Cumplimiento CRA para Fabricantes de Maquinaria
Su máquina tiene elementos digitales. Su marcado CE ahora requiere evidencia de ciberseguridad. CRA Evidence ayuda a los fabricantes de maquinaria a cumplir tanto con el Cyber Resilience Act como con el Reglamento de Máquinas de la UE — desde una única plataforma.
La realidad del doble cumplimiento
A partir de enero de 2027, el Reglamento de Maquinaria de la UE (2023/1230) exige evidencia de ciberseguridad en el expediente técnico (Anexo III §1.1.9 "protección contra la corrupción"). A partir de diciembre de 2027, el CRA impone seguridad completa del producto durante todo su ciclo de vida. Ambos se aplican a máquinas con PLC, HMI, controladores embebidos o conectividad de red.
El Considerando 53 del CRA es explícito: los productos ya cubiertos por otras normativas de la UE, incluido el Reglamento de Maquinaria, también deben cumplir el CRA cuando se aplican requisitos de ciberseguridad. La evidencia de cumplimiento del CRA puede satisfacer los requisitos de ciberseguridad del Reglamento de Maquinaria — si está correctamente estructurada.
Cómo CRA Evidence ayuda a los fabricantes de máquinas
| Su necesidad | Función de CRA Evidence | Satisface |
|---|---|---|
| Rastrear software en sus máquinas | Gestión de SBOM + HBOM | CRA Anexo I + expediente técnico RM |
| Analizar firmware embebido | Análisis de firmware EMBA | Gestión de vulnerabilidades CRA + RM §1.1.9 |
| Evaluar riesgos de ciberseguridad | Evaluación de riesgos STRIDE con activos hardware | CRA Art. 13(2) + RM §1.1.9 |
| Notificar vulnerabilidades a ENISA | Flujo de notificación 24h/72h/14d | CRA Art. 14 (desde sep. 2026) |
| Generar evidencia de marcado CE | Generador de DoC UE + exportación de expediente técnico | CRA Art. 22-23 + conformidad RM |
| Proporcionar transparencia del producto | Pasaporte Digital de Producto con códigos QR | CRA + Ecodiseño |
| Gestionar componentes de la cadena de suministro | Verificación de importadores/distribuidores | CRA Art. 19-20 |
Productos cubiertos
Máquinas CNC, cobots, maquinaria de envasado, PLC de seguridad, robots industriales, HMI, variadores de frecuencia con interfaces de red, AGV/AMR, máquinas de inyección de plástico, máquinas de carpintería con controles digitales — esencialmente cualquier máquina con software o conectividad de red.
Fechas clave
11 de septiembre de 2026 — Comienza la notificación de vulnerabilidades a ENISA. Los fabricantes de maquinaria con elementos digitales deben notificar las vulnerabilidades activamente explotadas en un plazo de 24 horas.
20 de enero de 2027 — Aplicación plena del Reglamento de Maquinaria de la UE. Se requiere evidencia de ciberseguridad en los expedientes técnicos conforme al Anexo III §1.1.9.
11 de diciembre de 2027 — Aplicación plena del CRA. Todos los productos con elementos digitales deben cumplir los requisitos esenciales de ciberseguridad.
La norma emergente: prEN 50742
El proyecto de norma europea prEN 50742 ("Seguridad de las máquinas — Protección contra la corrupción") establece especificaciones técnicas para implementar los requisitos de ciberseguridad del §1.1.9 del Reglamento de Maquinaria. Se esperan dos vías de cumplimiento: enfoque autónomo o integración con IEC 62443. Se prevé su publicación a finales de 2026.
Qué cubrimos — y qué no
CRA Evidence cubre los aspectos de cumplimiento de ciberseguridad del Reglamento de Maquinaria: SBOMs, HBOMs, seguimiento de vulnerabilidades, evaluación de riesgos, notificaciones a ENISA, documentación de marcado CE y Pasaportes Digitales de Producto.
Para la seguridad mecánica, seguridad eléctrica, ruido, vibraciones y otros requisitos no cibernéticos del Reglamento de Maquinaria, consulte su proceso de cumplimiento existente. CRA Evidence aborda la intersección de ciberseguridad — no el alcance completo del Reglamento de Maquinaria.
¿Listo para Comenzar su Camino hacia la Conformidad CRA?
Septiembre de 2026 está más cerca de lo que parece. Comience hoy a documentar las evidencias de ciberseguridad de su maquinaria.