Una máquina con un controlador programable, una HMI, un ordenador embebido o una interfaz de red queda dentro tanto del Reglamento de Máquinas de la UE (Reglamento (UE) 2023/1230) como de la Ley de Ciberresiliencia (Reglamento (UE) 2024/2847). El considerando 53 de la Ley de Ciberresiliencia identifica el solapamiento y remite a dos secciones del anexo III del Reglamento de Máquinas, la 1.1.9 y la 1.2.1, donde se concentra el contenido de ciberseguridad. Esta página explica qué dice el considerando 53, cómo se mapea la evidencia CRA sobre el lado de Máquinas y dónde las dos evaluaciones de la conformidad permanecen separadas.
Resumen
- Ambos regímenes se aplican simultáneamente. Una máquina que contenga un controlador programable, una HMI o una interfaz de red está regulada por el Reglamento de Máquinas en cuanto a seguridad y por la Ley de Ciberresiliencia en cuanto a ciberseguridad. No hay exención: el artículo 2 de la Ley de Ciberresiliencia excluye productos sanitarios, vehículos de motor, aviación civil y equipos marinos, y la maquinaria no figura en esa lista.
- El considerando 53 es el ancla del régimen dual. Indica al fabricante de productos comprendidos en ambos reglamentos que cumpla con los dos, y señala las secciones 1.1.9 y 1.2.1 del anexo III del Reglamento de Máquinas como el lugar donde se concentra el contenido de ciberseguridad del lado de Máquinas.
- El solapamiento es sobre fallos de seguridad de origen ciber. Un sistema de mando cuya lógica de seguridad pueda manipularse por la red es inseguro en el sentido del Reglamento de Máquinas e inseguro en el sentido de la Ley de Ciberresiliencia. Los mismos controles de ingeniería (validación de entrada, autenticación, protección de la integridad de la lógica de seguridad) hablan a ambos reglamentos.
- La evidencia CRA puede tener peso en el lado de Máquinas, pero hay que conectarla. El considerando 53 permite la sinergia y apunta a las normas armonizadas como el puente. La carga de demostrar el vínculo recae sobre el fabricante, en el expediente técnico.
- Cada régimen mantiene su propia evaluación de la conformidad. El Reglamento de Máquinas tiene sus propias vías (con intervención de organismo notificado para maquinaria de mayor riesgo en su anexo I); la Ley de Ciberresiliencia aplica el artículo 32 con los módulos del anexo VIII. El mismo organismo notificado puede ejecutar ambas si dispone de las dos designaciones.
El solapamiento en cuatro cifras: dos reglamentos, dos secciones del anexo III, el considerando que las une y las fechas en que entra en vigor el régimen dual.
Dónde se solapan los dos reglamentos
El Reglamento de Máquinas regula la seguridad de la maquinaria comercializada en el mercado de la UE. La Ley de Ciberresiliencia regula la ciberseguridad de los productos con elementos digitales comercializados en el mercado de la UE. Una máquina moderna que contenga un PLC, una HMI, un controlador embebido o una interfaz de red cumple ambas definiciones y activa ambos regímenes.
Donde se solapan es en los requisitos que abordan fallos de seguridad de origen ciber. Un sistema de mando cuya lógica relevante para la seguridad pueda manipularse por la red es inseguro en el sentido del Reglamento de Máquinas e inseguro en el sentido de la Ley de Ciberresiliencia. Los mismos controles de ingeniería (validación de entrada, autenticación, protección de la integridad de la lógica de seguridad) hablan a ambos reglamentos.
La Ley de Ciberresiliencia fija este solapamiento en dos puntos:
- Anexo III §1.1.9 del Reglamento (UE) 2023/1230 aborda la protección contra la corrupción de los sistemas de mando.
- Anexo III §1.2.1 del Reglamento (UE) 2023/1230 aborda la seguridad y fiabilidad de los sistemas de mando, incluida la resistencia frente a la manipulación deliberada.
Ambas secciones llevan contenido de ciberseguridad porque la corrupción y la manipulación deliberada de los sistemas de mando son amenazas de ciberseguridad con consecuencias de seguridad.
Qué dice el considerando 53 de la CRA, en términos llanos
El considerando 53 es la línea de la Ley de Ciberresiliencia que une los dos regímenes. En lenguaje claro le dice cuatro cosas al fabricante de una máquina con elementos digitales:
| Lo que dice el considerando | Qué significa en la práctica |
|---|---|
| Ambos regímenes aplican, sin exención | Una máquina dentro del ámbito del Reglamento (UE) 2023/1230 que sea además un producto con elementos digitales debe cumplir los requisitos esenciales de ciberseguridad de la CRA y los requisitos esenciales de salud y seguridad del Reglamento de Máquinas. El artículo 2 de la CRA excluye productos sanitarios, vehículos de motor, aviación civil y equipos marinos; la maquinaria no figura en esa lista. |
| Los mismos riesgos de ciberseguridad pueden aparecer en ambos | Los dos reglamentos abordan amenazas de ciberseguridad similares desde ángulos distintos: el Reglamento de Máquinas a través de la seguridad, la CRA a través de la ciberseguridad. Donde se solapan, los mismos controles de ingeniería (validación de entrada, autenticación, protección de la integridad de la lógica de seguridad) hablan a ambos. |
| El trabajo CRA puede tener peso en el lado de Máquinas, pero solo donde se solapan | La evaluación del riesgo de la CRA (artículo 13(2)), la documentación técnica (anexo VII) y el proceso de gestión de vulnerabilidades (anexo I parte II) generan evidencia que se mapea sobre el anexo III §1.1.9 (protección contra la corrupción) y §1.2.1 (seguridad y fiabilidad de los sistemas de mando). En el resto del Reglamento de Máquinas, el trabajo de Máquinas se sigue haciendo a la manera de Máquinas. |
| El fabricante conecta los puntos en el expediente técnico | El considerando 53 es permisivo, no automático. Para utilizar evidencia CRA como evidencia del Reglamento de Máquinas, el fabricante mapea los controles derivados de la CRA a secciones concretas del anexo III y cita normas armonizadas que cubran ambos regímenes. |
El considerando cierra con una instrucción adicional que el artículo repite más abajo: cada régimen conserva su propio procedimiento de evaluación de la conformidad y ambos deben seguirse.
Cómo se mapea la evidencia CRA al Reglamento de Máquinas
Un mapeo pragmático para el solapamiento:
| Requisito del Reglamento de Máquinas | Evidencia CRA que lo respalda |
|---|---|
| Anexo III §1.1.9 (protección contra la corrupción) | Evaluación del riesgo CRA (artículo 13(2)), anexo I parte I (b) configuración segura por defecto, (d) autenticación y control de acceso, (f) protección de la integridad de los datos |
| Anexo III §1.2.1 (seguridad y fiabilidad de los sistemas de mando) | Anexo I parte I (h) disponibilidad de funciones esenciales, (k) mitigación de la explotación, (l) registro de eventos de seguridad; anexo I parte II (3) pruebas periódicas de seguridad |
| Expediente técnico del Reglamento de Máquinas | Documentación técnica CRA conforme al anexo VII (referenciable de forma cruzada), SBOM CRA, política CRA de gestión de vulnerabilidades |
Este mapeo es informativo, no normativo. El fabricante debe justificar el vínculo en el expediente técnico de cada máquina concreta, y el lenguaje del considerando 53 ("estas sinergias deben demostrarse") sitúa esa carga sobre el fabricante.
Las evaluaciones de la conformidad permanecen separadas
El considerando 53 cierra con una instrucción clara: el fabricante debe seguir también los procedimientos de evaluación de la conformidad aplicables establecidos en este Reglamento y en el Reglamento (UE) 2023/1230. El Reglamento de Máquinas tiene sus propias vías de evaluación de la conformidad (con intervención de organismo notificado para maquinaria de mayor riesgo en su anexo I); la CRA tiene la suya (artículo 32 y módulos del anexo VIII). La misma máquina puede requerir intervención de organismo notificado para ambos regímenes, posiblemente con el mismo organismo notificado si dispone de las dos designaciones.
Para la decisión de la vía de evaluación de la conformidad CRA, consulte evaluación de la conformidad CRA. Para los requisitos de documentación técnica, consulte documentación técnica CRA.
Preguntas frecuentes
¿La CRA reemplaza o desplaza al Reglamento de Máquinas?
No. Los dos reglamentos se aplican simultáneamente. El considerando 53 de la CRA enuncia la obligación dual en términos llanos: el fabricante de productos comprendidos en el ámbito del Reglamento (UE) 2023/1230 que sean además productos con elementos digitales debe cumplir los requisitos esenciales de ciberseguridad de la CRA y los requisitos esenciales de salud y seguridad del Reglamento de Máquinas. El Reglamento de Máquinas sigue rigiendo la seguridad; la CRA añade la capa de ciberseguridad y fija el solapamiento en las secciones 1.1.9 y 1.2.1 del anexo III.
¿Puede un único marcado CE cubrir ambos regímenes?
Un único marcado CE sobre el producto, pero dos evaluaciones de la conformidad subyacentes. El marcado CE es la declaración del fabricante de que el producto cumple con todo reglamento de armonización de la Unión aplicable. Para una máquina con elementos digitales eso significa la evaluación de la conformidad del Reglamento de Máquinas conforme a su propio anexo IV (o la vía que proceda) y la evaluación de la conformidad CRA conforme al artículo 32 con los módulos del anexo VIII. Ambas declaraciones UE de conformidad deben existir; el marcado CE es uno solo, pero la documentación que lo respalda son dos.
¿Desde cuándo se aplican los dos reglamentos?
El Reglamento de Máquinas (Reglamento (UE) 2023/1230) se aplica en su totalidad desde el 20 de enero de 2027, sustituyendo a la Directiva de Máquinas 2006/42/CE para los productos comercializados a partir de esa fecha. La CRA (Reglamento (UE) 2024/2847) se aplica en su totalidad desde el 11 de diciembre de 2027, con las obligaciones de notificación del fabricante del artículo 14 arrancando antes, el 11 de septiembre de 2026. Una máquina comercializada en el mercado de la UE entre el 20 de enero y el 11 de diciembre de 2027 ya está bajo el nuevo Reglamento de Máquinas; desde el 11 de diciembre de 2027 está además bajo la CRA.
¿Mi organismo notificado del Reglamento de Máquinas cubre también la CRA?
Solo si el organismo dispone de una designación CRA además de su designación de Máquinas. Los organismos notificados se designan reglamento por reglamento. Un organismo listado para el módulo B/C2/H bajo el Reglamento de Máquinas no aparece automáticamente en la lista de organismos notificados de la CRA del artículo 43. Compruebe en la base de datos NANDO de la UE ambos reglamentos contra el número del organismo; si están presentes las dos designaciones, un único organismo puede ejecutar ambas evaluaciones, lo que es operativamente más sencillo que separarlas.
¿Y si mi máquina no tiene interfaz de red? ¿Sigue aplicando la CRA?
Probablemente sí. El artículo 3(1) de la CRA define un producto con elementos digitales como un producto de software o de hardware y sus soluciones de tratamiento de datos a distancia. El detonante es la funcionalidad digital, no la conectividad. Una máquina con software embebido, firmware o un controlador programable está en el ámbito incluso sin interfaz de red, porque el propio software embebido es el elemento digital. El supuesto restringido en el que la CRA no aplica es la maquinaria puramente mecánica sin software, sin firmware y sin lógica programable, cada vez más rara entre los productos comprendidos en el nuevo Reglamento de Máquinas.