La Ley de Ciberresiliencia (CRA) es la primera norma europea de ciberseguridad para productos. A partir del 11 de diciembre de 2027, todo lo que se venda en la UE que ejecute software o lleve un chip deberá comercializarse con seguridad incorporada por diseño, un SBOM, una declaración UE de conformidad y un proceso de gestión de vulnerabilidades operativo durante todo el período de soporte. Esta página explica qué exige la norma, cuándo aprieta y qué ocurre si se ignora.
Resumen
- La CRA está en vigor, pero hay tiempo. El Reglamento (UE) 2024/2847 entró en vigor el 10 de diciembre de 2024 y se aplica en su totalidad desde el 11 de diciembre de 2027 (artículo 71, apartado 2).
- La notificación arranca 15 meses antes. Desde el 11 de septiembre de 2026, los fabricantes deben notificar incidentes graves y vulnerabilidades activamente explotadas a ENISA y a su CSIRT (artículo 14).
- El cumplimiento produce cuatro artefactos. Un SBOM, una declaración UE de conformidad, un expediente técnico del anexo VII y un proceso documentado de gestión de vulnerabilidades. Ese conjunto es lo que significa "estar listo para la CRA".
- Las multas son reales. Hasta 15 000 000 EUR o el 2,5% de la facturación mundial anual total, el importe que sea mayor, para las infracciones más graves (artículo 64, apartado 2).
- No es el RGPD ni la NIS2. La CRA regula la ciberseguridad del producto en sí, no los datos personales ni la seguridad operativa de las entidades esenciales.
- Sus obligaciones dependen de su rol y de la clase de producto. Fabricante, importador, distribuidor o administrador de software de código abierto; por defecto, importante de clase I o II, o crítico. La página siguiente lo ordena.
Las cuatro cifras que definen la CRA: cuándo se aplica, cuándo arranca la notificación, la multa máxima y el período de soporte mínimo para las actualizaciones de seguridad.
Qué regula la Ley de Ciberresiliencia
La CRA es el Reglamento (UE) 2024/2847. El artículo 1 abarca cuatro ámbitos:
| Lo que cubre la CRA | Dónde reside en el Reglamento |
|---|---|
| Normas para la introducción en el mercado de la UE de productos con elementos digitales | Capítulo I, artículos 1 a 7 |
| Requisitos esenciales de ciberseguridad para el diseño, el desarrollo y la producción | Anexo I, parte I, con las obligaciones del fabricante en el artículo 13 |
| Gestión de vulnerabilidades durante todo el período de soporte del producto | Anexo I, parte II, artículo 13, apartado 8, y artículo 14 |
| Vigilancia del mercado y ejecución de las normas | Capítulo VII, artículos 52 a 66 |
En la práctica, la CRA introduce un régimen de marcado CE para la ciberseguridad. Un producto con elementos digitales (hardware, software o un componente de tratamiento de datos a distancia suministrado por el fabricante) no puede introducirse en el mercado de la UE salvo que el fabricante pueda demostrar que cumple con el anexo I y opere un proceso de gestión de vulnerabilidades durante todo el período de soporte.
La CRA es horizontal: atraviesa categorías de producto en lugar de quedar dentro de un único sector. Cuando un producto ya está cubierto por un régimen sectorial específico de ciberseguridad (productos sanitarios, vehículos de motor, aviación civil, equipos marinos o defensa), el artículo 2 acota el solapamiento para que el mismo producto no quede regulado dos veces por el mismo riesgo.
Cuándo se aplica la CRA: las fechas clave
| Fecha | Qué se aplica | Fuente |
|---|---|---|
| 10 de diciembre de 2024 | Entrada en vigor del Reglamento (vigésimo día tras la publicación en el DOUE) | Artículo 71, apartado 1 |
| 11 de junio de 2026 | Se aplica el capítulo IV (artículos 35 a 51) sobre notificación de organismos de evaluación de la conformidad | Artículo 71, apartado 2 |
| 11 de septiembre de 2026 | Se aplican las obligaciones de notificación del artículo 14 sobre incidentes graves y vulnerabilidades activamente explotadas, también respecto de productos ya en el mercado | Artículos 71, apartado 2, y 69, apartado 3 |
| 11 de diciembre de 2027 | El Reglamento se aplica en su totalidad a todos los productos con elementos digitales introducidos en el mercado de la UE a partir de esa fecha | Artículo 71, apartado 2 |
Los productos introducidos en el mercado de la UE antes del 11 de diciembre de 2027 no quedan sujetos al Reglamento en su totalidad salvo que, a partir de esa fecha, sean objeto de una modificación sustancial (artículo 69, apartado 2). El deber de notificación del artículo 14, en cambio, se aplica a todos los productos comprendidos en el ámbito que estén en el mercado desde el 11 de septiembre de 2026, con independencia de cuándo se introdujeron (artículo 69, apartado 3).
Qué aspecto tiene el cumplimiento de la CRA
Cuatro artefactos juntos dejan un producto listo para el CRA. Cuáles le corresponden depende de su rol y de la clase de evaluación de la conformidad del producto; consulte Quién debe cumplir con el CRA.
| Artefacto | Respuesta en lenguaje claro | Dónde se exige |
|---|---|---|
| SBOM (detalles) | Una lista de lo que contiene su producto, en CycloneDX o SPDX, mantenida al día durante el período de soporte. | Anexo I, parte I |
| Declaración UE de conformidad (detalles) | Su declaración firmada de que «este producto cumple con las normas», indicando la vía de conformidad utilizada. Una por producto, conservada durante diez años. | Artículo 28, anexo V |
| Expediente técnico del anexo VII (detalles) | La carpeta de evidencias detrás de la declaración: evaluación del riesgo, información de diseño y desarrollo, proceso de gestión de vulnerabilidades y prueba de la evaluación de la conformidad. | Anexo VII |
| Proceso de gestión de vulnerabilidades (detalles) | Cómo encuentra, corrige y publica actualizaciones de seguridad durante todo el período de soporte: política de divulgación, triaje, remediación y parches gratuitos. | Anexo I, parte II |
Sanciones conforme al artículo 64
El artículo 64 fija tres tramos de multas. Se aplica el mayor entre el tope absoluto y el porcentaje de la facturación mundial.
| Tramo | Infracción que lo activa | Multa máxima |
|---|---|---|
| Tramo 1 | Incumplimiento de los requisitos esenciales de ciberseguridad del anexo I, o de las obligaciones de los artículos 13 y 14 | 15 000 000 EUR o 2,5% de la facturación mundial anual total del ejercicio anterior, el importe que sea mayor |
| Tramo 2 | Incumplimiento de las obligaciones de los artículos 18 a 23, 28, 30, apartados 1 a 4, 31, apartados 1 a 4, 32, apartados 1 a 3, 33, apartado 5, 39, 41, 47, 49 y 53 | 10 000 000 EUR o 2% de la facturación mundial anual total, el importe que sea mayor |
| Tramo 3 | Suministrar a los organismos notificados y a las autoridades de vigilancia del mercado información incorrecta, incompleta o engañosa | 5 000 000 EUR o 1% de la facturación mundial anual total, el importe que sea mayor |
Las autoridades de vigilancia del mercado tienen en cuenta la naturaleza, gravedad y duración de la infracción, las reincidencias y el tamaño del operador, y aplican menos rigor a microempresas, pequeñas empresas y start-ups (artículo 64, apartados 5 y 10). Los administradores de software de código abierto están exentos de las multas del tramo 2 y del tramo 3 (artículo 64, apartado 10, letra b). Además de las multas, las autoridades de vigilancia del mercado también pueden ordenar medidas correctoras, restringir las ventas, retirar productos no conformes y prohibir su comercialización en el mercado de la UE (artículo 54).
Lo que la CRA no es
La CRA convive con varias otras normas de la UE que también tocan la ciberseguridad. Tres confusiones habituales:
- La CRA no es el RGPD. El RGPD (Reglamento 2016/679) protege los datos personales. La CRA protege la ciberseguridad del producto. Un producto puede ser relevante a efectos del RGPD, a efectos de la CRA, de ambos o de ninguno.
- La CRA no es la NIS2. La NIS2 (Directiva 2022/2555) regula la ciberseguridad operativa de las entidades esenciales e importantes. La CRA regula la ciberseguridad del diseño y del ciclo de vida de los productos que esas entidades compran y utilizan.
- La CRA no sustituye a las normas sectoriales. Productos sanitarios (MDR, IVDR), vehículos de motor (Reg. 2018/858), aviación (Reg. 2018/1139) y equipos marinos (Dir. 2014/90/UE) conservan sus regímenes de ciberseguridad; la CRA los acota en el artículo 2. El Reglamento de Máquinas 2023/1230 y la Directiva sobre equipos radioeléctricos se solapan con la CRA en aspectos concretos explicados en la guía del solapamiento entre la CRA y el Reglamento de Máquinas.
Preguntas frecuentes
¿Cuándo se aplica realmente la CRA a mi producto?
Depende de cuándo se introduzca el producto en el mercado de la UE. El Reglamento se aplica en su totalidad a cualquier producto con elementos digitales introducido en el mercado a partir del 11 de diciembre de 2027. Los productos introducidos antes de esa fecha no entran retroactivamente en el ámbito salvo que sean objeto de una modificación sustancial posterior al 11 de diciembre de 2027, en cuyo caso se tratan como un producto nuevo (artículos 71(2) y 69(2)).
¿Qué cambia el 11 de septiembre de 2026, antes de que se aplique el régimen completo?
Arranca la notificación del artículo 14. Desde esa fecha, los fabricantes de productos comprendidos en el ámbito deben notificar incidentes graves y vulnerabilidades activamente explotadas a ENISA y al CSIRT competente, incluso para productos ya en el mercado. El resto del Reglamento todavía no se aplica, pero el deber de notificación sí (artículo 69(3)).
¿Es la CRA lo mismo que el RGPD o la NIS2?
No. El RGPD protege los datos personales. La NIS2 regula la seguridad operativa de las entidades esenciales e importantes (operadores de energía, hospitales, proveedores de nube, etcétera). La CRA regula la ciberseguridad del producto en sí: cómo se diseña, con qué vulnerabilidades se comercializa y cómo el fabricante gestiona las vulnerabilidades a lo largo del período de soporte. Una misma empresa puede estar sujeta a las tres a la vez, pero las obligaciones recaen sobre objetos distintos: datos, organizaciones y productos.
¿Se aplica la CRA al software libre y de código abierto?
Solo cuando se suministra en el marco de una actividad comercial. Los proyectos de código abierto puramente no comerciales quedan fuera del ámbito. Cuando un proyecto se monetiza (soporte de pago, distribución comercial, integrado en un producto introducido en el mercado), la CRA se aplica. El artículo 24 crea un régimen más ligero para los administradores de software de código abierto (fundaciones y entidades similares que mantienen proyectos de código abierto de forma sostenida), que conlleva algunos deberes de gobernanza pero no las obligaciones plenas del fabricante y queda exento de las multas del tramo 2 y del tramo 3 (artículos 2(2) y 24; exención de multas en artículo 64(10)(b)).
¿Qué ocurre con los productos ya presentes en el mercado el 11 de diciembre de 2027?
Conservan su acceso al mercado existente y no se ven retroactivamente forzados a pasar por la evaluación de la conformidad de la CRA. Un producto preexistente solo queda sujeto al Reglamento en su totalidad si, después del 11 de diciembre de 2027, es objeto de una modificación sustancial, en cuyo caso se trata como un producto nuevo introducido en el mercado. El deber de notificación del artículo 14 sí se aplica a esos productos heredados desde el 11 de septiembre de 2026, y las actualizaciones de seguridad debidas en virtud de cualquier compromiso de soporte existente continúan (artículo 69(2); deber de notificación en artículo 69(3)).
¿Quién aplica la CRA y de dónde proceden las multas?
Cada Estado miembro designa una o varias autoridades de vigilancia del mercado, coordinadas a través del Grupo de Cooperación Administrativa (ADCO) y con el apoyo de ENISA. Las autoridades pueden solicitar la documentación técnica, exigir medidas correctoras, restringir o recuperar productos no conformes e imponer las multas del artículo 64. La Comisión puede actuar respecto de productos con impacto en toda la UE. ENISA opera la plataforma única de notificación para los incidentes y vulnerabilidades del artículo 14.