Qué es el CRA: Ley de Ciberresiliencia (UE) 2024/2847

Publicado 6 de mayo de 2026 Actualizado 15 de junio de 2026

La Ley de Ciberresiliencia (CRA) es la primera norma europea de ciberseguridad para productos. A partir del 11 de diciembre de 2027, todo lo que se venda en la UE que ejecute software o lleve un chip deberá comercializarse con seguridad incorporada por diseño, un SBOM, una declaración UE de conformidad y un proceso de gestión de vulnerabilidades operativo durante todo el período de soporte. Esta página explica qué exige la norma, cuándo aprieta y qué ocurre si se ignora.

Resumen

  • La CRA está en vigor, pero hay tiempo. El Reglamento (UE) 2024/2847 entró en vigor el 10 de diciembre de 2024 y se aplica en su totalidad desde el 11 de diciembre de 2027.
  • La notificación arranca 15 meses antes. Desde el 11 de septiembre de 2026, los fabricantes deben notificar incidentes graves y vulnerabilidades aprovechadas activamente a ENISA y a su CSIRT.
  • El cumplimiento produce cuatro artefactos. Un SBOM, una declaración UE de conformidad, una documentación técnica y un proceso documentado de gestión de vulnerabilidades. Ese conjunto es lo que significa "estar listo para la CRA".
  • Las multas son reales. Hasta 15 000 000 EUR o el 2,5% de la facturación mundial anual total, el importe que sea mayor, para las infracciones más graves.
  • No es el RGPD ni la NIS2. La CRA regula la ciberseguridad del producto en sí, no los datos personales ni la seguridad operativa de las entidades esenciales.
  • Sus obligaciones dependen de su rol y de la clase de producto. Fabricante, importador, distribuidor o administrador de software de código abierto; por defecto, importante de clase I o II, o crítico. La página ¿A quién se aplica el CRA? lo ordena paso a paso.
11 dic 2027
Aplicación plena
Reglamento 2024/2847
11 sep 2026
Comienza la notificación
Incidentes graves y vulnerabilidades explotadas
€15M / 2,5%
Multa del tramo superior
El importe que sea mayor
5a
Período de soporte mínimo
Salvo uso previsto más corto

Las cuatro cifras que definen la CRA: cuándo se aplica, cuándo arranca la notificación, la multa máxima y el período de soporte mínimo para las actualizaciones de seguridad.

Qué regula la Ley de Ciberresiliencia

La CRA es el Reglamento (UE) 2024/2847. Introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales introducidos en el mercado de la UE y se aplica tanto al hardware como al software. Los fabricantes deben demostrar que sus productos están diseñados y construidos de forma segura, comercializarlos con un SBOM y una declaración UE de conformidad, y operar un proceso de gestión de vulnerabilidades durante todo el período de soporte.

La CRA es también horizontal. Atraviesa categorías de producto en lugar de quedar dentro de un único sector. Cuando un producto ya está cubierto por un régimen sectorial específico de ciberseguridad (productos sanitarios, vehículos de motor, aviación civil, equipos marinos o defensa), la CRA acota el solapamiento para que el mismo producto no quede regulado dos veces por el mismo riesgo.

En la práctica, la CRA hace cuatro cosas:

  • Normas para la introducción en el mercado de la UE de productos con elementos digitales
  • Requisitos esenciales de ciberseguridad para el diseño, el desarrollo y la producción
  • Gestión de vulnerabilidades durante todo el período de soporte del producto
  • Vigilancia del mercado y ejecución de las normas

Cuándo se aplica la CRA: las fechas clave

Calendario de implantación del CRA 2024–2027 Reglamento de Ciberresiliencia: obligaciones de fabricantes e hitos del ecosistema
10 Dic 2024 El CRA entra en vigor
11 Jun 2026 Notificación de ON (Estado miembro)
11 Sep 2026 Comienza la notificación de vulnerabilidades empieza el 11/09/2026
!
11 Dic 2027 Cumplimiento pleno obligatorio
Normas armonizadas (serie EN 40000): ninguna citada aún en el DOUE (previsto no antes del Q4 2026)
En consulta pública / resolución de comentarios
T4 2026 Primera cita en el DOUE (verticales: probable 2027)
  • Hito pasado
  • Aplicación próxima
  • Fecha límite final
  • Hito del ecosistema
Hitos de implementación de la Ley de Ciberresiliencia. El Reglamento entró en vigor el 10 de diciembre de 2024; la notificación de incidentes y vulnerabilidades se aplica desde el 11 de septiembre de 2026; el régimen completo se aplica desde el 11 de diciembre de 2027.
Fecha Qué se aplica
10 de diciembre de 2024 El Reglamento entra en vigor, 20 días tras su publicación en el Diario Oficial de la UE
11 de junio de 2026 Empiezan a aplicarse las normas sobre notificación de organismos de evaluación de la conformidad
11 de septiembre de 2026 Comienza la notificación. Los fabricantes deben notificar incidentes graves y vulnerabilidades aprovechadas activamente, también para productos ya en el mercado
11 de diciembre de 2027 El Reglamento se aplica en su totalidad a cualquier producto con elementos digitales introducido en el mercado de la UE

Los productos introducidos en el mercado de la UE antes del 11 de diciembre de 2027 no quedan sujetos al Reglamento en su totalidad salvo que, a partir de esa fecha, sean objeto de una modificación sustancial. El deber de notificación, en cambio, se aplica a todos los productos comprendidos en el ámbito que estén en el mercado desde el 11 de septiembre de 2026, con independencia de cuándo se introdujeron.

Qué aspecto tiene el cumplimiento de la CRA

Cuatro artefactos juntos dejan un producto listo para el CRA. Cuáles le corresponden depende de su rol y de la clase de evaluación de la conformidad del producto; consulte Quién debe cumplir con el CRA.

Artefacto Respuesta en lenguaje claro
SBOM Una lista de lo que contiene su producto, en CycloneDX o SPDX, mantenida al día durante el período de soporte.
Declaración UE de conformidad Su declaración firmada de que «este producto cumple con las normas», indicando la vía de conformidad utilizada. Una por producto, conservada durante al menos diez años, o el periodo de soporte si fuera mayor.
Documentación técnica La carpeta de evidencias detrás de la declaración: evaluación del riesgo, información de diseño y desarrollo, proceso de gestión de vulnerabilidades y prueba de la evaluación de la conformidad.
Proceso de gestión de vulnerabilidades Cómo encuentra, corrige y publica actualizaciones de seguridad durante todo el período de soporte: política de divulgación, triaje, remediación y parches gratuitos.

Sanciones y aplicación de la CRA

Las multas se reparten en tres tramos. Para las empresas, se aplica el importe basado en porcentaje de facturación si supera el tope fijo en EUR.

Tramo Infracción que lo activa Multa máxima
Tramo 1 Incumplimiento de los requisitos esenciales de ciberseguridad, o de las obligaciones de fabricante y notificación 15 000 000 EUR o 2,5% de la facturación mundial anual total del ejercicio anterior, el importe que sea mayor
Tramo 2 Incumplimiento de otros deberes de operadores y conformidad: comprobaciones de importadores y distribuidores, obligaciones de marcado CE y documentación, cooperación con autoridades y reglas para organismos notificados 10 000 000 EUR o 2% de la facturación mundial anual total, el importe que sea mayor
Tramo 3 Suministrar a los organismos notificados y a las autoridades de vigilancia del mercado información incorrecta, incompleta o engañosa 5 000 000 EUR o 1% de la facturación mundial anual total, el importe que sea mayor

Al fijar la multa, las autoridades de vigilancia del mercado deben considerar la naturaleza, gravedad y duración de la infracción, las reincidencias y el tamaño del operador, incluido si es una microempresa, una pyme o una start-up. Los administradores de software de código abierto están exentos de las multas del tramo 2 y del tramo 3. Además de las multas, las autoridades de vigilancia del mercado también pueden ordenar medidas correctoras, restringir las ventas, retirar productos no conformes y prohibir su comercialización en el mercado de la UE.

Para la explicación completa de los tramos, la recuperación de productos y las pruebas que puede pedir una autoridad, consulta sanciones y aplicación del CRA.

Lo que la CRA no es

La CRA convive con varias otras normas de la UE que también tocan la ciberseguridad. Tres confusiones habituales:

  • La CRA no es el RGPD. El RGPD (Reglamento 2016/679) protege los datos personales. La CRA protege la ciberseguridad del producto. Un producto puede ser relevante a efectos del RGPD, a efectos de la CRA, de ambos o de ninguno.
  • La CRA no es la NIS2. La NIS2 (Directiva 2022/2555) regula la ciberseguridad operativa de las entidades esenciales e importantes. La CRA regula la ciberseguridad del diseño y del ciclo de vida de los productos que esas entidades compran y utilizan.
  • La CRA no sustituye a las normas sectoriales. Productos sanitarios (MDR, IVDR), vehículos de motor (Reg. 2019/2144), aviación (Reg. 2018/1139) y equipos marinos (Dir. 2014/90/UE) conservan sus regímenes de ciberseguridad; la CRA los acota. El Reglamento de Máquinas 2023/1230 y la Directiva sobre equipos radioeléctricos se solapan con la CRA en aspectos concretos explicados en la guía del solapamiento entre la CRA y el Reglamento de Máquinas.

Preguntas frecuentes

¿Cuándo se aplica realmente la CRA a mi producto?

Depende de cuándo se introduzca el producto en el mercado de la UE. El Reglamento se aplica en su totalidad a cualquier producto con elementos digitales introducido en el mercado a partir del 11 de diciembre de 2027. Los productos introducidos antes de esa fecha no entran retroactivamente en el ámbito salvo que sean objeto de una modificación sustancial posterior al 11 de diciembre de 2027, en cuyo caso se tratan como un producto nuevo.

¿Qué cambia el 11 de septiembre de 2026, antes de que se aplique el régimen completo?

Arranca la notificación. Desde esa fecha, los fabricantes de productos comprendidos en el ámbito deben notificar incidentes graves y vulnerabilidades aprovechadas activamente a ENISA y al CSIRT competente, incluso para productos ya en el mercado. El resto del Reglamento todavía no se aplica, pero el deber de notificación sí.

¿Es la CRA lo mismo que el RGPD o la NIS2?

No. El RGPD protege los datos personales. La NIS2 regula la seguridad operativa de las entidades esenciales e importantes (operadores de energía, hospitales, proveedores de nube, etcétera). La CRA regula la ciberseguridad del producto en sí: cómo se diseña, con qué vulnerabilidades se comercializa y cómo el fabricante gestiona las vulnerabilidades a lo largo del período de soporte. Una misma empresa puede estar sujeta a las tres a la vez, pero las obligaciones recaen sobre objetos distintos: datos, organizaciones y productos.

¿Se aplica la CRA al software libre y de código abierto?

Solo cuando se suministra en el marco de una actividad comercial. Los proyectos de código abierto puramente no comerciales quedan fuera del ámbito. Cuando un proyecto se monetiza (soporte de pago, distribución comercial, integrado en un producto introducido en el mercado), la CRA se aplica. Existe un régimen más ligero para los administradores de software de código abierto (fundaciones y entidades similares que mantienen proyectos de código abierto de forma sostenida), que conlleva algunos deberes de gobernanza pero no las obligaciones plenas del fabricante y queda exento de las multas del tramo 2 y del tramo 3.

¿Qué ocurre con los productos ya presentes en el mercado el 11 de diciembre de 2027?

Conservan su acceso al mercado existente y no se ven retroactivamente forzados a pasar por la evaluación de la conformidad de la CRA. Un producto preexistente solo queda sujeto al Reglamento en su totalidad si, después del 11 de diciembre de 2027, es objeto de una modificación sustancial, en cuyo caso se trata como un producto nuevo introducido en el mercado. El deber de notificación sí se aplica a esos productos heredados desde el 11 de septiembre de 2026, y las actualizaciones de seguridad debidas en virtud de cualquier compromiso de soporte existente continúan.

¿Quién aplica la CRA y de dónde proceden las multas?

Cada Estado miembro designa una o varias autoridades de vigilancia del mercado, coordinadas a través del Grupo de Cooperación Administrativa (ADCO) y con el apoyo de ENISA. Las autoridades pueden solicitar la documentación técnica, exigir medidas correctoras, restringir o recuperar productos no conformes e imponer multas. La Comisión puede actuar respecto de productos con impacto en toda la UE. ENISA opera la plataforma única de notificación para los incidentes graves y las vulnerabilidades explotadas.

Por dónde empezar

  1. Realice la prueba de aplicabilidad: lea Quién debe cumplir con la Ley de Ciberresiliencia para la prueba de ámbito y las definiciones de rol para fabricante, importador y distribuidor.
  2. Identifique su rol y la clase de producto. Los fabricantes asumen la mayor carga; los importadores y distribuidores asumen deberes de verificación; los administradores de software de código abierto tienen un régimen más ligero.
  3. Construya los cuatro artefactos en este orden: SBOM, documentación técnica, proceso de gestión de vulnerabilidades, declaración UE de conformidad.
  4. Elija la vía de evaluación de la conformidad según si su producto es por defecto, importante de clase I o II, o crítico, y si se requieren normas armonizadas o un organismo notificado.
  5. Vuelva al hub de cumplimiento de la CRA y trabaje las cuatro tarjetas: SBOM, conformidad y documentación, gestión y notificación de vulnerabilidades, y período de soporte.