NIS2 y DORA en vigor. EU AI Act es el próximo — reserva una demo
Todos los marcos normativos
Marco normativo

Cumplimiento del Cyber Resilience Act, completamente automatizado

El CRA exige ciberseguridad para todos los productos con elementos digitales vendidos en la UE. Matproof cubre la seguridad por diseño, la gestión de vulnerabilidades, la gestión de SBOM, la notificación a ENISA y la evaluación de conformidad.

Solicitar una demo

Que es el Cyber Resilience Act (CRA)?

El Cyber Resilience Act (Reglamento 2024/2847) es un reglamento de la UE que establece requisitos horizontales de ciberseguridad para productos con elementos digitales - abarcando tanto hardware como software vendido en el mercado europeo. Publicado en el Diario Oficial el 20 de noviembre de 2024, aborda los crecientes riesgos de ciberseguridad que plantean los productos conectados, desde dispositivos domésticos inteligentes y routers hasta sistemas operativos y software de control industrial.

El CRA llena un vacío regulatorio significativo: mientras que los marcos existentes de la UE abordan la seguridad de redes e información (NIS2) y la resiliencia sectorial (DORA), ningún reglamento horizontal exigía previamente que la ciberseguridad se integrara en los productos desde la fase de diseño. El CRA exige que los fabricantes, importadores y distribuidores garanticen que los productos cumplan los requisitos esenciales de ciberseguridad durante todo su ciclo de vida, incluyendo la gestión continua de vulnerabilidades y las actualizaciones de seguridad.

Las obligaciones clave incluyen seguridad por diseño y por defecto (Anexo I Parte I), gestión sistemática de vulnerabilidades (Anexo I Parte II), mantenimiento de la lista de materiales de software (SBOM), notificación rápida de vulnerabilidades a ENISA y los CSIRT nacionales, actualizaciones de seguridad gratuitas durante el periodo de soporte del producto (mínimo 5 años) y evaluación de conformidad con marcado CE. Los productos se clasifican en categorías estándar, Clase I, Clase II y críticos, con rigor de evaluación creciente.

El CRA sigue una implementación por fases: las obligaciones de notificación de vulnerabilidades se aplican desde el 11 de septiembre de 2026, y el reglamento completo se aplica desde el 11 de diciembre de 2027. Esto da a los fabricantes tiempo para adaptar sus procesos de desarrollo de productos, establecer flujos de trabajo de gestión de vulnerabilidades y prepararse para las evaluaciones de conformidad.

Quien necesita cumplir con el CRA?

El CRA se aplica a todos los operadores económicos involucrados en la comercialización de productos con elementos digitales en el mercado de la UE. Un producto con elementos digitales es cualquier producto de software o hardware y sus soluciones de procesamiento de datos remoto que incluyen una conexión lógica o física directa o indirecta a un dispositivo o red:

Fabricantes

  • Fabricantes de hardware (dispositivos IoT, routers, productos domésticos inteligentes)
  • Desarrolladores de software (aplicaciones, sistemas operativos, firmware)
  • Fabricantes de sistemas embebidos (controladores industriales, ECUs automotrices)
  • Proveedores de SaaS donde el software es un componente del producto
  • Administradores de software de código abierto (fundaciones comerciales)
  • Empresas que integran componentes de terceros en productos

Importadores y distribuidores

  • Importadores de la UE de productos fabricados fuera de la UE
  • Distribuidores que comercializan productos en el mercado de la UE
  • Marketplaces en línea que venden productos con elementos digitales
  • Integradores de sistemas que ensamblan productos a partir de componentes
  • Revendedores de productos de software y hardware
  • Distribuidores de productos de marca blanca

Cabe destacar que los servicios SaaS puros que no implican la comercialización de un producto están generalmente excluidos del ámbito del CRA (pueden estar sujetos a NIS2 en su lugar). Sin embargo, si el SaaS incluye componentes de software descargables, firmware o integración con dispositivos IoT, esos elementos están dentro del ámbito. El software de código abierto desarrollado en un contexto no comercial también está excluido, aunque los administradores de software de código abierto (p. ej., fundaciones comerciales que mantienen bibliotecas críticas) tienen obligaciones específicas bajo el Artículo 25.

Not sure if you're compliant?

Take the free CRA readiness assessment — 10 questions, 3 minutes.

Check your readiness

Requisitos clave del CRA

1. Requisitos esenciales de ciberseguridad (Anexo I Parte I)

Los productos deben diseñarse, desarrollarse y producirse para garantizar un nivel adecuado de ciberseguridad basado en sus riesgos. Esto incluye: sin vulnerabilidades explotables conocidas en el momento de la comercialización, configuración segura por defecto sin contraseñas predeterminadas, protección de la confidencialidad e integridad de los datos, minimización del procesamiento de datos, mecanismos de control de acceso, minimización de la superficie de ataque, registro de información relevante para la seguridad y un mecanismo de actualización seguro. Los productos también deben ser resilientes contra ataques de denegación de servicio.

2. Gestión de vulnerabilidades (Anexo I Parte II)

Los fabricantes deben establecer y mantener un proceso sistemático para identificar, documentar y remediar vulnerabilidades durante todo el ciclo de vida del producto. Esto incluye pruebas de seguridad regulares, remediación oportuna mediante actualizaciones de seguridad gratuitas, una política de divulgación coordinada de vulnerabilidades para investigadores externos, divulgación pública de vulnerabilidades corregidas con identificadores CVE, mecanismos para compartir información sobre vulnerabilidades y un mecanismo seguro de distribución de actualizaciones. Los parches deben entregarse de forma gratuita y sin demoras indebidas.

3. Gestión de SBOM (Anexo I.2(9))

Los fabricantes deben generar y mantener una lista de materiales de software (SBOM) que documente todas las dependencias de nivel superior, componentes, bibliotecas y código de terceros incluidos en sus productos. La SBOM permite una evaluación rápida de vulnerabilidades cuando se publican nuevos CVE, transparencia en la cadena de suministro y notificación regulatoria. Debe mantenerse actualizada durante todo el periodo de soporte del producto y ponerse a disposición de las autoridades de vigilancia del mercado cuando se solicite.

4. Notificación de vulnerabilidades a ENISA (Artículo 14)

Cuando un fabricante tiene conocimiento de una vulnerabilidad activamente explotada o un incidente de seguridad grave, debe notificar al CSIRT designado y a ENISA siguiendo plazos estrictos: una alerta temprana dentro de las 24 horas desde que tuvo conocimiento, una notificación detallada de la vulnerabilidad dentro de las 72 horas incluyendo evaluación de gravedad y estado de remediación, y un informe final dentro de los 14 días. Los usuarios también deben ser notificados sin demoras indebidas sobre la vulnerabilidad y las medidas correctivas disponibles.

5. Evaluación de conformidad y marcado CE (Artículos 28-32)

Antes de comercializar un producto en el mercado de la UE, los fabricantes deben realizar una evaluación de conformidad, preparar una Declaración UE de Conformidad (Anexo V) y colocar el marcado CE. Los productos estándar pueden usar autoevaluación (Anexo VI Parte I). Los productos de Clase I (Anexo III - p. ej., gestión de identidad, VPN, firewalls) requieren conformidad con normas armonizadas o evaluación de terceros. Los productos de Clase II (Anexo IV - p. ej., sistemas operativos, contadores inteligentes) requieren evaluación obligatoria de terceros. Los productos críticos necesitan un examen de tipo UE.

6. Periodo de soporte del producto (Artículo 13(7))

Los fabricantes deben definir y comunicar el periodo de soporte del producto durante el cual proporcionarán actualizaciones de seguridad - un mínimo de 5 años o la vida útil esperada del producto, lo que sea mayor. Durante este periodo, todas las actualizaciones de seguridad deben proporcionarse de forma gratuita y entregarse sin demoras indebidas. El periodo de soporte debe comunicarse claramente a los usuarios en el momento de la compra. Los fabricantes también deben planificar y ejecutar transiciones responsables de fin de vida útil cuando finalice el soporte.

7. Documentación técnica (Anexo VII)

Los fabricantes deben mantener documentación técnica completa que cubra: descripción del producto y propósito previsto, evaluación de riesgos de ciberseguridad, información de diseño y desarrollo incluyendo arquitectura y flujos de datos, información sobre procesos de gestión de vulnerabilidades, normas armonizadas o especificaciones comunes aplicadas, resultados de la evaluación de conformidad y evidencia de cómo se cumplen los requisitos esenciales. La documentación debe conservarse durante 10 años o el periodo de soporte, lo que sea mayor.

Sanciones por incumplimiento del CRA

El CRA establece un marco sancionador escalonado aplicado por las autoridades nacionales de vigilancia del mercado. Las sanciones se calculan como el mayor entre un importe fijo o un porcentaje de la facturación anual global:

Hasta 15M EUR / 2,5%

por incumplimiento de los requisitos esenciales de ciberseguridad (Anexo I) - la categoría más severa

Hasta 10M EUR / 2%

por incumplimiento de otras obligaciones del fabricante, incluyendo la notificación de vulnerabilidades y la evaluación de conformidad

Hasta 5M EUR / 1%

por proporcionar información incorrecta, incompleta o engañosa a las autoridades de vigilancia del mercado u organismos notificados

Retirada del mercado

las autoridades pueden ordenar la retirada, recuperación o restricción de disponibilidad del producto en el mercado de la UE hasta que se logre el cumplimiento

Las autoridades de vigilancia del mercado tienen amplias facultades, incluyendo la capacidad de realizar pruebas de productos, solicitar documentación, acceder a instalaciones y emitir medidas correctivas vinculantes. Los productos no conformes pueden ser prohibidos del mercado de la UE por completo. Para los administradores de software de código abierto, las sanciones son proporcionadas a su tamaño y cuota de mercado.

Cómo prepararse para el cumplimiento del CRA

Con las obligaciones de notificación de vulnerabilidades a partir del 11 de septiembre de 2026 y la aplicación completa desde el 11 de diciembre de 2027, los fabricantes deben comenzar la preparación ahora:

  1. 1

    Inventario y clasificación de productos

    Cree un inventario completo de todos los productos con elementos digitales. Clasifique cada producto según las categorías del CRA: estándar, Clase I (Anexo III), Clase II (Anexo IV) o crítico. Identifique el procedimiento de evaluación de conformidad apropiado para cada clase de producto.

  2. 2

    Generación de SBOM y mapeo de dependencias

    Implemente la generación automatizada de SBOM para todos los productos. Documente todos los componentes, bibliotecas y dependencias. Realice referencias cruzadas contra bases de datos de CVE y configure la monitorización continua de vulnerabilidades recién divulgadas en su cadena de suministro de software.

  3. 3

    Proceso de gestión de vulnerabilidades

    Establezca un proceso sistemático de gestión de vulnerabilidades que cubra la identificación, documentación, remediación y divulgación. Configure canales de divulgación coordinada de vulnerabilidades. Desarrolle la capacidad de cumplir los plazos de notificación de 24h/72h/14d a ENISA. Pruebe el proceso con escenarios simulados de vulnerabilidades.

  4. 4

    Integración de seguridad por diseño

    Integre los requisitos esenciales de ciberseguridad del CRA en su ciclo de vida de desarrollo de productos. Implemente configuraciones seguras por defecto, control de acceso, minimización de la superficie de ataque y mecanismos de actualización seguros. Realice pruebas de seguridad durante todo el desarrollo, no solo antes del lanzamiento.

  5. 5

    Preparación para la evaluación de conformidad

    Prepare la documentación técnica según el Anexo VII. Para productos de Clase I/II, contrate organismos notificados para la evaluación de terceros. Prepare la Declaración UE de Conformidad y la documentación del marcado CE. Asegúrese de que su sistema de gestión de calidad respalde la conformidad continua.

  6. 6

    Periodo de soporte e infraestructura de actualizaciones

    Defina periodos de soporte para todos los productos (mínimo 5 años). Construya una infraestructura segura de entrega de actualizaciones. Establezca procesos para la planificación de fin de vida útil y la comunicación con los usuarios. Asegúrese de poder entregar parches de seguridad gratuitos durante todo el periodo de soporte.

Preguntas frecuentes sobre el CRA

Que es el Cyber Resilience Act?

El CRA (Reglamento 2024/2847) es un reglamento de la UE que establece requisitos horizontales de ciberseguridad para productos con elementos digitales. Exige seguridad por diseño, gestión de vulnerabilidades, gestión de SBOM y notificación de incidentes a ENISA. La notificación de vulnerabilidades comienza en septiembre de 2026, la aplicación completa desde diciembre de 2027.

Quien necesita cumplir con el CRA?

El CRA se aplica a fabricantes, importadores y distribuidores de productos con elementos digitales comercializados en el mercado de la UE. Esto incluye cualquier producto de hardware o software con conexión de red. Los servicios SaaS puros están generalmente excluidos a menos que incluyan componentes descargables.

Cuáles son los plazos de notificación de vulnerabilidades del CRA?

Los fabricantes deben enviar una alerta temprana al CSIRT designado dentro de las 24 horas desde que tienen conocimiento de una vulnerabilidad activamente explotada, una notificación detallada dentro de las 72 horas y un informe final dentro de los 14 días. Los usuarios también deben ser notificados sin demoras indebidas.

Que es un SBOM y por que lo exige el CRA?

Una lista de materiales de software (SBOM) es un inventario detallado de todos los componentes de software de un producto. El CRA exige SBOMs para permitir el seguimiento de vulnerabilidades, la transparencia de la cadena de suministro y una respuesta más rápida ante incidentes cuando se descubren vulnerabilidades en componentes de terceros.

Cómo clasifica el CRA los productos?

Los productos estándar utilizan autoevaluación. Los productos de Clase I (p. ej., VPN, firewalls) requieren conformidad con normas o evaluación de terceros. Los productos de Clase II (p. ej., sistemas operativos) requieren evaluación obligatoria de terceros. Los productos críticos necesitan un examen de tipo UE.

Cuál es el periodo mínimo de soporte bajo el CRA?

Los fabricantes deben proporcionar actualizaciones de seguridad gratuitas durante al menos 5 años o la vida útil esperada del producto, lo que sea mayor. El periodo de soporte debe comunicarse claramente a los usuarios en el momento de la compra.

CRA Readiness Assessment

Assess your Cyber Resilience Act readiness

Take the free assessment

Funcionalidades clave

Seguridad por diseño (Anexo I)

Rastree y documente los requisitos esenciales de ciberseguridad desde el diseño del producto hasta la entrega. Configuraciones seguras por defecto, minimización de la superficie de ataque y control de acceso - todo evidenciado.

Gestión de vulnerabilidades (Anexo I.2)

Identificación, documentación y remediación sistemática de vulnerabilidades. Procesos de divulgación coordinada con trazabilidad completa e integración de SBOM.

Gestión de SBOM (Anexo I.2(9))

Genere y mantenga listas de materiales de software (SBOM). Rastree todos los componentes, bibliotecas y dependencias. Referencia cruzada automática contra bases de datos de vulnerabilidades conocidas.

Notificación a ENISA/CSIRT (Art. 14)

Cumpla los plazos de alerta temprana de 24h, notificación de 72h e informe final de 14 días. Plantillas predefinidas, flujos de trabajo automatizados y seguimiento de plazos.

Evaluación de conformidad (Art. 32)

Autoevaluación para productos estándar, evaluación guiada de terceros para Clase I/II. Generación de la Declaración UE de Conformidad y documentación del marcado CE.

Gestión del periodo de soporte (Art. 13(7))

Rastree los periodos de soporte del producto (mínimo 5 años), la entrega de actualizaciones de seguridad y las transiciones de fin de vida útil. Alertas automatizadas y documentación de cumplimiento.

¿Por qué Matproof?

Cubre todos los requisitos esenciales de ciberseguridad del CRA
Generación automatizada de SBOM y seguimiento de vulnerabilidades
Plantillas predefinidas de notificación ENISA/CSIRT con seguimiento de plazos
100% residencia de datos en la UE (alojado en Alemania)

CRA Readiness Assessment

Assess your Cyber Resilience Act readiness

Take the free assessment

Historias de clientes

Equipos que dejaron de temer la temporada de auditorías.

85%menos tiempo de preparación

Matproof nos ahorró meses de preparación de auditoría. Conectamos nuestras herramientas el lunes y el viernes ya teníamos evidencias mapeadas a DORA. Nuestro auditor quedó impresionado por la profundidad de la pista de auditoría.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

¿Listo para comenzar?

¿Listo para comenzar?

Descubra cómo Matproof automatiza el cumplimiento para su organización.

Solicitar una demo