Una máquina con un controlador programable, una HMI, un ordenador embebido o una interfaz de red puede caer a la vez bajo el Reglamento de Máquinas de la UE (Reglamento (UE) 2023/1230) y la Ley de Ciberresiliencia (Reglamento (UE) 2024/2847). La CRA se aplica cuando la máquina es un producto con elementos digitales y su finalidad prevista o uso razonablemente previsible incluye una conexión de datos lógica o física, directa o indirecta, a un dispositivo o red. Un considerando concreto de la CRA da nombre a este régimen dual y remite a dos secciones del Reglamento de Máquinas que cubren la seguridad de origen ciber, las secciones 1.1.9 y 1.2.1. Esta página explica qué dice ese considerando, cómo se mapea la evidencia CRA sobre el lado de Máquinas y dónde las dos evaluaciones de la conformidad permanecen separadas.
Resumen
- Los dos regímenes pueden aplicarse a la vez. Una máquina dentro del ámbito del Reglamento de Máquinas también necesita análisis CRA cuando es un producto con elementos digitales con conexión de datos directa o indirecta a un dispositivo o red. La maquinaria no es una de las exclusiones de la CRA.
- La CRA ancla el solapamiento del régimen dual. Los fabricantes comprendidos en ambos reglamentos deben cumplir los dos, y el solapamiento de ciberseguridad del lado de Máquinas se concentra en las secciones 1.1.9 y 1.2.1 del Reglamento de Máquinas.
- El solapamiento es sobre fallos de seguridad de origen ciber. Un sistema de mando cuya lógica de seguridad pueda manipularse por la red es inseguro en el sentido del Reglamento de Máquinas e inseguro en el sentido de la CRA. Los mismos controles de ingeniería (validación de entrada, autenticación, protección de la integridad de la lógica de seguridad) hablan a los dos reglamentos.
- La evidencia CRA puede tener peso en el lado de Máquinas, pero hay que conectarla. La CRA permite la sinergia y apunta a las normas armonizadas como puente. La carga de demostrar el vínculo recae sobre el fabricante, en el expediente técnico.
- Cada régimen mantiene su propia evaluación de la conformidad. El Reglamento de Máquinas tiene sus propias vías, con intervención de organismo notificado para categorías de maquinaria de mayor riesgo; la CRA tiene sus propias vías de conformidad. El mismo organismo notificado puede ejecutar ambas si dispone de las dos designaciones.
El solapamiento en cuatro cifras: dos reglamentos, dos secciones del Reglamento de Máquinas, el ancla CRA que las une y las fechas en que el régimen dual entra en vigor.
Dónde se solapan los dos reglamentos
El Reglamento de Máquinas regula la seguridad; la CRA regula la ciberseguridad. El Reglamento de Máquinas rige la seguridad de la maquinaria comercializada en el mercado de la UE. La CRA rige los productos con elementos digitales cuya finalidad prevista o uso razonablemente previsible incluye una conexión de datos lógica o física, directa o indirecta, a un dispositivo o red. Una máquina moderna que contenga un PLC, una HMI, un controlador embebido o una interfaz de red suele cumplir ambas pruebas, pero la comprobación de ámbito CRA sigue siendo necesaria.
El solapamiento es sobre fallos de seguridad de origen ciber. Un sistema de mando cuya lógica relevante para la seguridad pueda manipularse por la red es inseguro en el sentido del Reglamento de Máquinas e inseguro en el sentido de la CRA. Los mismos controles de ingeniería (validación de entrada, autenticación, protección de la integridad de la lógica de seguridad) hablan a los dos reglamentos.
La CRA fija el solapamiento en dos secciones del Reglamento de Máquinas:
Reglamento de Máquinas §1.1.9
Protección frente a la corrupción de los sistemas de mando. La manipulación ciber de la lógica relevante para la seguridad, como la inyección de código en un PLC, el suplantado de señales de un enclavamiento o la escritura no autorizada de firmware, es a la vez un fallo de seguridad del Reglamento de Máquinas y un fallo de ciberseguridad de la CRA. Los mismos controles de ingeniería (protección de la integridad, actualizaciones firmadas, validación de entrada) hablan a los dos reglamentos.
Reglamento de Máquinas §1.2.1
Seguridad y fiabilidad de los sistemas de mando, incluida la resistencia frente a la manipulación deliberada. La lógica de mando que pierde integridad bajo ataque, como una parada de emergencia anulada de forma remota o un enclavamiento de protección desactivado por software, es insegura bajo el Reglamento de Máquinas e insegura bajo la CRA. Los controles de ingeniería de ciberseguridad y los controles de seguridad funcional convergen en el mismo refuerzo.
Las dos secciones cargan contenido de ciberseguridad porque la corrupción y la manipulación deliberada de los sistemas de mando son amenazas de ciberseguridad con consecuencias de seguridad.
- Resguardos frente a peligros mecánicos (vallas, cortinas ópticas, enclavamientos).
- Circuitos de parada de emergencia y funciones de parada relacionadas con la seguridad.
- Ergonomía del operador, visibilidad y alcance.
- Límites de ruido, vibraciones y emisiones.
- Instrucciones para el operador sobre manejo, transporte y mantenimiento seguros.
- Estabilidad mecánica e integridad estructural.
- Protección de los sistemas de mando frente a la corrupción.
- Seguridad y fiabilidad de los sistemas de mando frente a la manipulación deliberada.
- Evaluación del riesgo de fallos de seguridad de origen ciber.
- Documentación técnica del diseño seguro del sistema de mando.
- Gestión de vulnerabilidades de la lógica de mando relevante para la seguridad.
- Lista de materiales de software que cubra los componentes del sistema de mando.
- Gestión activa de vulnerabilidades durante todo el período de soporte.
- Notificación de vulnerabilidades e incidentes graves al CSIRT coordinador y a ENISA.
- Política de divulgación coordinada de vulnerabilidades.
- Lista de materiales de software producida para las autoridades de vigilancia del mercado previa solicitud motivada.
- Compromisos de actualizaciones de seguridad durante el período de soporte.
- Actualizaciones de seguridad gratuitas durante el período de soporte.
Solapamiento entre la CRA y el Reglamento de Máquinas. Los dos regímenes se aplican simultáneamente a una máquina con elementos digitales. El contenido de ciberseguridad del lado de Máquinas se concentra en las secciones 1.1.9 y 1.2.1 del Reglamento de Máquinas. Los artefactos CRA (evaluación del riesgo, expediente técnico, proceso de gestión de vulnerabilidades, lista de materiales de software) tienden el puente hacia el expediente técnico de Máquinas una vez que el fabricante demuestra el vínculo.
Qué dice la CRA sobre el solapamiento con maquinaria
La CRA une los dos regímenes a través del Considerando 53. En lenguaje llano, le indica al fabricante de una máquina con elementos digitales cuatro cosas:
| Lo que dice el considerando | Qué significa en la práctica |
|---|---|
| Los dos regímenes pueden aplicarse, sin exención para maquinaria | Una máquina dentro del ámbito del Reglamento (UE) 2023/1230 que es también un producto CRA con elementos digitales debe cumplir los requisitos esenciales de ciberseguridad de la CRA y los requisitos esenciales de salud y seguridad del Reglamento de Máquinas. La maquinaria no es una de las exclusiones de la CRA. |
| Los mismos riesgos de ciberseguridad pueden aparecer en los dos | Los dos reglamentos abordan amenazas de ciberseguridad similares desde ángulos distintos: el Reglamento de Máquinas por la vía de la seguridad, la CRA por la vía de la ciberseguridad. Donde se solapan, los mismos controles de ingeniería (validación de entrada, autenticación, protección de la integridad de la lógica de seguridad) hablan a los dos. |
| El trabajo CRA puede tener peso en el lado de Máquinas, pero solo donde se solapan | La evaluación del riesgo de la CRA (Artículo 13(2)), la documentación técnica (Anexo VII) y el proceso de gestión de vulnerabilidades (Anexo I parte II) generan evidencia que se mapea sobre las secciones §1.1.9 (protección frente a la corrupción) y §1.2.1 (seguridad y fiabilidad de los sistemas de mando) del Reglamento de Máquinas. En el resto del Reglamento de Máquinas, el trabajo de Máquinas sigue haciéndose a la manera de Máquinas. |
| El fabricante conecta los puntos en el expediente técnico | El considerando es permisivo, no automático. Para usar evidencia CRA como evidencia del Reglamento de Máquinas, el fabricante mapea los controles derivados de la CRA a secciones concretas del Reglamento de Máquinas y cita normas armonizadas que cubran los dos regímenes. |
El considerando cierra con una instrucción adicional que el artículo repite más abajo: cada régimen conserva su propio procedimiento de evaluación de la conformidad y los dos deben seguirse.
Cómo se mapea la evidencia CRA al Reglamento de Máquinas
Un mapeo pragmático para el solapamiento:
| Requisito del Reglamento de Máquinas | Evidencia CRA que lo respalda |
|---|---|
| §1.1.9 del Reglamento de Máquinas (protección frente a la corrupción) | Evaluación del riesgo CRA (Artículo 13(2)), configuración segura por defecto, autenticación y control de acceso, y protección de la integridad de los datos del Anexo I parte I |
| §1.2.1 del Reglamento de Máquinas (seguridad y fiabilidad de los sistemas de mando) | Disponibilidad de las funciones esenciales, mitigación de la explotación y registro de eventos de seguridad del Anexo I parte I; pruebas periódicas de seguridad del Anexo I parte II |
| Expediente técnico del Reglamento de Máquinas | Documentación técnica CRA del Anexo VII (referenciable de forma cruzada), lista de materiales de software CRA y política CRA de gestión de vulnerabilidades |
Este mapeo es informativo, no normativo. El fabricante debe justificar el vínculo en el expediente técnico de cada máquina concreta, y el lenguaje del considerando ("estas sinergias deben demostrarse") sitúa esa carga sobre el fabricante.
Las evaluaciones de la conformidad permanecen separadas
Cada régimen mantiene su propio procedimiento de evaluación de la conformidad. El Considerando 53 indica que el fabricante debe seguir los procedimientos aplicables tanto bajo la CRA como bajo el Reglamento (UE) 2023/1230. El Reglamento de Máquinas tiene sus propias vías, incluida la intervención de organismo notificado para categorías de maquinaria de mayor riesgo; la CRA tiene las suyas bajo el Artículo 32 y el Anexo VIII.
Un mismo organismo notificado puede ejecutar las dos, solo si dispone de las dos designaciones. La misma máquina puede requerir intervención de organismo notificado para los dos regímenes, posiblemente con el mismo organismo si está designado bajo los dos reglamentos. Los organismos notificados se designan reglamento por reglamento; una designación bajo el Reglamento de Máquinas no se extiende a la CRA.
Para la decisión de la vía de evaluación de la conformidad CRA, consulta evaluación de la conformidad CRA. Para los requisitos de documentación técnica, consulta documentación técnica CRA.
Errores comunes
| Afirmación | Por qué falla |
|---|---|
| "Un único marcado CE significa que solo hacemos una evaluación de la conformidad." | El marcado CE figura una sola vez en el producto, pero cada régimen aplicable sigue exigiendo su propia evaluación de la conformidad, documentación técnica y declaración. |
| "Nuestro organismo notificado del Reglamento de Máquinas cubre la CRA de forma automática." | Los organismos notificados se designan reglamento por reglamento. Un organismo listado bajo el Reglamento de Máquinas no se convierte automáticamente en organismo notificado CRA; comprueba el listado NANDO de la Comisión para los dos reglamentos contra el número del organismo. |
| "Sin interfaz a internet, la CRA no se aplica." | El software embebido, el firmware o un controlador programable pueden convertir la máquina en un producto con elementos digitales; una conexión de datos indirecta a través de un sistema conectable también la mete en el ámbito. |
| "La sección 1.1.9 del Reglamento de Máquinas, por sí sola, demuestra el cumplimiento ciber de la CRA." | La sección 1.1.9 cubre la protección frente a la corrupción, que es una parte de la seguridad de origen ciber. Los requisitos esenciales de la CRA son más amplios y el fabricante sigue teniendo que demostrar el cumplimiento del conjunto completo de la CRA. |
| "El considerando de la sinergia nos deja reusar evidencia CRA en el lado de Máquinas de forma automática." | El considerando es permisivo, no automático. El fabricante debe mapear los controles derivados de la CRA a secciones concretas del Reglamento de Máquinas y citar normas armonizadas que cubran los dos regímenes en el expediente técnico. |
Preguntas frecuentes
¿La CRA sustituye o desplaza al Reglamento de Máquinas?
No. El Reglamento de Máquinas sigue rigiendo la seguridad de la maquinaria, y la CRA añade deberes de ciberseguridad cuando la máquina es además un producto con elementos digitales. El fabricante comprendido en los dos regímenes debe cumplir los requisitos esenciales de ciberseguridad de la CRA y los requisitos esenciales de salud y seguridad del Reglamento de Máquinas. La CRA fija el solapamiento en la protección frente a la corrupción y en la seguridad y fiabilidad de los sistemas de mando (Considerando 53).
¿Puede un único marcado CE cubrir los dos regímenes?
Un único marcado CE puede figurar en el producto, pero el trabajo de conformidad subyacente permanece separado. El marcado CE indica que el producto cumple la legislación de armonización de la Unión aplicable. Para una máquina con elementos digitales, eso significa la evaluación de la conformidad del Reglamento de Máquinas más la evaluación de la conformidad CRA. El marcado es único, pero cada régimen aplicable sigue necesitando su propia evidencia de conformidad y su propia declaración (Artículo 32).
¿Desde cuándo se aplican los dos reglamentos?
El Reglamento de Máquinas (Reglamento (UE) 2023/1230) se aplica en su totalidad desde el 20 de enero de 2027, sustituyendo a la Directiva de Máquinas 2006/42/CE para los productos comercializados a partir de esa fecha. La CRA (Reglamento (UE) 2024/2847) se aplica en su totalidad desde el 11 de diciembre de 2027 para los productos comercializados desde esa fecha (Artículo 71(2)). Los productos con elementos digitales comercializados antes del 11 de diciembre de 2027 solo quedan sujetos a los requisitos de la CRA si desde esa fecha son objeto de una modificación sustancial; no obstante, las obligaciones de notificación del Artículo 14 se aplican a todos los productos en el ámbito desde el 11 de septiembre de 2026 (Artículo 69(2); Artículo 69(3)).
¿Mi organismo notificado del Reglamento de Máquinas cubre también la CRA?
Solo si el organismo dispone de las dos designaciones. Los organismos notificados se designan reglamento por reglamento, así que un organismo listado para un módulo del Reglamento de Máquinas no se convierte automáticamente en organismo notificado CRA. Comprueba el listado oficial NANDO de la Comisión Europea para los dos reglamentos contra el número del organismo; si las dos designaciones están presentes, un único organismo puede ejecutar las dos evaluaciones (Artículo 43).
¿Y si mi máquina no tiene interfaz de red? ¿Sigue aplicando la CRA?
Puede que sí. No tener interfaz a internet no saca automáticamente a una máquina del ámbito CRA, pero la prueba de ámbito sigue exigiendo una conexión de datos. Una máquina queda dentro del ámbito CRA solo cuando su finalidad prevista o uso razonablemente previsible incluye una conexión de datos lógica o física, directa o indirecta, a un dispositivo o red. El software embebido, el firmware o un controlador programable pueden convertir la máquina en un producto con elementos digitales, pero una máquina sin esa conexión de datos exige un análisis de ámbito cuidadoso, no un sí automático (Artículo 2(1)).