Reglamento (UE) 2024/2847 – Ley de Ciberresiliencia (CRA)

El Reglamento (UE) 2024/2847 – Ley de Ciberresiliencia (Cyber Resilience Act, CRA) es un nuevo reglamento de la UE que introduce requisitos horizontales de ciberseguridad para los «productos con elementos digitales». Fue adoptado en octubre de 2024 y será aplicable directamente en todos los países de la UE, tras los periodos transitorios, a partir de finales de 2027. Si ocupa un puesto directivo en el sector industrial —ya sea con responsabilidad en mantenimiento, compras o compliance— conviene entender desde ahora qué productos quedan cubiertos por este reglamento, qué nuevas obligaciones impone a fabricantes, importadores y distribuidores, y cómo preparar a la empresa para los cambios que se avecinan. A continuación presentamos la información clave desde un enfoque práctico, sin jerga jurídica pero con precisión técnica, para facilitar la adopción de las medidas preparatorias adecuadas.

Ámbito de aplicación: ¿qué productos cubre la Ley de Ciberresiliencia?

El Reglamento (UE) 2024/2847 se aplica a todos los «productos con elementos digitales» comercializados en el mercado de la UE cuyo uso previsto incluya la conexión con otro dispositivo o con una red (directa o indirectamente, de forma física o lógica). En otras palabras, la mayoría de los equipos o programas informáticos que pueden comunicarse con otros sistemas quedan sujetos a los nuevos requisitos. En la práctica, esto incluye, entre otros, dispositivos IoT y electrónica de consumo (por ejemplo, smartwatches, teléfonos móviles, electrodomésticos y equipos de audio y vídeo inteligentes, vigilabebés electrónicos), dispositivos wearables (por ejemplo, pulseras de actividad), equipos industriales con funciones de red (sensores y máquinas industriales conectados a la red) y distintos tipos de software (sistemas operativos, aplicaciones móviles y de escritorio, software empresarial, etc.). Es importante destacar que el software comercializado de forma independiente (como producto) también está sujeto al CRA, al igual que los servicios remotos de tratamiento de datos que constituyan una parte integrante del producto; por ejemplo, un servicio en la nube que controle un dispositivo de hogar inteligente se considerará parte del producto y deberá cumplir los requisitos de seguridad. Para más información sobre el CRA y la preparación del producto para los requisitos de 2026–2027, conviene seguir de cerca la evolución del marco normativo.

El reglamento tiene un alcance muy amplio, pero también prevé exclusiones para determinadas categorías de productos que ya están reguladas por su propia normativa sectorial. El CRA no se aplica, entre otros, a los productos sanitarios (cubiertos por los Reglamentos MDR 2017/745 y 2017/746), vehículos y sus equipos (cubiertos, entre otros, por el Reglamento 2019/2144 en materia de homologación de vehículos), aeronaves (Reglamento 2018/1139 relativo a la aviación) ni equipos marinos (Directiva 2014/90/UE). Estos productos cuentan con regulaciones específicas, que a menudo ya incluyen requisitos adaptados a cada sector, por lo que han quedado excluidos del ámbito del CRA. Además, las nuevas disposiciones no se aplican al hardware ni al software de uso exclusivamente militar o destinado a la seguridad nacional (ni al tratamiento de información clasificada). También quedan excluidas las piezas de repuesto suministradas como sustitución de componentes idénticos: si el producto original fue introducido legalmente en el mercado, la pieza idéntica no tiene que cumplir el CRA por separado.

Conviene señalar que el denominado software libre y de código abierto (open source) no estará cubierto por el CRA, siempre que no se facilite en el marco de una actividad comercial. Por tanto, si un determinado software se desarrolla y publica gratuitamente, fuera del tráfico mercantil, sus autores (por ejemplo, la comunidad open source) no se consideran «fabricantes» a efectos del reglamento y no les incumben las obligaciones descritas más adelante. En cambio, si una empresa utiliza un componente open source en su producto comercial, la responsabilidad de cumplir los requisitos de seguridad recae en el fabricante del producto final. En resumen, el CRA se dirige principalmente a productos digitales fabricados y comercializados de forma profesional, destinados a usuarios finales en el mercado interior de la UE.

¿Por qué se introdujo el CRA? Nuevas amenazas, vacío regulatorio y cadena de suministro

La Unión Europea detectó una necesidad urgente de reforzar la ciberresiliencia de los productos digitales frente al aumento de las amenazas. En los últimos años, el número y la variedad de dispositivos conectados a internet se han disparado, desde sistemas IoT industriales en fábricas hasta equipos domésticos inteligentes. Por desgracia, el nivel de ciberseguridad de estos productos suele ser bajo, lo que se refleja en vulnerabilidades generalizadas y en un suministro insuficiente e incoherente de actualizaciones de seguridad. Hasta ahora, muchos fabricantes no habían dado prioridad a la seguridad a lo largo de todo el ciclo de vida del producto, y los usuarios a menudo no tienen conocimiento ni información sobre qué dispositivos son seguros, durante cuánto tiempo recibirán actualizaciones y cómo utilizarlos de forma segura. Esta combinación de factores conduce a un mayor riesgo de ciberataques.

El Reglamento de Ciberresiliencia pretende cubrir un vacío regulatorio: hasta ahora no existían en la UE requisitos uniformes y obligatorios sobre la seguridad digital de los productos. Aunque ya había iniciativas como las certificaciones de seguridad TIC (en virtud del Reglamento de Ciberseguridad 2019/881) o las exigencias de la Directiva NIS2 para sectores críticos, ninguna norma imponía directamente la obligación de aplicar el «ciberseguridad desde el diseño» a todos los dispositivos y programas comercializados. El CRA establece precisamente ese marco universal: exige que el hardware y el software se diseñen, fabriquen y mantengan incorporando medidas de protección sólidas durante todo su ciclo de vida. El objetivo es que lleguen al mercado productos con menos vulnerabilidades y que los fabricantes garanticen una eliminación rápida de las nuevas amenazas (por ejemplo, mediante parches de seguridad), en lugar de dejar a los usuarios con dispositivos inseguros.

La cuestión de la ciberresiliencia también tiene una dimensión transfronteriza y de cadena de suministro. En una realidad en la que todo está conectado con todo, un incidente en un dispositivo aparentemente irrelevante puede convertirse en el vector de ataque contra toda una organización o sus socios comerciales. Un único sensor IoT infectado en una nave de producción puede abrir la puerta a la red de la planta; una vulnerabilidad en una aplicación popular puede explotarse a escala global en cuestión de minutos. Como se subraya en la exposición de motivos del Reglamento, un incidente cibernético en un solo producto puede propagarse por la cadena de suministro más allá de las fronteras de un país en pocos minutos. Los costes de este tipo de ataques no recaen solo en fabricantes y usuarios, sino en la sociedad en su conjunto: interrupciones de infraestructuras críticas, pérdidas económicas y afectación de la seguridad pública. Unas normas comunes y obligatorias en toda la UE deben elevar el nivel general de protección y evitar situaciones en las que el eslabón más débil (un producto no resiliente) ponga en riesgo a todos.

Otro motivo adicional es el aumento de la confianza en los productos digitales y la igualdad de condiciones competitivas. En la actualidad, los fabricantes que invierten en seguridad desde el diseño a menudo pierden en precio frente a quienes ignoran estas cuestiones. El CRA debe lograr que la ciberseguridad se convierta en un estándar de calidad: todos tendrán que cumplir unos requisitos mínimos, lo que equilibrará las oportunidades y reducirá los costes sociales de los ataques (que hoy se trasladan a las víctimas). En consecuencia, esto debe reforzar la resiliencia de todo el mercado de la UE y la confianza de los clientes en los dispositivos modernos con elementos digitales. El Reglamento también se enmarca en una estrategia más amplia de la UE (junto con el RGPD, NIS2, DORA, etc.) orientada a reforzar la ciberseguridad de los servicios y productos como base de la economía digital.

Reglamento (UE) 2024/2847: principales obligaciones para fabricantes, importadores y distribuidores

El nuevo Reglamento introduce una serie de obligaciones concretas para los operadores económicos implicados en la cadena de suministro de productos con elementos digitales. El alcance de la responsabilidad depende del papel de cada uno: las mayores exigencias recaen sobre los fabricantes, pero importadores y distribuidores también tienen tareas relevantes. A continuación resumimos las obligaciones clave desde la perspectiva de un directivo responsable de la conformidad de los productos de la empresa con la normativa.

Obligaciones de los fabricantes

El fabricante (así como la entidad que comercializa un producto con su propia marca o lo modifica, ya que también se la considera fabricante) asume la responsabilidad principal de cumplir los requisitos del CRA. Entre sus tareas más importantes se incluyen:

• Garantizar la conformidad del producto con los requisitos esenciales de ciberseguridad establecidos en el anexo I del reglamento. En la práctica, esto significa que el producto, ya desde la fase de diseño y construcción, debe incorporar características que garanticen un nivel adecuado de seguridad digital, proporcional al riesgo asociado al producto en cuestión. El reglamento enumera una serie de requisitos técnicos concretos, entre ellos la ausencia de vulnerabilidades conocidas en el momento de su comercialización, el uso de configuraciones seguras por defecto (por ejemplo, evitando contraseñas predeterminadas), el cifrado cuando proceda, medidas frente al acceso no autorizado, la protección de los datos personales del usuario, la resistencia a ataques que alteren el funcionamiento (por ejemplo, ataques DoS) y la posibilidad de realizar un restablecimiento a la configuración de fábrica. El producto debe diseñarse de forma que reduzca al máximo su «superficie de ataque»; por ejemplo, sin puertos o servicios abiertos innecesarios que aumenten la exposición a ciberamenazas. Estos requisitos esenciales (parte I del anexo I del CRA) constituyen una lista de verificación de las características de seguridad que debe cumplir todo producto digital.
• Establecer un proceso de gestión de vulnerabilidades e incidentes: el fabricante debe velar activamente por la seguridad del producto después de su venta, durante todo el periodo de soporte declarado. En la parte II del anexo I se establecen los requisitos relativos al proceso de gestión de vulnerabilidades (vulnerability handling): pruebas y supervisión periódicas para detectar nuevas brechas, recepción de notificaciones de vulnerabilidades (por ejemplo, de investigadores o usuarios) y corrección/aplicación rápida de parches para las vulnerabilidades detectadas mediante el suministro de actualizaciones de seguridad. El fabricante debe contar con una política de divulgación coordinada de vulnerabilidades (coordinated disclosure), es decir, disponer de un punto de contacto designado al que puedan comunicarse los problemas y de procedimientos para responder a dichas comunicaciones. Es importante que las actualizaciones eliminen las vulnerabilidades sin demora y se distribuyan de forma segura (por ejemplo, firmadas digitalmente). Además, el fabricante está obligado a proporcionar soporte y actualizaciones de seguridad durante un periodo correspondiente al ciclo de vida previsto del producto, con un mínimo de 5 años (salvo que la naturaleza del producto justifique un periodo más corto). En otras palabras, si normalmente nuestro equipo va a prestar servicio a los clientes durante ~5+ años, no podemos dejar de publicar parches al cabo de uno o dos años: será necesario un soporte posventa de varios años para que el usuario no se quede con un dispositivo vulnerable.
• Realizar una evaluación del riesgo de ciberseguridad: antes de comercializar un producto con elementos digitales, el fabricante debe llevar a cabo un análisis sistemático de los riesgos relacionados con las ciberamenazas que afectan a ese producto. La evaluación del riesgo debe formar parte del proceso de diseño (security by design) y tener en cuenta, entre otros aspectos, el uso previsto del producto, los posibles usos incorrectos previsibles y las condiciones de utilización (entorno IT, red, tipo de datos que procesa el dispositivo). A partir de este análisis, deben definirse las medidas de protección adecuadas e integrarlas en el diseño. La documentación de la evaluación del riesgo en el ciberespacio pasa a formar parte de la documentación técnica del producto y debe actualizarse si aparecen nuevas amenazas. El fabricante está obligado a conservar esta documentación durante al menos 10 años desde la introducción del producto en el mercado (y, si el periodo de soporte declarado es superior a 10 años, durante el tiempo adicional que corresponda). La evaluación del riesgo no es una actuación puntual: debe verificarse y actualizarse cuando sea necesario, especialmente si se detectan nuevas vulnerabilidades o cambia el contexto de uso del producto.
• Supervisión de componentes externos: el fabricante debe actuar con la debida diligencia al utilizar componentes de terceros, incluidas bibliotecas open source. Es necesario garantizar que los componentes externos (software y hardware) no comprometan la ciberseguridad del producto en su conjunto. En la práctica, esto implica controlar las versiones y actualizaciones de las bibliotecas utilizadas, supervisar las vulnerabilidades conocidas (por ejemplo, las publicadas en CVE) en dichos componentes y actualizarlos o sustituirlos cuando aparezcan brechas. Si en el producto se ha utilizado software de código abierto y se detecta en él una vulnerabilidad, el fabricante tiene la obligación de informar del problema a la entidad responsable del mantenimiento de ese open source (por ejemplo, el proyecto open source) y, si corrige la vulnerabilidad por su cuenta, trasladar a la comunidad la información sobre la corrección aplicada. El objetivo es implicar a los fabricantes en el ecosistema de corrección coordinada de vulnerabilidades también en los componentes open source.
• Evaluación formal de la conformidad y documentación: antes de que el producto llegue al mercado, el fabricante debe llevar a cabo el procedimiento de evaluación de la conformidad con los requisitos del CRA y elaborar la documentación que acredite el cumplimiento de dichos requisitos. En el caso de la mayoría de los productos «ordinarios» (no incluidos en categorías de mayor riesgo), bastará con una verificación interna (evaluación interna) y con preparar la documentación técnica, que incluirá, entre otros elementos, la descripción del producto, los resultados del análisis de riesgos, la lista de medidas de seguridad aplicadas, los procedimientos de ensayo y actualización, etc. A continuación, el fabricante emite la declaración UE de conformidad, en la que declara que el producto cumple todos los requisitos aplicables del CRA, y coloca en el producto el marcado CE. Atención: si un producto determinado ha sido clasificado como «importante» o «crítico» desde el punto de vista de la ciberseguridad (Annex III y IV CRA), pueden aplicársele procedimientos más estrictos de evaluación de la conformidad. Para los productos importantes de clase II y los críticos será necesaria una certificación por un tercero, es decir, un examen y un certificado emitidos por un organismo notificado (por ejemplo, un laboratorio acreditado). En el caso de los productos importantes de clase I, la autocertificación solo está permitida si existen normas armonizadas adecuadas y el fabricante las aplica; en caso contrario, también será necesaria la intervención de un tercero. Por tanto, el responsable debe determinar a qué categoría pertenece el producto de la empresa y si será necesario planificar una certificación externa (lo que puede afectar al calendario de lanzamiento al mercado). Para ampliar información sobre el CRA y la preparación del producto para los requisitos de 2026–2027, conviene revisar el marco aplicable con antelación.
• Supervisión de la seguridad tras la comercialización y notificación: una de las novedades introducidas por el CRA es la obligación de notificar los problemas graves de seguridad a las autoridades competentes. El fabricante debe notificar al CSIRT nacional (equipo de respuesta) designado como coordinador y a la agencia ENISA toda vulnerabilidad de su producto que esté siendo explotada activamente, así como cualquier incidente grave que afecte a la seguridad del producto. El plazo de notificación es muy breve: 24 horas desde la detección de la vulnerabilidad o del incidente (de forma análoga a las exigencias del RGPD o de NIS2). Las notificaciones se realizarán a través de una plataforma europea única gestionada por ENISA. La obligación de notificación entrará en vigor antes que el resto de requisitos (septiembre de 2026; véanse los plazos más abajo) y se aplicará a todos los productos en el mercado a partir de ese momento. Por ello, el fabricante debe disponer de procedimientos internos capaces de detectar un incidente o una vulnerabilidad y, en el plazo de un día, remitir la información exigida por el reglamento. El objetivo es proporcionar a las autoridades de supervisión una visión general de las amenazas emergentes y coordinar la respuesta (por ejemplo, alertar a otros usuarios cuando un producto presente una vulnerabilidad crítica).

Estas obligaciones suelen exigir cambios organizativos importantes: desde la implantación de un Secure SDLC en el departamento de I+D, hasta nuevas políticas de mantenimiento y soporte de producto, además de documentación adicional y formación del personal. A cambio, la empresa gana una mayor seguridad de que su producto no se convertirá en el origen de un ciberincidente grave, así como el cumplimiento de la normativa que está por entrar en vigor, lo que permitirá seguir vendiéndolo en el mercado de la UE.

Reglamento (UE) 2024/2847: obligaciones de importadores y distribuidores

Las entidades que importan productos con elementos digitales desde fuera de la UE (importadores) o los revenden posteriormente en el mercado de la Unión (distribuidores) también deben velar por que estos productos cumplan el CRA. Su función consiste principalmente en la verificación y la respuesta ante posibles incumplimientos.

El importador, antes de introducir el producto en el mercado de la UE, debe comprobar que el fabricante ha cumplido sus obligaciones; es decir, que el producto dispone del marcado CE y de la declaración UE de conformidad exigidos, que se han adjuntado las instrucciones y la información de seguridad, y que el fabricante ha elaborado la documentación técnica requerida. El importador no tiene que ensayar por sí mismo la ciberseguridad del producto, pero si tiene dudas fundadas sobre la conformidad del producto con los requisitos (por ejemplo, ausencia del marcado CE, falta de información sobre el periodo de soporte, etc.), no debe comercializar ese producto hasta asegurarse de que la no conformidad ha sido subsanada. Si se constata que el producto no cumple los requisitos del CRA, el importador está obligado a informar a las autoridades de vigilancia y a adoptar medidas correctoras: garantizar que el producto se ponga en conformidad o, si ello no es posible, retirarlo de la comercialización o del mercado. Los importadores, al igual que los fabricantes, deben conservar una copia de la declaración de conformidad y asegurarse de que la documentación técnica esté disponible para las autoridades cuando la soliciten. También deben indicar en el producto (o en el embalaje) sus datos de contacto y garantizar que el producto esté correctamente marcado. En la práctica, el papel del importador actúa como una puerta de control de seguridad: debe impedir que se distribuyan en la UE productos que no cuenten con la documentación que acredite el cumplimiento del CRA. Para más contexto sobre el CRA y la preparación del producto para los requisitos de 2026–2027, puede consultarse este artículo.

Los distribuidores (mayoristas nacionales, minoristas, etc.) se encuentran en una situación similar a la de los importadores, con la diferencia de que verifican el cumplimiento de los requisitos tanto por parte del fabricante como, en su caso, del importador si el producto procede de fuera de la UE. Por tanto, antes de su reventa, el distribuidor debe comprobar si el producto lleva el marcado CE, si incluye la declaración o las instrucciones exigidas por la normativa y si no se han publicado comunicaciones indicando que ese modelo no cumple los requisitos de seguridad. En caso de duda, también está obligado a suspender la venta hasta que la situación se aclare. Si considera (o se le informa de) que el producto presenta un riesgo grave o no cumple los requisitos del CRA, debe notificarlo al fabricante o al importador, así como a las autoridades de vigilancia, y colaborar en las medidas correctoras (por ejemplo, en campañas de retirada del mercado).

Desde la perspectiva del responsable de compras, estas regulaciones implican la necesidad de extremar la diligencia al seleccionar proveedores de hardware y software. Hay que asegurarse de que los proveedores de fuera de la UE suministran productos ya conformes con el CRA, porque, de lo contrario, nuestra empresa (como importadora) asumirá la responsabilidad por esas carencias. Para el distribuidor (por ejemplo, una empresa que comercializa soluciones de automatización industrial), se añade además la obligación de controlar si los productos de las distintas marcas que ofrece cuentan con declaraciones de conformidad vigentes y cumplen los requisitos; en la práctica, esto exigirá una estrecha colaboración con los fabricantes y una reacción rápida ante cualquier alerta de seguridad relativa a los equipos comercializados.

Conviene señalar que: si el importador o el distribuidor introduce un producto con su propio logotipo o marca, o modifica el producto (por ejemplo, cambia su funcionalidad, su software o su configuración de una forma relevante para la ciberseguridad), de acuerdo con el reglamento pasa a ser considerado fabricante de ese producto. En ese caso, debe asumir todas las obligaciones del fabricante (realizar la evaluación de la conformidad, emitir su propia declaración, etc.). Esta situación afecta, por ejemplo, a las empresas integradoras de sistemas que venden equipos OEM bajo su propia marca: deben actuar con especial cautela, porque formalmente responden de la conformidad igual que el fabricante original.

Fechas de entrada en vigor y periodos transitorios

El Reglamento (UE) 2024/2847 se publicó en el Diario Oficial el 20 de noviembre de 2024. Entró en vigor el 10 de diciembre de 2024 (20 días después de su publicación); sin embargo, las obligaciones principales no serán aplicables hasta transcurridos 36 meses desde esa fecha. El legislador ha previsto un largo periodo transitorio para dar tiempo al sector a adaptarse. Estas son las fechas clave:

• 11 de septiembre de 2026 – a partir de esa fecha empezarán a aplicarse las obligaciones de notificación de vulnerabilidades e incidentes. El fabricante de cualquier producto con elementos digitales presente en el mercado de la UE deberá comunicar a las autoridades competentes todas las vulnerabilidades explotadas activamente y los incidentes graves de seguridad que afecten a su producto. Esta fecha llega 21 meses después de la entrada en vigor del CRA y significa que ya en 2026 las empresas deben contar con procedimientos de supervisión de la seguridad y de notificación de problemas. Esto no depende de cuándo se haya introducido el producto en el mercado: también afecta a los productos vendidos antes de 2026 que sigan en uso. En otras palabras, aunque un dispositivo se haya comercializado, por ejemplo, en 2025 (antes de la aplicación del reglamento), si en septiembre de 2026 se descubre en él una vulnerabilidad crítica, el fabricante estará obligado a notificarla y corregirla.
• 11 de junio de 2026 – desde ese día serán aplicables las disposiciones relativas a las entidades notificadas y los organismos de evaluación de la conformidad. Los Estados miembros prepararán, antes de mediados de 2026, el sistema de designación y notificación de las entidades que estarán autorizadas para certificar productos (importantes y críticos) en relación con el cumplimiento de los requisitos del CRA. Para los fabricantes es fundamental que, en la segunda mitad de 2026, ya exista la infraestructura necesaria para realizar los ensayos y certificaciones exigidos.
• 11 de diciembre de 2027 – aplicación plena del reglamento CRA. A partir de esa fecha, ningún producto con elementos digitales que no cumpla los requisitos del CRA podrá introducirse legalmente en el mercado de la UE. Este plazo (3 años desde la entrada en vigor) es la fecha límite para adaptar productos y procesos. Después del 11.12.2027, todos los nuevos dispositivos y programas informáticos vendidos en la UE deberán estar diseñados, fabricados y mantenidos conforme al CRA; de lo contrario, la empresa se expone a sanciones graves. Conviene subrayar que la normativa prevé cierto alivio para los productos que ya estén en el mercado: si un producto determinado (una unidad concreta) ya se ha puesto a disposición en el mercado antes del 11 de diciembre de 2027, podrá seguir comercializándose sin cumplir el CRA. Sin embargo, esto solo se aplica a unidades individuales: el tipo de producto diseñado antes del CRA no queda automáticamente exento. Cada nuevo lote o nueva unidad que se ponga a la venta después de esa fecha deberá cumplir el CRA, salvo que ya se encontrara físicamente en el mercado con anterioridad (lo que, en la práctica, significa por ejemplo existencias en el almacén de un distribuidor que ya hubiera comprado la mercancía antes del plazo). Por tanto, no es posible eludir la normativa produciendo «para adelantarse» y vendiendo después de 2027: cada producto, en el momento de su introducción en el mercado, está sujeto a los requisitos vigentes. La excepción la constituyen los certificados UE de examen de tipo todavía válidos emitidos antes de esa fecha con arreglo a otras normativas: seguirán siendo válidos hasta junio de 2028, salvo que se haya fijado un plazo más corto.

Para las empresas, la conclusión práctica es que la fecha límite real es finales de 2027. A partir de 2028 ya no se podrán vender en la UE dispositivos que no cumplan los requisitos del CRA. Sin embargo, ya en 2026 habrá que estar preparado para las nuevas obligaciones de notificación de incidentes. El tiempo restante debe aprovecharse para analizar y adaptar los productos. Aunque 3 años parezcan mucho, los cambios pueden ser profundos; es mejor iniciar los trabajos con antelación. A continuación presentamos una lista de comprobación de las acciones que un directivo debería considerar al preparar su organización para cumplir los requisitos del acto de ciberresiliencia. Para ampliar la información sobre el contexto regulatorio y la preparación del producto, puede consultar más información sobre el CRA y la preparación del producto para los requisitos de 2026–2027.

Reglamento (UE) 2024/2847: cómo prepararse para 2026/2027 – lista de comprobación para directivos

• Identifica los productos sujetos al CRA – Elabora una lista de los productos de la empresa que sean «productos con elementos digitales» (hardware o software que se conecta a la red o a otros dispositivos). Para cada uno, determina si puede considerarse importante o crítico en el sentido del reglamento (Annex III/IV); por ejemplo, si desempeña funciones de seguridad esenciales o si su compromiso puede causar daños a gran escala. De esta clasificación depende, entre otras cosas, el procedimiento de evaluación de la conformidad exigido (incluido si será necesaria la intervención de un tercero).
• Familiarízate con los requisitos y las normas – Analiza los requisitos esenciales de ciberseguridad del anexo I del CRA y compáralos con tus productos. Comprueba si ya existen normas armonizadas o estándares sectoriales que puedan facilitar el cumplimiento de los requisitos (por ejemplo, las normas de la familia IEC 62443 para la protección de sistemas de automatización industrial pueden ser útiles al diseñar la seguridad de las máquinas). Mantente al día de los trabajos de normalización: es posible que aparezcan directrices que faciliten la implantación de los requisitos del CRA en tu ámbito.
• Realiza un análisis de brechas (gap analysis) – Compara el estado actual de tus productos y procesos con los nuevos requisitos. Evalúa hasta qué punto el nivel de protección actual cumple las exigencias (por ejemplo, si los dispositivos disponen de mecanismos de autenticación, cifrado, actualizaciones seguras, etc.). Analiza también el proceso de desarrollo de software en la empresa: si se aplican principios de secure coding, si se realizan pruebas de penetración y con qué rapidez respondéis a las vulnerabilidades notificadas. Identifica carencias y áreas de mejora tanto en la organización (procedimientos) como en la tecnología (funciones de seguridad).
• Adapta el diseño y el desarrollo de los productos – Si el análisis de brechas detecta deficiencias, planifica la implantación de los mecanismos y prácticas que falten. Esto puede incluir cambios en la arquitectura del producto (por ejemplo, añadir un módulo de cifrado o proteger las interfaces de comunicación), mejorar el proceso de SDLC (Software Development Life Cycle) con elementos de threat modeling, code review orientado a la seguridad, pruebas de fuzzing, etc., así como establecer nuevas políticas de seguridad del producto. Asegúrate de que el equipo de I+D trate la ciberseguridad como un requisito de diseño al mismo nivel que la funcionalidad: el reglamento impone un enfoque de «security by design/default».
• Planifica el sistema de actualizaciones y soporte – Analiza si tu empresa está preparada para dar soporte a los productos durante el tiempo necesario. Puede que sea necesario crear un calendario y asignar recursos para publicar actualizaciones periódicas del firmware durante varios años desde la venta. Comprueba si los productos tienen capacidad técnica de actualización (remota o local); si no la tienen, es un problema grave, porque el CRA exige la posibilidad de corregir vulnerabilidades después de la venta. Define un periodo de soporte realista (mínimo 5 años) y comunícalo a los usuarios. Prepara también un plan de asistencia técnica para gestionar las notificaciones de seguridad de los clientes.
• Prepara la documentación exigida – Asegúrate de que para cada producto se genere una documentación técnica completa desde el punto de vista de la ciberseguridad. Debe incluir, entre otros elementos, el informe de evaluación de riesgos, la descripción de la arquitectura de seguridad, la lista de medidas aplicadas (por ejemplo, cifrado y autorización), los resultados de las pruebas de seguridad, los procedimientos de actualización, la política de divulgación de vulnerabilidades, etc. Esta documentación será la base para demostrar la conformidad en caso de inspección (y, en su caso, para presentarla ante un organismo certificador). Organiza también su archivo durante el periodo exigido (10 años o más). Además, prepara modelos de declaración UE de conformidad para tus productos, recordando que deben incluir la nueva formulación que confirme el cumplimiento de todos los requisitos del reglamento.
• Cuida la cadena de suministro – Ponte en contacto con los proveedores de componentes (especialmente software, módulos IoT, etc.) para tratar las cuestiones de conformidad con el CRA. Actualiza los contratos con los proveedores incorporando cláusulas sobre el nivel de ciberseguridad exigido a los componentes y la obligación de informar sobre las vulnerabilidades detectadas. Asegúrate de tener acceso a la información sobre el origen y las versiones de los componentes (mantén un SBOM – Software Bill of Materials de los productos, lo que facilitará el seguimiento de vulnerabilidades en bibliotecas dependientes). Si utilizas servicios externos en la nube vinculados al producto, verifica sus medidas de seguridad y su conformidad con NIS2 (ya que SaaS puede estar sujeto a NIS2 en lugar de al CRA). La ciberseguridad del producto también depende de la seguridad de todas las piezas que lo componen: los proveedores deben avanzar en la misma dirección.
• Forma al personal y sensibiliza a los clientes – Las nuevas obligaciones hacen que distintos departamentos de la empresa deban tener conocimientos básicos sobre el CRA. Organiza formación para los departamentos de diseño, calidad, IT y servicio técnico sobre los requisitos del reglamento y los procedimientos internos (por ejemplo, cómo responder a una notificación de vulnerabilidad o cómo documentar los cambios a efectos de conformidad). También conviene informar a los departamentos de compras y ventas para que conozcan las nuevas marcas y declaraciones (por ejemplo, la necesidad de comprobar si un proveedor de fuera de la UE ha entregado la declaración de conformidad). Considera además preparar información para los clientes sobre la política de seguridad de vuestros productos: la transparencia en este ámbito puede convertirse en una ventaja comercial (los usuarios empezarán a fijarse en si un producto cumple los requisitos de ciberseguridad y tiene actualizaciones garantizadas).
• Supervisa las directrices y los plazos – Sigue las comunicaciones de la Comisión Europea y de las autoridades nacionales relativas al CRA. Pueden aparecer actos delegados o de ejecución que concreten determinadas cuestiones (por ejemplo, exclusiones sectoriales: la Comisión puede decidir excluir del CRA productos cubiertos por requisitos sectoriales equivalentes). Observa también el proceso de publicación de normas armonizadas: aplicar una norma será la vía más sencilla para obtener la presunción de conformidad. Asegúrate de cumplir los plazos mencionados: septiembre de 2026 (preparación para la notificación de incidentes) y diciembre de 2027 (plena conformidad de todos los productos nuevos). Lo ideal es fijar hitos internos mucho antes; por ejemplo, completar el análisis preliminar de riesgos a mediados de 2025, adaptar el proceso de desarrollo antes de finales de 2025 y realizar pruebas de conformidad y precertificaciones en 2026, de modo que la empresa entre en 2027 con el cumplimiento prácticamente resuelto. Dejarlo para el último momento puede suponer la paralización de las ventas, por lo que un enfoque proactivo es clave.

Hacer estos «deberes» con antelación permitirá evitar las prisas de última hora en 2027 y los riesgos asociados. En lugar de considerar el CRA únicamente como una obligación, conviene verlo como una oportunidad para elevar el nivel general de seguridad de los productos, lo que protege tanto a la empresa como a sus clientes frente a incidentes costosos.

CRA y el Reglamento de Máquinas (UE) 2023/1230: ¿qué queda sujeto a cuál?

Muchos directivos del sector industrial se preguntan cómo se relacionan las nuevas normas sobre ciberresiliencia con el ya conocido Reglamento de Máquinas (UE) 2023/1230 (que sustituirá a la Directiva de Máquinas). ¿Existe una duplicidad de requisitos o, por el contrario, ambos reglamentos se complementan? La clave está en entender qué aspectos del producto regula cada acto jurídico.

El Reglamento de Máquinas 2023/1230 abarca la seguridad de las máquinas en el sentido tradicional: se centra en proteger la salud y la seguridad de los usuarios de las máquinas. Establece los llamados requisitos esenciales de seguridad y salud (EHSR), que se refieren, entre otros, a aspectos mecánicos, eléctricos, ergonómicos, ruido, EMC, etc. Es cierto que el nuevo reglamento de máquinas también ha introducido la exigencia de tener en cuenta los riesgos relacionados con el acceso a internet y los ciberataques como una posible amenaza para la seguridad. Esto significa que el fabricante de la máquina debe considerar, durante la evaluación de riesgos, escenarios en los que, por ejemplo, una intervención remota en el sistema de control de la máquina pudiera provocar un accidente. Por tanto, debe diseñar medidas para evitar estas situaciones (por ejemplo, protecciones de red que impidan que una persona no autorizada tome el control de la máquina). Sin embargo, el reglamento de máquinas regula la ciberseguridad solo en la medida en que esta afecta a la seguridad física de las personas que manejan las máquinas. Se trata de uno de los muchos elementos que forman parte de la evaluación de la conformidad de la máquina, pero no entra en requisitos detallados propios del ámbito IT: no encontraremos en él una lista de mecanismos criptográficos ni la obligación de actualizar el software de la máquina después de su venta. Puede resumirse así: el Reglamento de Máquinas vela por que la máquina no suponga un peligro para la vida o la salud (también como consecuencia de un ciberincidente), mientras que el CRA se ocupa de la ciberseguridad general del producto (incluida la confidencialidad de los datos, la resiliencia de los servicios y todo el ciclo de vida).

El Reglamento de Ciberresiliencia abarca un alcance mucho más amplio de cuestiones IT que el reglamento de máquinas. Incluso en el caso de las máquinas industriales, el CRA impone, por ejemplo, requisitos de notificación de vulnerabilidades, garantía de actualizaciones durante X años y protección frente a la pérdida de datos; es decir, cuestiones no directamente relacionadas con la seguridad del usuario de la máquina, sino con la ciberseguridad como tal. En la práctica, esto significa que una máquina que sea un producto con elementos digitales estará sujeta simultáneamente a las disposiciones de ambos reglamentos. El fabricante de esa máquina debe cumplir los requisitos de uno y otro acto: tanto los relativos a un diseño seguro desde el punto de vista, por ejemplo, mecánico (Reglamento de Máquinas), como los relativos a la protección del software, la red y los datos (CRA). Cumplir los requisitos de un reglamento no implica automáticamente la conformidad con el otro, porque los criterios de evaluación son distintos.

Desde el punto de vista del procedimiento de evaluación de la conformidad, un producto sujeto a más de un reglamento de la UE debe cumplir todas las disposiciones aplicables antes del marcado CE. Por ejemplo: el fabricante que comercialice un robot industrial colaborativo con función de monitorización remota tendrá que asegurarse de que el robot cumple los requisitos esenciales de seguridad de las máquinas (Reglamento 2023/1230) y los requisitos esenciales de ciberseguridad (Reglamento (UE) 2024/2847). La declaración UE de conformidad de esa máquina deberá mencionar ambos actos jurídicos. A su vez, el director de mantenimiento que adquiera ese equipo deberá comprobar tanto la conformidad con el «CE de máquinas» como con el «CE de ciberseguridad». En la práctica, el marcado CE es único, pero la documentación debe demostrar la conformidad con todas las disposiciones del nuevo enfoque que sean aplicables al producto. Para más información sobre marcado CE y conformidad de máquinas, conviene revisar también ese ámbito en detalle.

Conviene señalar algunos ejemplos de qué queda sujeto a cada reglamento:

• Dispositivos TI puramente electrónicos (sin funciones de máquina) – por ejemplo, routers, smartphones o cámaras IP – no están sujetos al Reglamento de Máquinas (porque no son máquinas), pero sí al CRA si incorporan elementos digitales y se comunican por red. En su caso, lo determinante es sobre todo la ciberseguridad, y las cuestiones de seguridad física del usuario no son relevantes (salvo por la normativa general de seguridad y salud en el trabajo/EMC).
• Máquinas tradicionales sin conexión digital – por ejemplo, una prensa hidráulica con control puramente analógico – están sujetas al Reglamento de Máquinas (deben cumplir los requisitos relativos al diseño, resguardos, circuitos de seguridad, etc.), pero no están sujetas directamente al CRA, ya que no contienen elementos digitales que se comuniquen con el exterior. Naturalmente, si la máquina incorpora electrónica de control, esta puede considerarse en sí misma equipo digital; sin embargo, mientras no exista conectividad (por ejemplo, ausencia de puertos de red o de acceso remoto), no cumple la definición de «producto con elementos digitales» en el sentido del CRA.
• Máquinas modernas con funciones digitales – por ejemplo, robots, líneas de producción con IoT o vehículos AGV que se comunican con el sistema de gestión – están sujetas a ambas normas. En este caso, el Reglamento de Máquinas exigirá, entre otras cosas, una evaluación del riesgo tradicional (para que la máquina no genere peligros mecánicos o eléctricos), así como el requisito de que, por ejemplo, el acceso remoto al robot no pueda provocar una situación peligrosa (es decir, tener en cuenta las ciberamenazas que afectan a la seguridad). Por su parte, el CRA impondrá además la obligación de que ese robot disponga de un software protegido de forma general (por ejemplo, transmisiones de datos cifradas, contraseñas únicas), reciba actualizaciones por parte del fabricante y, en caso de detectarse una vulnerabilidad, esta se corrija y se notifique a las autoridades. Por tanto, el fabricante de este tipo de equipos debe garantizar la resistencia frente a ciberataques tanto en el contexto de la seguridad de las personas como de la continuidad operativa, la confidencialidad de los datos, etc.

En resumen, el Reglamento de Máquinas y el CRA no compiten entre sí, sino que se complementan. El primero vela por la seguridad funcional de las máquinas (incluidos los requisitos mínimos de ciberseguridad para que la máquina sea segura), mientras que el segundo se ocupa de la ciberseguridad del producto en un sentido más amplio a lo largo de todo su ciclo de vida. Para los directivos, esto implica la necesidad de una conformidad multidimensional: un producto inteligente debe ser a la vez seguro desde el punto de vista del diseño y ciberseguro. Por ello, es necesario seguir los requisitos de ambas regulaciones. Afortunadamente, los plazos de aplicación son similares: el Reglamento de Máquinas también empezará a aplicarse en la práctica a partir de enero de 2027 (sustituyendo a la directiva), y el CRA a finales de 2027. Por tanto, es posible integrar la preparación para ambos en un programa de compliance coherente. Por ejemplo, al diseñar una nueva máquina, conviene tener en cuenta desde el principio tanto los requisitos de seguridad de máquinas como las medidas de protección de TI; durante las pruebas del prototipo, verificar no solo la conformidad con normas como ISO 13849 (safety), sino también, por ejemplo, realizar pruebas de penetración del sistema de control. Con este enfoque, la empresa asegurará una conformidad integral y evitará la situación de cumplir una norma a costa de ignorar la otra.

El Reglamento (UE) 2024/2847 es, sin duda, un reto para fabricantes y proveedores, pero al mismo tiempo una respuesta necesaria a la realidad actual. Las máquinas y los equipos son cada vez más inteligentes y están más conectados, y la normativa debe evolucionar al mismo ritmo. Los directivos que empiecen ya a tomar medidas preparatorias obtendrán una ventaja: sus empresas no solo se adaptarán sin fricciones al nuevo marco jurídico, sino que también reforzarán la competitividad y credibilidad de sus productos ante unos clientes para los que la seguridad digital es cada vez tan importante como el precio o la funcionalidad. Con el apoyo adecuado de expertos en seguridad de máquinas y TI, la implantación de los requisitos del CRA puede abordarse como parte de la mejora continua y no solo como una obligación regulatoria. Como resultado, saldrán beneficiados la empresa, los usuarios finales y todo el ecosistema digital. Productos más seguros significan menos riesgo de paradas, ataques y pérdidas, y ese es el objetivo que comparten tanto el legislador como los participantes responsables del mercado.