Cyber Resilience Act (CRA) Explicado: A Quién Afecta, Requisitos y Sanciones
El Cyber Resilience Act (CRA) es la regulación de la UE para garantizar que los productos con elementos digitales — hardware y software — sean seguros por diseño. Si vendes digital, debes asegurarlo. Desde termostatos inteligentes hasta plataformas SaaS, desde sensores IoT hasta aplicaciones móviles, el CRA exige que la ciberseguridad se incorpore desde el principio, no como un parche.
El CRA cubre un vacío crítico: hasta ahora, podías vender un producto conectado en la UE sin ningún test de seguridad, sin gestión de vulnerabilidades y sin compromiso de actualizaciones de seguridad. Esos días terminaron.
¿A Quién Afecta el CRA?
El CRA aplica a fabricantes y distribuidores de productos con elementos digitales comercializados en el mercado de la UE. El alcance es enorme:
Productos en el Alcance
- Software: Sistemas operativos, navegadores, VPNs, gestores de contraseñas, antivirus, firewalls, plataformas SaaS, aplicaciones móviles, aplicaciones de escritorio
- Hardware con elementos digitales: Dispositivos IoT, productos de hogar inteligente, routers, controladores industriales, dispositivos médicos conectados, wearables
- Componentes: Librerías, SDKs y firmware que se comercializan de forma independiente
Quién Es Responsable
- Fabricantes — cualquiera que desarrolle un producto y lo ponga en el mercado con su nombre
- Importadores — entidades que ponen un producto de un tercer país en el mercado de la UE
- Distribuidores — cualquiera que ponga un producto disponible en el mercado de la UE sin afectar sus propiedades
- Open source stewards — obligaciones específicas (más ligeras) para fundaciones de código abierto que facilitan el desarrollo de software comercial
Categorías de Productos
| Categoría | Nivel de Seguridad | Ejemplos |
|---|---|---|
| Por defecto | Autoevaluación | La mayoría de IoT de consumo, software básico |
| Clase I (Importante) | Tercero o autoevaluación con estándares armonizados | VPNs, gestores de contraseñas, routers, SO, microcontroladores |
| Clase II (Crítico) | Evaluación obligatoria por terceros | Firewalls, detección de intrusiones, HSMs, pasarelas de contadores inteligentes |
Requisitos Clave
1. Seguridad por Diseño
Los productos deben diseñarse, desarrollarse y producirse para asegurar un nivel apropiado de ciberseguridad:
- Sin vulnerabilidades explotables conocidas en el momento de la comercialización
- Configuración segura por defecto (sin contraseñas por defecto, superficie de ataque mínima)
- Protección contra acceso no autorizado
- Confidencialidad de datos almacenados y transmitidos
- Integridad y disponibilidad de datos
2. Gestión de Vulnerabilidades
Los fabricantes deben establecer una política y proceso de divulgación coordinada de vulnerabilidades:
- Aceptar y procesar informes de vulnerabilidades de cualquier fuente
- Identificar y remediar vulnerabilidades oportunamente
- Proporcionar actualizaciones de seguridad durante la vida útil esperada (mínimo 5 años)
- Distribuir actualizaciones gratuitamente
3. SBOM (Software Bill of Materials)
Esto es nuevo para la mayoría de fabricantes. Debes crear y mantener un SBOM legible por máquina que documente todos los componentes de tu producto:
- Dependencias directas y transitivas
- Librerías de código abierto y sus versiones
- Vulnerabilidades conocidas en los componentes
4. Notificación de Incidentes y Vulnerabilidades
Los fabricantes deben reportar a ENISA:
| Evento | Plazo |
|---|---|
| Vulnerabilidad activamente explotada | 24 horas tras descubrimiento |
| Incidente grave que afecta la seguridad del producto | 24 horas tras conocimiento |
| Notificación completa de vulnerabilidad | 72 horas con detalles de mitigación |
5. Marcado CE
Los productos que cumplan los requisitos del CRA llevarán el marcado CE para ciberseguridad. Sin él, el producto no puede venderse legalmente en el mercado de la UE.
6. Actualizaciones de Seguridad
Los fabricantes deben proporcionar actualizaciones de seguridad durante toda la vida útil esperada del producto (mínimo 5 años). Las actualizaciones deben ser automáticas por defecto.
Por Qué el CRA Importa
- Cerrando el vacío IoT: Miles de millones de dispositivos conectados con cero requisitos de seguridad. El CRA cambia eso permanentemente.
- Visibilidad de la cadena de suministro: Los SBOMs dan visibilidad sobre qué hay dentro de los productos — no más librerías vulnerables ocultas.
- Acceso al mercado: El marcado CE para ciberseguridad se vuelve obligatorio. Sin cumplimiento = sin mercado de la UE.
- Cambio de responsabilidad: Los fabricantes, no los usuarios, son responsables de la seguridad del producto.
Qué Pasa Si No Cumples
Las Multas
- Hasta 15 millones de euros o 2,5% de la facturación anual global (lo que sea mayor) por incumplimiento de requisitos esenciales
- Los productos pueden ser retirados del mercado de la UE
- Las autoridades nacionales de vigilancia de mercado pueden ordenar retiradas de productos
Un Escenario Que Arruina Empresas
Este es un escenario ilustrativo basado en fallos reales de seguridad de productos.
Una startup española vende un hub de hogar inteligente a 50.000 hogares europeos. El dispositivo controla iluminación, calefacción, cámaras de seguridad y cerraduras de puertas.
Un investigador de seguridad descubre una contraseña de administrador hardcodeada que da acceso remoto a todos los dispositivos de la red — incluyendo las cámaras en directo. La vulnerabilidad está en una librería de terceros que la startup nunca auditó. Ni siquiera saben que está en su producto.
Bajo el CRA:
- La startup no tiene SBOM — no pueden identificar qué productos están afectados
- Incumplen el plazo de 24 horas de notificación a ENISA por dos semanas
- No tienen proceso de gestión de vulnerabilidades
- El marcado CE se aplicó sin evaluación de conformidad adecuada
- La autoridad de vigilancia de mercado ordena una retirada obligatoria de los 50.000 dispositivos
- Multa: hasta 15 millones de euros
La vulnerabilidad estaba en 50 líneas de código de una librería que no escribieron. Pero bajo el CRA, es su responsabilidad.
Cómo Empezar
1. Inventaría Tus Productos
Identifica todos los productos con elementos digitales que pones en el mercado de la UE. Clasifícalos por categoría CRA (por defecto, Clase I, Clase II).
2. Crea Tu SBOM
Documenta cada componente de cada producto. Automatiza la generación de SBOM como parte de tu pipeline CI/CD.
3. Establece Gestión de Vulnerabilidades
Crea una política de divulgación de vulnerabilidades, canales de recepción y plazos de respuesta definidos.
4. Planifica Actualizaciones de Seguridad
Asegura que puedes entregar actualizaciones de seguridad durante al menos 5 años. Esto afecta decisiones de arquitectura y planificación de negocio.
5. Prepara la Evaluación de Conformidad
Según la categoría de tu producto, prepara documentación para autoevaluación o contacta un organismo notificado para evaluación por terceros.
El CRA deja una cosa clara: si ganas dinero vendiendo productos digitales, eres responsable de su seguridad. No el usuario. No “la comunidad.” Tú. Empieza a incorporar la seguridad ahora, o deja de vender en el mercado de la UE.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
DORA Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre DORA: a quién aplica, requisitos de resiliencia digital, gestión de riesgos de terceros TIC y consecuencias del incumplimiento.
ENS (Esquema Nacional de Seguridad): Requisitos y Certificación
Todo lo que necesitas saber sobre el ENS: quién lo necesita, requisitos de seguridad, niveles de certificación y por qué es imprescindible para contratos con la Administración Pública.
EU AI Act Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre el EU AI Act: clasificación de riesgo, requisitos de cumplimiento, a quién aplica y qué pasa si no cumples.