Cumplimiento del Cyber Resilience Act para Fabricantes de Maquinaria
Tu máquina tiene elementos digitales. Tu marcado CE ahora requiere evidencia de ciberseguridad. CRA Evidence ayuda a los fabricantes de maquinaria a cumplir tanto con el Reglamento de Ciberresiliencia como con el Reglamento de Maquinaria de la UE, desde una única plataforma.
La realidad del doble cumplimiento
A partir del 20 de enero de 2027, el Reglamento de Maquinaria de la UE (UE) 2023/1230 exige evidencia de ciberseguridad en el expediente técnico (Anexo III §1.1.9 "protección contra la corrupción"). A partir del 11 de diciembre de 2027, el CRA impone seguridad completa del producto durante todo su ciclo de vida. Ambos se aplican a máquinas con PLC, HMI, controladores embebidos o conectividad de red.
El Considerando 53 del CRA es explícito: los productos cubiertos por otras normativas de la UE con requisitos de ciberseguridad también deben cumplir el CRA. La evidencia de cumplimiento del CRA puede satisfacer esos requisitos, si está correctamente estructurada.
Cómo CRA Evidence ayuda a los fabricantes de máquinas
| Tu necesidad de cumplimiento | Cómo ayuda CRA Evidence | Base regulatoria |
|---|---|---|
| Rastrear software en tus máquinas | Gestión de SBOM + HBOM | CRA Anexo I + expediente técnico RM |
| Analizar firmware embebido | Subir SBOM de firmware y escanear CVEs | Gestión de vulnerabilidades CRA + RM §1.1.9 |
| Evaluar riesgos de ciberseguridad | Evaluación de riesgos STRIDE con activos hardware | CRA Art. 13(2) + RM §1.1.9 |
| Notificar vulnerabilidades a ENISA | Flujo de notificación 24h/72h/14d | CRA Art. 14 (desde sep. 2026) |
| Generar evidencia de marcado CE | Generador de DoC UE + exportación de expediente técnico | CRA Art. 22-23 + conformidad RM |
| Proporcionar transparencia del producto | Pasaporte Digital de Producto con códigos QR | CRA + Ecodiseño |
| Gestionar componentes de la cadena de suministro | Verificación de importadores/distribuidores | CRA Art. 19-20 |
Productos cubiertos
Máquinas CNC, cobots, maquinaria de envasado, PLC de seguridad, robots industriales, HMI, variadores de frecuencia con interfaces de red, AGV/AMR, máquinas de inyección de plástico, máquinas de carpintería con controles digitales, maquinaria conectada con monitorización remota o telemetría. Esencialmente cualquier máquina con software o conectividad de red.
Fechas clave
11 de septiembre de 2026: Comienza la notificación de vulnerabilidades a ENISA. Los fabricantes de maquinaria con elementos digitales deben notificar las vulnerabilidades activamente explotadas en un plazo de 24 horas.
20 de enero de 2027: Aplicación plena del Reglamento de Maquinaria de la UE. Se requiere evidencia de ciberseguridad en los expedientes técnicos conforme al Anexo III §1.1.9.
11 de diciembre de 2027: Aplicación plena del CRA. Todos los productos con elementos digitales deben cumplir los requisitos esenciales de ciberseguridad.
La norma emergente: prEN 50742
prEN 50742 es el proyecto de norma europea para la protección contra la corrupción en maquinaria, que proporciona especificaciones técnicas para el §1.1.9 del Reglamento de Maquinaria. Define dos vías de cumplimiento: un enfoque autónomo y la integración con IEC 62443 para fabricantes que ya trabajan en ese marco de ciberseguridad industrial. Una vez publicada como norma armonizada, la conformidad con prEN 50742 creará una presunción de conformidad con los requisitos de ciberseguridad del Reglamento de Maquinaria. Se prevé su publicación a finales de 2026.
Qué cubrimos y qué no
CRA Evidence cubre los aspectos de cumplimiento de ciberseguridad del Reglamento de Maquinaria: SBOMs, HBOMs, seguimiento de vulnerabilidades, evaluación de riesgos, notificaciones a ENISA, documentación de marcado CE y Pasaportes Digitales de Producto.
Para la seguridad mecánica, seguridad eléctrica, ruido, vibraciones y otros requisitos no cibernéticos del Reglamento de Maquinaria, consulta tu proceso de cumplimiento existente. CRA Evidence aborda la intersección de ciberseguridad, no el alcance completo del Reglamento de Maquinaria.
Fuentes oficiales
- Reglamento de Maquinaria de la UE (UE) 2023/1230, EUR-Lex. Diario Oficial, adoptado el 14 de junio de 2023, aplicable desde el 20 de enero de 2027
- Maquinaria, Comisión Europea. Orientaciones y recursos de aplicación de la DG GROW
- Cyber Resilience Act (UE) 2024/2847, EUR-Lex. Aplicación plena desde el 11 de diciembre de 2027
¿Listo para Comenzar tu Camino hacia la Conformidad CRA?
Septiembre de 2026 está más cerca de lo que parece. Empieza hoy a documentar las evidencias de ciberseguridad de tu maquinaria.