional sobre vulnerabilidades activamente explotadas, siguiendo plazos estrictos.

No reportar dentro de los plazos requeridos puede resultar en sanciones significativas y daño reputacional.

Dentro de 24 Horas

Alerta Temprana - Notificación inicial de una vulnerabilidad activamente explotada o incidente grave. Información básica sobre la amenaza.

Dentro de 72 Horas

Informe Detallado - Detalles técnicos, productos afectados, evaluación de gravedad y pasos iniciales de remediación.

Dentro de 14 Días

Informe Final (Vulnerabilidades) - Análisis completo, causa raíz, remediación completa y lecciones aprendidas.

Dentro de 1 Mes

Informe Final (Incidentes) - Para incidentes de seguridad graves, se requiere un informe final dentro de un mes.

Cómo Ayuda CRA Evidence

El CRA se aplica de forma diferente dependiendo de su rol en la cadena de suministro. CRA Evidence se adapta a cada uno.

Diagrama de la cadena de suministro CRA que muestra los roles de fabricante, importador y distribuidor

Las obligaciones CRA varían según el rol en la cadena de suministro

Fabricantes

El artículo 13 impone las mayores obligaciones: SBOM, gestión de vulnerabilidades, actualizaciones de seguridad y documentación técnica.

Validación de SBOM (TR-03183)
Monitoreo de vulnerabilidades
Exportación de archivo técnico
Declaración de Conformidad

Importadores

El artículo 19 le hace responsable de verificar el cumplimiento del fabricante antes de vender en la UE.

Listas de verificación
Seguimiento de fabricantes
Almacenamiento de evidencias
Rastro de auditoría

Distribuidores

Las obligaciones del Artículo 20 son más ligeras: verificar marcado CE y gestionar correctamente los productos no conformes.

Listas de diligencia debida
Seguimiento de proveedores
Verificación CE
Escalada de incidentes

Empieza a prepararte ahora

Diciembre de 2027 está más cerca de lo que parece. Prepare sus productos y documentación.

Iniciar Prueba Gratuita de 14 Días Ver funcionalidades

Vea cómo CRA Evidence ayuda con el cumplimiento Lea los últimos artículos sobre cumplimiento CRA