Las normas armonizadas son las especificaciones técnicas que convierten los amplios requisitos del Anexo I del Reglamento de Ciberresiliencia en disposiciones concretas y verificables. Esta página explica qué son y hace el seguimiento de cada borrador bajo el mandato de normalización M/606 de la Comisión Europea: la categoría de producto, el organismo que lo redacta, su estado actual y un enlace a cada borrador público.
Resumen
- Todavía no hay ninguna norma armonizada del CRA publicada en el Diario Oficial (a 4 de junio de 2026), por lo que la presunción de conformidad del Artículo 27 no está disponible para ninguna categoría de producto.
- Los borradores de producto de ETSI y las primeras normas de CEN son los que más han avanzado. Los borradores EN 304 6xx ya se pueden leer públicamente, y varias normas de CEN (el vocabulario horizontal EN 40000, las partes de principios y de gestión de vulnerabilidades, y las normas de elemento seguro EN 50764/50765/50766 y prEN 18330) han cerrado su consulta pública y están en fase de aprobación.
- El resto va más atrasado: los perfiles OT de EN 50770, la parte de requisitos genéricos de seguridad de EN 40000, EN 50767, y los trabajos sin numerar de CEN/TC 224 sobre identidad y hardware crítico siguen en fase previa a la consulta.
- No necesitas esperar. Lee el borrador que te corresponde para anticipar los requisitos y construir la evidencia del Anexo I que el CRA exige, sea cual sea la norma que aplique.
Qué es una norma armonizada
El Reglamento de Ciberresiliencia fija sus requisitos esenciales de ciberseguridad en términos jurídicos amplios. Una norma armonizada es una especificación técnica, redactada por un organismo europeo de normalización a petición de la Comisión Europea, que convierte esos requisitos en disposiciones concretas y verificables. Algunas normas son específicas de un tipo de producto (por ejemplo, routers o software antivirus); otras son horizontales y se aplican a varias categorías.
Una norma armonizada solo tiene efecto jurídico una vez que la Comisión publica su referencia en el Diario Oficial de la Unión Europea (DOUE). A partir de ese momento, un producto conforme con la norma se presume que cumple los requisitos que esa norma regula. En la práctica, esto hace dos cosas:
- da a los fabricantes una forma reconocida y auditable de demostrar la conformidad; y
- para los productos importantes de clase I, aplicar una norma armonizada publicada permite al fabricante autoevaluarse mediante control interno en lugar de recurrir a un organismo notificado. No elimina la evaluación por terceros que necesitan los productos de clase II y los críticos, y los productos ordinarios fuera de esos niveles ya pueden autoevaluarse por su cuenta.
Estado, a 4 de junio de 2026: todavía no se ha aprobado ninguna norma armonizada del CRA ni se ha publicado su referencia en el Diario Oficial. Todas las normas de las tablas siguientes siguen siendo borradores, por lo que la presunción de conformidad no está disponible para ninguna categoría de producto. La aprobación (ratificación como EN) y la cita en el Diario Oficial, que es independiente, son dos hitos posteriores, y nada ha alcanzado ninguno de los dos; se espera que las primeras normas se entreguen en el segundo semestre de 2026, y la cita llegará después. Usa los borradores para anticipar los requisitos, no como base acabada para la conformidad.
Cómo se están desarrollando las normas
La Comisión pidió a los dos organismos europeos de normalización que redactaran estas normas mediante el mandato de normalización M/606:
- ETSI (comité técnico CYBER, CYBER-EUSR) está redactando las normas para la mayoría de las categorías de software importante y de productos conectados. Estas llevan referencias EN 304 6xx y son las que más han avanzado; sus borradores son públicos en la carpeta de consulta abierta ETSI CYBER-EUSR, con el historial de proyecto en los repositorios ETSI Labs STAN4CRA, y se enlazan individualmente más abajo.
- CEN y CENELEC están redactando las normas horizontales (la serie EN 40000), los perfiles de tecnología operativa (serie EN 50770), las normas de semiconductores (EN 5076x) y los trabajos sobre identidad y elemento seguro de CEN/TC 224. Estas no tienen una única carpeta pública; su estado se sigue a través de la matriz de proyectos de normalización CRA de DIN/DKE, la búsqueda de normas de CEN/CENELEC y los trabajos técnicos de STAN4CRA.
Un borrador pasa por versiones del grupo de trabajo y una consulta pública CEN (en el caso de ETSI, una consulta abierta y una votación de aprobación), y después se ratifica como EN. CEN-CENELEC puede saltarse una votación formal independiente y publicar directamente tras una consulta favorable. La ratificación tampoco es la meta: la Comisión debe luego citar la referencia en el Diario Oficial, y solo esa cita activa la presunción de conformidad. A junio de 2026, varios borradores de CEN han cerrado su consulta pública (el vocabulario EN 40000, las partes de principios y de gestión de vulnerabilidades, y las normas de elemento seguro) y la EN 304 627 de ETSI está en borrador final; ninguna está ratificada ni citada. Se espera que las primeras normas se entreguen en el segundo semestre de 2026, y la cita en el Diario Oficial llegará después, en un calendario que la Comisión aún no ha confirmado.
Cómo leer el estado
| Estado | Significado |
|---|---|
| En desarrollo | Trabajo en curso; en nuestras fuentes no consta ningún borrador público. |
| Borrador avanzado | Hay un borrador avanzado público disponible (enlazado en la tabla). |
| Borrador final | Hay un borrador final disponible, próximo a la votación formal. |
| Consulta cerrada | El borrador ha pasado por su consulta pública CEN (una ronda de comentarios y voto) y se está finalizando para su aprobación. El texto no es gratuito: una copia del borrador suele poder comprarse a un organismo nacional de normalización como DIN, pero no hay PDF público gratuito, por lo que estas filas muestran «n/a» en el borrador. |
| Aprobada (EN ratificada) | Adoptada como EN por CEN-CENELEC o ETSI, pero todavía no citada en el Diario Oficial, así que aún sin presunción de conformidad. |
| Publicada en el DOUE | Referencia en el Diario Oficial; se aplica la presunción de conformidad. |
Las tablas siguientes se agrupan por nivel de conformidad del CRA. Las normas horizontales se aplican a todos los productos; las normas específicas de producto se dividen en Importante de clase I, Importante de clase II y Crítico, porque el nivel decide la ruta de conformidad. La referencia de la norma indica quién la redacta: EN 304 6xx = ETSI; EN 40000 = CEN-CLC/JTC 13; EN 50770 = perfiles de tecnología operativa de CLC/TC 65X que acompañan a las normas de ETSI para las mismas funciones; EN 5076x = CLC/TC 47X; EN 18330 = CEN/TC 224.
Ninguna norma ha alcanzado «Aprobada (EN ratificada)» ni «Publicada en el DOUE». El estado refleja la evidencia pública más reciente en la fecha indicada al inicio de esta página.
Normas horizontales
La serie EN 40000, redactada por CEN-CLC/JTC 13, se aplica a todos los productos con elementos digitales, además de cualquier norma específica de producto de las secciones siguientes.
| M/606 | Norma | Tema | Estado |
|---|---|---|---|
| n/a | EN 40000-1-1 | Vocabulario y terminología | Consulta cerrada |
| 1 | EN 40000-1-2 | Principios de ciberresiliencia | Consulta cerrada |
| 2-14 | EN 40000-1-4 | Requisitos genéricos de seguridad | En desarrollo |
| 15 | EN 40000-1-3 | Gestión de vulnerabilidades | Consulta cerrada |
Productos importantes: clase I
Cubren las categorías de clase I del Anexo III. Aplicar una norma armonizada publicada permite a un fabricante de clase I autoevaluarse mediante control interno; sin ella, la conformidad debe demostrarse de otra forma.
| M/606 | Norma | Categoría de producto | Estado | Último borrador público |
|---|---|---|---|---|
| 16 | Referencia aún no asignada | Gestión de identidades, gestión de acceso privilegiado, lectores de autenticación | En desarrollo | n/a |
| 17a/b | EN 304 617 | Navegadores embebidos y autónomos | Borrador avanzado | V0.1.1 · Apr 2026 |
| 18 | EN 304 618 | Gestores de contraseñas | En desarrollo | Aún no público |
| 19 | EN 304 619 | Antivirus / antimalware | Borrador avanzado | V0.0.26 · Apr 2026 |
| 20a | EN 304 620 | Redes privadas virtuales (VPN) | Borrador avanzado | V0.1.9 · Apr 2026 |
| 20b | prEN 50770-4 | VPN OT | En desarrollo | n/a |
| 21a | EN 304 621 | Sistemas de gestión de red | Borrador avanzado | V0.1.3 · Apr 2026 |
| 21b | prEN 50770-2 | Sistemas de gestión de red OT | En desarrollo | n/a |
| 22a | EN 304 622 | SIEM | En desarrollo | Aún no público |
| 22b | prEN 50770-6 | SIEM OT | En desarrollo | n/a |
| 23 | EN 304 623 | Gestores de arranque | Borrador avanzado | V0.1.1 · May 2026 |
| 24 | EN 304 624 | Software de PKI / emisión de certificados | En desarrollo | Aún no público |
| 25a | EN 304 625 | Interfaces de red físicas y virtuales | Borrador avanzado | V0.0.14 · Apr 2026 |
| 25b | prEN 50770-3 | Interfaces de red físicas y virtuales OT | En desarrollo | n/a |
| 26 | EN 304 626 | Sistemas operativos | Borrador avanzado | V0.2.0 · Apr 2026 |
| 27a | EN 304 627 | Routers, módems, switches | Borrador final | V1.0.0 · Jun 2026 |
| 27b | prEN 50770-5 | Routers, módems, switches OT | En desarrollo | n/a |
| 28-29 | EN 50765 | Microprocesadores y microcontroladores con funciones de seguridad | Consulta cerrada | n/a |
| 30 | EN 50767 | ASIC y FPGA con funciones de seguridad | En desarrollo | n/a |
| 31 | EN 304 631 | Asistentes virtuales para el hogar inteligente | Borrador avanzado | V0.2.1.4 · Apr 2026 |
| 32 | EN 304 632 | Productos para el hogar inteligente con funcionalidades de seguridad (p. ej. cámaras de seguridad) | Borrador avanzado | V0.2.1.4 · Apr 2026 |
| 33 | EN 304 633 | Juguetes conectados a internet | Borrador avanzado | V0.2.3.3 · Apr 2026 |
| 34 | EN 304 634 | Wearables personales | Borrador avanzado | V0.2.6 · Apr 2026 |
Productos importantes: clase II
Los productos de clase II siempre necesitan evaluación por terceros (organismo notificado); una norma armonizada no les desbloquea la autoevaluación.
| M/606 | Norma | Categoría de producto | Estado | Último borrador público |
|---|---|---|---|---|
| 35 | EN 304 635 | Hipervisores y sistemas de ejecución de contenedores | Borrador avanzado | V0.0.15 · Apr 2026 |
| 36a | EN 304 636 | Cortafuegos / IDS / IPS | Borrador avanzado | V0.1.0 · Apr 2026 |
| 36b | prEN 50770-1 | Cortafuegos / IDS / IPS OT | En desarrollo | n/a |
| 37-38 | EN 50766 | Microprocesadores y microcontroladores resistentes a la manipulación | Consulta cerrada | n/a |
Productos críticos
Los productos críticos (Anexo IV) deben usar un esquema europeo de certificación de la ciberseguridad cuando se exija, o bien las mismas rutas de terceros que la clase II. Una norma armonizada no elimina ese requisito.
| M/606 | Norma | Categoría de producto | Estado |
|---|---|---|---|
| 39 | Referencia aún no asignada | Dispositivos de equipos informáticos con cajas de seguridad | En desarrollo |
| 40 | Referencia aún no asignada | Pasarelas de contadores inteligentes (CEN-CLC/JTC 13 WG 6) | En desarrollo |
| 41a | EN 50764 | Plataformas de tarjetas inteligentes y elementos seguros | Consulta cerrada |
| 41b | EN 18330 / prEN 18330 | Tarjetas inteligentes y elementos seguros, capa de aplicación | Consulta cerrada |
Preguntas frecuentes
¿Hay ya alguna norma armonizada del CRA en vigor?
No. A 4 de junio de 2026 ninguna norma armonizada del CRA ha sido aprobada (ratificada como EN) ni tiene su referencia publicada en el Diario Oficial, por lo que la presunción de conformidad del Artículo 27 no está disponible para ninguna categoría de producto. Todas las normas que aquí figuran siguen siendo borradores. Los borradores horizontales EN 40000 (consulta pública cerrada) y los borradores EN 304 6xx de ETSI son los que más han avanzado, pero la aprobación y la cita en el Diario Oficial, que es independiente, son pasos posteriores. Se espera que las primeras normas se entreguen en el segundo semestre de 2026, y la cita llegará después, en una fecha que la Comisión aún no ha confirmado.
¿Tengo que esperar a una norma armonizada para cumplir el CRA?
No. Una norma armonizada es una ruta para demostrar la conformidad, no la única. Las obligaciones del CRA se aplican según el calendario del propio Reglamento, exista o no una norma. Puedes cumplir directamente los requisitos esenciales del Anexo I y dejar constancia de cómo lo haces en tu documentación técnica. Una norma publicada simplemente da una forma reconocida y auditable de demostrar la conformidad con los requisitos que regula, y para los productos importantes de clase I abre la ruta de autoevaluación por control interno.
¿Qué me da en realidad la «presunción de conformidad»?
Según el Artículo 27, un producto conforme con una norma armonizada cuya referencia está publicada en el Diario Oficial se presume que cumple los requisitos del Anexo I que esa norma regula. En la práctica te da una base reconocida y defendible para tu declaración de conformidad, y para los productos importantes de clase I te permite autoevaluarte mediante control interno en lugar de recurrir a un organismo notificado. No cambia la evaluación por terceros que exigen los productos de clase II y los críticos según el Artículo 32.
¿Dónde puedo leer los borradores de las normas?
Depende de quién la redacte. Los borradores EN 304 6xx de ETSI se publican gratis en la carpeta de consulta abierta ETSI CYBER-EUSR, enlazados por norma en las tablas anteriores. Los borradores de CEN/CENELEC (EN 40000, EN 50770, EN 5076x y los trabajos de CEN/TC 224) son distintos: no hay carpeta pública gratuita. Puedes ver que un borrador existe y comprar una copia a un organismo nacional de normalización (DIN, NEN, AFNOR, BSI, etc.), pero el texto no se publica gratis, y una vez que se cierra la consulta pública de un borrador también termina el acceso gratuito para comentar. Por eso esas filas muestran «n/a» en el último borrador público.
¿Puedo apoyarme en un borrador avanzado o final antes de su publicación?
Úsalo para anticipar los requisitos, no como base jurídica acabada. Un borrador avanzado o final suele estar cerca del texto definitivo, pero todavía puede cambiar en la votación formal o en la evaluación de la Comisión, y la presunción de conformidad no se aplica hasta que la referencia aparece en el Diario Oficial. Leerlo ahora sigue siendo la forma más rápida de prepararse.
¿Cuál es la diferencia entre las normas EN 304 6xx y las EN 40000?
Las normas EN 304 6xx, redactadas por ETSI, son específicas de producto: cada una se centra en una categoría como navegadores, sistemas operativos o routers. La serie EN 40000, redactada por CEN-CLC/JTC 13, es horizontal: fija principios, requisitos genéricos de seguridad y reglas de gestión de vulnerabilidades que se aplican a varias categorías. Un mismo producto puede necesitar leer tanto una norma horizontal como la de su categoría.
¿Alguna de estas normas cubre productos críticos, no solo importantes?
Sí. La mayoría de las normas en seguimiento cubren productos importantes, pero unas pocas cubren productos críticos: la norma de plataforma de elemento seguro (EN 50764), más los trabajos sobre dispositivos de equipos informáticos con cajas de seguridad, pasarelas de contadores inteligentes y tarjetas inteligentes. Los productos críticos deben usar un esquema europeo de certificación de la ciberseguridad cuando se exija, o bien las mismas rutas de evaluación por terceros que los productos de clase II. La sección de productos críticos los enumera por separado. Una norma armonizada no permite a un producto crítico saltarse esa evaluación como sí puede hacerlo un producto importante de clase I.
¿Cuándo se publicarán las normas en el Diario Oficial?
No hay fecha de publicación confirmada para ninguna norma armonizada del CRA. Los borradores EN 304 6xx de ETSI son los más próximos, varios en fase de borrador avanzado o final, pero cada uno todavía tiene que superar su votación formal y la evaluación de la Comisión antes de que pueda citarse una referencia. Trata la columna de estado de aquí como la situación actual y consulta los seguimientos de los organismos de normalización enlazados arriba para ver movimientos.