Cyber Resilience Act: todo lo que necesitas saber sobre la norma europea que cambiará para siempre el software

 

La UE actúa en casi todo en contra de los ciudadanos. Defendiendo intereses de terceros: grandes multinacionales, mercados externos (Marruecos, Ukrania), pero casi eiempre en contra de los intereses de los ciudadanos. En el software, no sería distinto, ya que esta norma actúa como barrera para el software libre, principalmente.

 

 

¿Qué es el Cyber Resilience Act?

 

El Cyber Resilience Act (CRA) — formalmente Reglamento (UE) 2024/2847— es la primera ley europea que establece requisitos obligatorios de ciberseguridad para todos los productos con elementos digitales que se comercialicen en el mercado de la Unión Europea. Se trata de una norma horizontal, lo que significa que no se limita a un sector concreto: afecta transversalmente a todo producto digital, desde un router doméstico hasta un sistema industrial de control de planta.

 

El CRA fue propuesto por la Comisión Europea en septiembre de 2022, aprobado por el Parlamento Europeo en marzo de 2024, adoptado formalmente por el Consejo en octubre de 2024, publicado en el Diario Oficial el 20 de noviembre de 2024 y entró en vigor el 10 de diciembre de 2024.

 

Objetivo del CRA

 

Garantizar que cualquier producto digital (hardware o software) disponible en la UE esté diseñado, desarrollado y mantenido de forma segura durante todo su ciclo de vida. El fin último: elevar el nivel de ciberresiliencia de toda la economía digital europea, protegiendo tanto a consumidores como a empresas frente al crecimiento exponencial de ciberataques.

 

El reglamento se integra en un ecosistema normativo más amplio. Mientras la Directiva NIS2 se centra en la seguridad de infraestructuras y servicios esenciales, y el Reglamento de IA regula los sistemas de inteligencia artificial, el CRA pone el foco en los productos digitales en sí. Juntas, conforman un marco integral de ciberseguridad sin precedentes.

 

La Comisión Europea identificó en 2022 que la falta de información clara sobre la ciberseguridad de los productos era una de las principales causas de los daños provocados por ciberataques exitosos. El CRA responde directamente a esa carencia: exige transparencia, trazabilidad y responsabilidad a lo largo de toda la cadena de valor digital.

 

Alcance: ¿qué productos y software afecta?

 

El alcance del CRA es extraordinariamente amplio. Cubre todos los productos con elementos digitales (hardware y software) que tengan una conexión —directa o indirecta, lógica o física— a un dispositivo o red, y que se comercialicen en el mercado de la UE, ya sea de forma gratuita o de pago.

 

Productos incluidos

 

Software

 

Aplicaciones, sistemas operativos, firmware, SDKs, bibliotecas comerciales, SaaS con componente instalable

 

Dispositivos IoT

 

Routers, termostatos inteligentes, cámaras, wearables, electrodomésticos conectados

 

Sistemas industriales

 

SCADA, PLCs, robots conectados, sistemas de control industrial, sensores industriales

 

Software de seguridad

 

Firewalls, antivirus, IDS/IPS, gestores de contraseñas, sistemas de gestión de identidad

 

¿Qué incluye el «software externo para proteger sistemas nacionales»?

 

El CRA también alcanza al software de ciberseguridad y protección que los Estados miembros utilizan para defender sus propias infraestructuras críticas. Esto significa que cualquier solución de seguridad —firewalls de red, sistemas de detección de intrusiones, plataformas SIEM, software de cifrado, gateways de seguridad— que se venda a organismos públicos o se utilice para proteger sistemas nacionales, también debe cumplir con los requisitos del CRA.

 

Esta extensión es deliberada: la UE reconoce que el eslabón más débil de la cadena de seguridad condiciona la seguridad del conjunto. Si el software de protección de un país tiene vulnerabilidades, toda la infraestructura nacional queda expuesta. Por eso el CRA no distingue entre software de consumo, empresarial o gubernamental: el nivel mínimo de ciberseguridad es universal.

 

Productos excluidos

 

Quedan fuera del CRA aquellos productos ya regulados por legislación sectorial específica (para evitar duplicidades):

 

• Dispositivos médicos — regulados por el Medical Device Regulation (MDR)

• Vehículos y componentes de automoción — bajo el Reglamento ONU sobre Ciberseguridad

• Equipos marinos — regulados por la Directiva de Equipos Marinos

• Software de código abierto desarrollado sin ánimo de lucro (aunque los «stewards» de proyectos open source con actividad comercial sí tienen obligaciones específicas)

 

Alcance global: El CRA no se basa en dónde se fabrica el producto, sino en si se comercializa en la UE. Cualquier empresa —estadounidense, china, india o latinoamericana— que quiera vender productos digitales en Europa deberá cumplir. Esto le otorga unefecto extraterritorialcomparable al que tuvo el GDPR en su momento.

 

Requisitos principales para fabricantes

 

El Anexo I del CRA establece los requisitos esenciales de ciberseguridad que todo fabricante debe cumplir. Son tecnológicamente neutrales: no prescriben soluciones concretas, sino objetivos de seguridad que pueden alcanzarse con las tecnologías que el fabricante considere apropiadas. Los pilares fundamentales son:

 

Seguridad por diseño y por defecto (Security by Design)

 

La ciberseguridad no puede ser un añadido posterior. Debe integrarse desde la primera fase del ciclo de desarrollo. Los productos deben entregarse con configuraciones seguras por defecto, sin contraseñas débiles predefinidas, y minimizando la superficie de ataque (solo las funcionalidades estrictamente necesarias activadas).

 

Protección frente a accesos no autorizados

 

• Mecanismos robustos de autenticación y autorización

• Cifrado de datos sensibles tanto en tránsito como en reposo

• Protección contra ataques de fuerza bruta

• Segregación adecuada de funcionalidades críticas

 

​Gestión de vulnerabilidades durante todo el ciclo de vida

 

Los fabricantes deben establecer procesos para identificar, documentar y remediar vulnerabilidades de forma continua. Esto implica:

 

• Mantener un inventario actualizado de componentes de terceros y dependencias

• Generar y mantener un SBOM (Software Bill of Materials)

• Monitorizar continuamente vulnerabilidades conocidas en los componentes utilizados

• Publicar una política de divulgación coordinada de vulnerabilidades

 

Actualizaciones de seguridad obligatorias

 

El fabricante debe garantizar actualizaciones de seguridad durante un período de soporte definido y comunicado al usuario en el momento de la compra. Las actualizaciones deben instalarse de forma segura, preferiblemente automática, y no deben degradar la seguridad existente del producto.

 

Documentación técnica

 

El CRA exige documentación exhaustiva que debe conservarse durante 10 años tras la última comercialización del producto:

 

• Evaluación de riesgos de ciberseguridad

• Diseño de arquitectura y medidas de seguridad implementadas

• Procedimientos de gestión de vulnerabilidades

• Instrucciones de instalación y configuración segura

• Declaración del período de soporte

 

Integración de componentes de terceros: Si el fabricante integra componentes de terceros —bibliotecas, SDKs, servicios externos—, debe realizar unadue diligencepara garantizar que esos componentes no comprometen la ciberseguridad del producto final. La cadena de suministro también es responsabilidad del fabricante.

 

Categorías de productos: importantes vs críticos

 

El CRA clasifica los productos digitales en varias categorías según su nivel de riesgo, lo cual determina el tipo de evaluación de conformidad necesaria. La Comisión Europea adoptó el Reglamento de Ejecución (UE) 2025/2392 en noviembre de 2025 para precisar la descripción técnica de estas categorías.

 

 

 

Es importante destacar que el software de código abierto que clasifique como Importante Clase I o II puede optar a la autoevaluación, siempre que el fabricante publique la documentación técnica de forma pública.

 

Plazos de implementación

 

El CRA sigue un calendario escalonado que prioriza las obligaciones más urgentes (notificación de vulnerabilidades) mientras da margen para el cumplimiento integral. Estas son las fechas clave

 

 

 

 

 

Productos ya en el mercado: Los productos comercializados antes del 11 de diciembre de 2027 no están sujetos retroactivamente al CRA,salvo que sufran una «modificación sustancial»que afecte a sus propiedades de ciberseguridad. En ese caso, deberán cumplir con todos los requisitos del reglamento. Las obligaciones de notificación de vulnerabilidades, sin embargo, sí aplican a todos los productos ya presentes en el mercado.

 

Sanciones por incumplimiento

 

El CRA no es una recomendación voluntaria: es un reglamento vinculante con un régimen sancionador contundente. Cada Estado miembro debe designar autoridades de vigilancia del mercado encargadas de hacer cumplir la norma.

 

Tipo de infracciónSanción máximaGrave — Incumplimiento de requisitos esenciales del Anexo I15 M€ o 2,5% de la facturación anual globalMenor — Documentación, marcado CE, procedimientos de notificación10 M€ o 2% de la facturación anual globalInformación incorrecta — Datos falsos o engañosos5 M€ o 1% de la facturación anual global

 

En cada caso, se aplica la cuantía que resulte superior.

 

Además de las multas económicas, las autoridades pueden:

• ? Retirar productos del mercado hasta subsanar incumplimientos

• ? Ordenar recalls obligatorios de productos defectuosos

• ? Prohibir la comercialización de productos no conformes

• ? Exigir medidas correctoras con plazos perentorios

 

Excepción para microempresas: Las microempresas y pequeñas empresasno serán multadaspor incumplir el plazo de 24 horas en la notificación de vulnerabilidades. Los stewards de software open source también están exentos de sanciones. Sin embargo, esto no les exime de las obligaciones sustantivas: deben cumplir con los requisitos, solo que no se les sanciona por retrasos en los plazos de notificación.

 

Impacto en empresas que fabricamos software

 

Esta es la sección que más interesa a quienes desarrollamos, fabricamos o comercializamos software. El CRA va a transformar radicalmente la relación entre las empresas tecnológicas y la ciberseguridad de sus productos. Analizamos cada dimensión.

 

¿Qué deben hacer las empresas que fabrican software?

 

Las obligaciones concretas para un fabricante de software son sustanciales:

 

1. Inventariar todos los productos con elementos digitales que comercializa y clasificarlos según las categorías del CRA (predeterminada, importante I/II, crítico).

2. Realizar una evaluación de riesgos de ciberseguridad por producto, documentando amenazas, vulnerabilidades y medidas de mitigación.

3. Implementar seguridad por diseño en los procesos de desarrollo: revisión de código de seguridad, pruebas de penetración, análisis estático y dinámico.

4. Generar y mantener un SBOM (Software Bill of Materials) actualizado para cada producto, en formato CycloneDX o SPDX.

5. Establecer un proceso formal de gestión de vulnerabilidades con canales de recepción de reportes (security@empresa.com), política de divulgación coordinada y procedimientos de parcheado.

6. Definir y comunicar el período de soporte del producto, indicando durante cuánto tiempo se proporcionarán actualizaciones de seguridad.

7. Preparar la documentación técnica requerida y conservarla durante 10 años.

8. Someter el producto a la evaluación de conformidad correspondiente (autoevaluación o evaluación por tercero, según la categoría).

9. Agregar el marcado CE al producto y emitir la Declaración UE de Conformidad.

 

Costes de cumplimiento

 

El cumplimiento del CRA tiene un coste real que las empresas deben presupuestar. Aunque varía enormemente según el tamaño de la empresa y la complejidad del portfolio de productos, las principales partidas son:

 

Documentación técnica

 

Redacción, mantenimiento y actualización de la documentación exigida. Puede requerir contratar perfiles técnicos especializados en cumplimiento normativo.

 

Auditorías de conformidad

 

Para productos Importantes Clase II y Críticos, la evaluación por un organismo notificado tiene un coste que oscila entre 15.000 € y 100.000 € por producto, según la complejidad.

 

Herramientas de seguridad

 

Implementación de herramientas de análisis SBOM, SAST/DAST, gestión de vulnerabilidades y monitorización continua en los pipelines CI/CD.

 

Formación de equipos

 

Formación de desarrolladores, QA y operaciones en prácticas de seguridad por diseño, gestión de vulnerabilidades y documentación regulatoria.

 

Coste de NO cumplir vs. coste de cumplir: Las empresas que ignoren el CRA enfrentarán costes exponencialmente superiores: rediseño urgente de productos, paralización de comercialización, multas de hasta 15 M€, costes legales, indemnizaciones por brechas y pérdida irreversible de reputación y cuota de mercado.

 

La obligación de notificar vulnerabilidades en 24 horas

 

Esta es probablemente la obligación que más impacto operativo tiene. A partir del 11 de septiembre de 2026, si un fabricante tiene conocimiento de una vulnerabilidad activamente explotada en sus productos, tiene 24 horas para enviar una alerta temprana a ENISA y al CSIRT nacional. El proceso es:

 

 

 

 

 

Las notificaciones se realizan a través de la Plataforma Única de Notificación del CRA, desarrollada y mantenida por ENISA. El CSIRT que recibe la notificación la difunde a los CSIRT del resto de Estados miembros donde el producto esté disponible.

 

Esto exige tener procedimientos de respuesta a incidentes operativos 24/7, con SLAs internos que garanticen que cualquier reporte de vulnerabilidad —interno o externo— se escala y notifica en el plazo legal.

 

Responsabilidad extendida del ciclo de vida

 

El CRA introduce un cambio de paradigma: la responsabilidad del fabricante no termina con la venta. El fabricante debe garantizar la ciberseguridad del producto durante todo el período de soporte declarado. Esto implica:

 

• Monitorización continua de vulnerabilidades en el producto y sus dependencias

• Parcheado oportuno de vulnerabilidades descubiertas

• Comunicación proactiva a los usuarios sobre riesgos y actualizaciones disponibles

• Reevaluación de conformidad si el producto sufre modificaciones sustanciales

 

Para productos de ciclo de vida largo (software industrial, sistemas embebidos), esto puede suponer compromisos de soporte de 10 a 15 años.

 

Impacto diferencial: PyMEs vs grandes empresas

 

Grandes empresas

 

• Tienen equipos dedicados a compliance y seguridad

• Pueden absorber costes de auditorías de terceros

• Sus procesos de desarrollo suelen estar más maduros

• Pueden negociar mejores condiciones con organismos notificados

• Riesgo: legacy técnico acumulado en productos de años

 

PyMEs y startups

 

• Recursos limitados para dedicar a cumplimiento normativo

• Exentas de multas por retrasos en notificación de 24h

• Tienen acceso a medidas de apoyo: guía oficial, helpdesks, documentación simplificada

• Procesos más ágiles, más fáciles de adaptar

• Riesgo: el coste de una auditoría externa puede ser desproporcionado

•  

La Comisión Europea ha habilitado ayudas específicas para PyMEs, incluyendo guías de implementación, mesas de ayuda y subvenciones de hasta 30.000 € para mejorar la ciberseguridad (como las disponibles a través de INCIBE en España). Las PyMEs deben aprovechar estos recursos activamente.

 

Oportunidades de negocio: la certificación como ventaja competitiva

 

No todo son costes y obligaciones. El CRA genera oportunidades tangibles:

 

El marcado CE de ciberseguridad será un diferenciador de mercado: Al igual que el GDPR transformó la privacidad en un argumento de venta, el cumplimiento del CRA se convertirá en señal de confianza. Las empresas que certifiquen sus productos antes que sus competidores ganarán cuota de mercado, especialmente en licitaciones públicas y contratos B2B donde la ciberseguridad es cada vez más determinante.

 

• Nuevo mercado de servicios de cumplimiento: consultoría, auditoría, herramientas de automatización de SBOM, formación. Se estima que el mercado europeo de cumplimiento del CRA alcanzará los 10.000 M€ anuales.

• Ventaja en compras públicas: las administraciones exigirán cada vez más el cumplimiento del CRA como requisito en licitaciones.

• Confianza del consumidor: en un mercado donde la percepción de seguridad crece en importancia, el marcado CE de ciberseguridad comunica profesionalidad y seriedad.

• Acceso preferente al mercado europeo frente a competidores extracomunitarios que deban adaptar sus productos desde cero.

 

Comparativa con el GDPR: lecciones aprendidas

 

El GDPR cambió para siempre la forma en que las empresas gestionan los datos personales. El CRA promete un impacto similar en la ciberseguridad de productos. ¿Qué lecciones podemos extraer?

 

 

 

 

 

Lección clave del GDPR: las empresas que se anticiparon y adoptaron un enfoque de privacidad por diseño no solo evitaron sanciones, sino que convirtieron el cumplimiento en un activo estratégico. Con el CRA, la historia se repetirá: quienes lideren la certificación de ciberseguridad de sus productos marcarán la diferencia en un mercado cada vez más exigente.

 

Conclusiones y recomendaciones prácticas

 

El Cyber Resilience Act marca un punto de inflexión en la ciberseguridad europea. No es una norma más: es el primero reglamento horizontal que convierte la ciberseguridad de productos digitales en un requisito legal vinculante para comercializar en la UE. Su impacto será comparable al del GDPR en su momento.

 

Recomendaciones para empresas de software

 

Inmediato (antes de sep 2026)

 

Establecer capacidad de notificación de vulnerabilidades a ENISA. Crear canales de recepción de reportes (security@). Publicar política de divulgación coordinada. Definir procedimientos de respuesta a incidentes con SLA de 24h.

 

Medio plazo (antes de mid-2027)

 

Implementar generación automática de SBOM en los pipelines CI/CD. Completar evaluaciones de riesgo y clasificar productos. Comenzar a preparar documentación técnica. Adoptar prácticas de seguridad por diseño.

 

Cumplimiento pleno (antes de dic 2027)

 

Completar evaluación de conformidad (autoevaluación o tercero). Finalizar documentación técnica y Declaración UE de Conformidad. Aplicar marcado CE. Asegurar mecanismos de actualización y monitorización continua.

 

Mensaje final

 

El CRA no debe verse como una carga regulatoria más, sino como una oportunidad estratégica. Las empresas que se anticipen —que integren la ciberseguridad por diseño, que certifiquen sus productos antes que sus competidores, que conviertan el cumplimiento en una señal de calidad— no solo evitarán sanciones: se posicionarán como líderes en un mercado digital europeo cada vez más exigente en materia de seguridad.

 

El reloj ya corre. El primer hito —la obligación de notificar vulnerabilidades en 24 horas— entra en vigor en septiembre de 2026. Quedan meses, no años. La acción ahora evitará costes exponenciales después.

 

Linkedin: Aquilino García