¿Qué es un producto con elementos digitales según el Reglamento de Ciberresiliencia (CRA)?

Un producto con elementos digitales es hardware o software introducido en el mercado de la UE cuyo uso previsto o razonablemente previsible incluye una conexión de datos directa o indirecta a otro dispositivo o red. Tres criterios lo deciden: la forma del producto, la introducción en el mercado en el marco de una actividad comercial y la conexión. La conexión es el criterio que más equipos subestiman. Esta página recorre cada criterio, los casos específicos de la nube y los sectores que quedan fuera del ámbito del CRA.

Resumen

  • El ámbito se basa en la conexión. El hardware o software introducido en el mercado de la UE está dentro del ámbito cuando su uso previsto o razonablemente previsible incluye una conexión de datos a otro dispositivo o red.
  • El Reglamento enumera cuatro formas. Productos de software, productos de hardware, componentes introducidos en el mercado por separado y soluciones de tratamiento de datos a distancia suministradas por el fabricante.
  • Se aplican tres tipos de conexión. Lógica, física e indirecta. La cláusula de conexión indirecta es la más amplia y alcanza cualquier producto que contacta una red a través de un sistema mayor.
  • Algunos sectores están excluidos. Productos sanitarios, vehículos de motor, productos de aviación civil certificados, equipos marinos, piezas de recambio y productos de seguridad nacional o defensa quedan fuera; en ¿A quién se aplica el CRA? se indica el reglamento rector de cada sector.
Conexión
La prueba de ámbito
Directa o indirecta, a un dispositivo o red
4
Formas dentro del ámbito
Software, hardware, componente, tratamiento de datos a distancia
3
Tipos de conexión
Lógica, física, indirecta
6+
Sectores excluidos
Sanitario, motor, aviación, marino, defensa, repuestos

El ámbito del CRA en cuatro cifras: la prueba que incluye un producto, las formas que reconoce, las tres maneras en que cuenta una conexión y los sectores que quedan fuera.

¿Qué cuenta como producto con elementos digitales?

Hay tres preguntas que plantearse. El producto entra en el ámbito del CRA solo si las tres respuestas son afirmativas.

  1. ¿Es un producto de software, un producto de hardware, un componente introducido en el mercado por separado o una solución de tratamiento de datos a distancia? Estas son las cuatro formas cubiertas, detalladas en la siguiente sección.
  2. ¿Se introducirá en el mercado de la UE en el marco de una actividad comercial? Tanto el suministro de pago como el gratuito cuentan siempre que la actividad sea comercial.
  3. ¿Su uso previsto o razonablemente previsible incluye una conexión de datos directa o indirecta a otro dispositivo o red? Los tipos de conexión se abordan en la prueba de conexión de datos más abajo.

En términos simples, la definición cubre productos de software, productos de hardware, componentes de software o hardware comercializados por separado y los servicios de tratamiento remoto que el fabricante suministra como parte del producto.

El CRA es el Reglamento (UE) 2024/2847. Para el contexto más amplio (qué cubre el Reglamento, las fechas clave y las sanciones), consulta Qué es la Ley de Ciberresiliencia.

Formas de un producto con elementos digitales

El Reglamento reconoce cuatro formas. Cualquiera de ellas puede aplicarse a tu producto.

  • Producto de software. Sistemas operativos, cortafuegos, gestores de contraseñas, suites antivirus, navegadores, extensiones de navegador, aplicaciones móviles descargables y bibliotecas de desarrollo comercializadas.
  • Producto de hardware. Routers, sensores IoT, cámaras inteligentes, PLC industriales, dispositivos domóticos y rastreadores de actividad física. Todo lo que se comunica por Wi-Fi, Bluetooth, Ethernet, red móvil o un bus de campo industrial.
  • Componente introducido en el mercado por separado. Software o hardware suministrado por cuenta propia para su integración en otro sistema. El firmware vendido como producto independiente, las bibliotecas de software suministradas a fabricantes OEM y los módulos embebidos cumplen los requisitos.
  • Solución de tratamiento de datos a distancia. Servicios en la nube o remotos que el fabricante diseña y proporciona como parte del producto, cuya ausencia impediría al producto realizar una de sus funciones. El ejemplo canónico es la nube de un fabricante de dispositivos domóticos que permite a los usuarios controlar el dispositivo a distancia. Un SaaS puro en la nube sin un producto vinculado queda generalmente fuera del Reglamento; SaaS, PaaS e IaaS como tales se rigen por la Directiva (UE) 2022/2555 (NIS2).

La prueba determinante es la conexión de datos, no la forma del producto.

La prueba de conexión de datos

Cualquiera de los tres tipos de conexión basta para incluir un producto en el ámbito, siempre que el uso previsto o razonablemente previsible del producto incluya esa conexión.

Tipo de conexión Significado práctico Ejemplo real
Lógica Vía de datos virtual a través de una interfaz de software Una llamada REST API entre un microservicio y un backend
Física Enlace a través de interfaces eléctricas, ópticas o mecánicas, cables u ondas de radio Cable Ethernet, emparejamiento Bluetooth, bus industrial RS-485
Indirecta Conexión que alcanza un dispositivo o red a través de un sistema mayor que sí es directamente conectable Sensor que solo llega a internet a través de un hub local

La cláusula de conexión indirecta es la más subestimada. Un sensor que solo dialoga con una pasarela local está dentro del ámbito si la pasarela alcanza internet, aunque el propio sensor no tenga pila IP.

Cuándo un servicio en la nube entra dentro del CRA

Un componente de nube o SaaS se sitúa dentro del ámbito de conformidad CRA del producto solo cuando se dan las tres condiciones siguientes. La guía borrador de la Comisión Europea de marzo de 2026 (Comunicación Ares(2026)2319816) acompaña a los fabricantes paso a paso por estas condiciones.

  1. ¿La solución trata datos a distancia? Si el servicio en la nube no trata datos de forma remota, no es una solución de tratamiento de datos a distancia.
  2. ¿El producto dejaría de realizar una de sus funciones sin esta solución? Un backend opcional o meramente enriquecedor no incluye la nube en el ámbito; la ausencia del servicio tiene que impedir al producto entregar una función que anuncia.
  3. ¿La solución está diseñada por el fabricante o bajo su responsabilidad? Un SaaS de tercero estándar que el producto utiliza de forma circunstancial no es una solución de tratamiento de datos a distancia. Un servicio a medida desarrollado bajo la responsabilidad del fabricante sí puede serlo.

Cualquier "no" a una de estas condiciones saca al componente de la nube del ámbito de la solución de tratamiento de datos a distancia.

Quedar fuera del ámbito de la solución de tratamiento de datos a distancia no significa quedar libre de obligaciones. Aunque un servicio en la nube no se considere una solución de tratamiento de datos a distancia, el fabricante conserva obligaciones de diligencia sobre componentes cuando el servicio está integrado en el producto. La obligación de seguridad pasa de la evaluación de la conformidad a la gestión de componentes; no desaparece.

La Comisión ilustra la prueba con cinco escenarios concretos: una aplicación bancaria, un termostato inteligente, un e-reader, un robot industrial y un dispositivo de red móvil. La guía sigue en fase de borrador pendiente de finalización en todas las versiones lingüísticas de la UE. También trata como ejemplos útiles de frontera una aplicación móvil con backend del fabricante y una nube domótica.

Qué NO es un producto con elementos digitales

Dos pruebas de umbral sitúan un producto fuera del CRA antes de que se aplique la cuestión sectorial:

  • Productos sin software, sin firmware y sin conexión de datos. Un dispositivo puramente mecánico sin electrónica queda fuera en la prueba de entrada. Un termostato analógico sencillo, un cable pasivo o una herramienta manual no electrónica no quedan alcanzados.
  • Servicios puros solo en la nube sin un producto vinculado. Un SaaS, PaaS o IaaS independiente que no sea la solución de tratamiento de datos a distancia de un producto queda fuera del CRA; estos modelos de servicio en la nube se rigen por la Directiva (UE) 2022/2555 (NIS2). Los sitios web que no dan soporte a la funcionalidad de un producto con elementos digitales también quedan fuera del CRA. El Reglamento alcanza un servicio en la nube solo cuando el fabricante lo suministra como parte de un producto y la ausencia del servicio impediría el funcionamiento del producto.

Preguntas frecuentes

¿Mi dispositivo solo con Bluetooth está dentro del ámbito del CRA?

Sí. Bluetooth es una conexión física mediante ondas de radio, y un dispositivo que puede emparejarse con un teléfono, un hub u otro host Bluetooth satisface la prueba de ámbito. Aunque el dispositivo nunca alcance internet de forma directa, la cláusula de conexión indirecta lo incluye en el ámbito en cuanto el host emparejado alcanza una red.

¿El SaaS, PaaS o IaaS están dentro del ámbito del CRA?

Por regla general, no. Software as a Service, Platform as a Service e Infrastructure as a Service se rigen por la Directiva (UE) 2022/2555 (NIS2), no por el CRA. Un servicio en la nube entra dentro del CRA solo cuando está diseñado y proporcionado por el fabricante de un producto con elementos digitales y la ausencia del servicio impediría al producto realizar una de sus funciones. El ejemplo canónico dentro del ámbito es la nube de un fabricante de dispositivos domóticos que permite a los usuarios controlar el dispositivo a distancia.

¿Está dentro del ámbito del CRA la API de backend de nuestra aplicación móvil?

Sí, si el fabricante de la aplicación diseña y desarrolla el backend y la aplicación lo necesita para funcionar. Una aplicación móvil que necesita acceder a una API o base de datos proporcionada por el servicio del fabricante incluye ese servicio en el ámbito del CRA como solución de tratamiento de datos a distancia.

¿El firmware incluido en nuestro propio hardware cuenta como componente independiente?

No, a menos que también se comercialice el firmware por separado. El firmware incluido en un producto de hardware que se vende forma parte de ese producto, no es un componente autónomo. Si también se vende el firmware por cuenta propia, por ejemplo como paquete de actualización, SDK para OEM o descarga independiente, la versión vendida por separado puede quedar de forma independiente dentro del ámbito.

¿Una aplicación móvil descargable es un producto con elementos digitales?

Sí, cuando se suministra en el marco de una actividad comercial. Una aplicación móvil distribuida a través de una tienda de aplicaciones o como descarga es un producto de software comercializado en el mercado. Las aplicaciones de pago y las gratuitas de carácter comercial están ambas dentro del ámbito. El hecho de que una tienda de aplicaciones distribuya la aplicación no traslada la responsabilidad CRA a la tienda; el fabricante es la entidad que comercializa la aplicación bajo su propio nombre o marca. El producto también debe cumplir la prueba de conexión, que la mayoría de las aplicaciones satisfacen a través de su uso previsto en red o mediante API de dispositivo.

Por dónde empezar

  1. Usa el verificador gratuito de aplicabilidad CRA para un recorrido interactivo, o confirma la prueba de conexión de forma manual: cualquier vía lógica, física o indirecta a un dispositivo o red cuenta.
  2. Confirma que no se aplica ninguna exclusión sectorial. La comprobación completa del ámbito se detalla paso a paso en ¿A quién se aplica el CRA?.
  3. Identifica tu rol: fabricante, importador, distribuidor o representante autorizado.
  4. Clasifica el producto como por defecto, importante o crítico con ayuda de Clasificación de productos.
  5. Elige la vía de evaluación de la conformidad una vez establecido el nivel.
  6. Vuelve al hub de cumplimiento CRA y construye los cuatro artefactos CRA: SBOM, expediente técnico, proceso de gestión de vulnerabilidades y la declaración UE de conformidad.