What products does the CRA cover?

The Cyber Resilience Act covers all products with digital elements placed on the EU market — hardware and software that can connect to a device or network, including IoT devices, operating systems, mobile apps, and firmware.

What is an SBOM and is it required by the CRA?

A Software Bill of Materials (SBOM) documents a products software dependencies. The CRA requires manufacturers to provide an SBOM documenting at minimum the top-level dependencies (Article 13.5, Annex I.2).

How long must manufacturers provide security updates under the CRA?

Manufacturers must handle vulnerabilities and provide free security updates throughout the products expected lifetime, with a minimum of 5 years (Article 13.6).

CRA

Ley de Resiliencia Cibernética

Marcado CE para software: porque las tostadoras conectadas al IoT no deberían poder ser pirateadas

La Ley de Resiliencia Cibernética (CRA) establece requisitos obligatorios de ciberseguridad para los productos que incorporan elementos digitales, desde dispositivos domésticos inteligentes hasta software empresarial. Por primera vez, la UE exige que los productos digitales se diseñen de forma segura, se mantengan a lo largo de todo su ciclo de vida y vayan acompañados de una lista de componentes de software (SBOM). Piensa en ello como el marcado CE para el software: si se conecta a una red, debe ser seguro.

Ámbito de aplicación

Todos los productos con elementos digitales comercializados en el mercado de la UE: hardware y software que puedan conectarse a un dispositivo o a una red, ya sea de forma directa o indirecta. Esto incluye dispositivos del Internet de las cosas (IoT), sistemas operativos, aplicaciones móviles, firmware e incluso componentes como bibliotecas y SDK.

Alcance geográfico

Normativa de ámbito comunitario con efecto directo. Se aplica a cualquier producto comercializado en el mercado de la UE, independientemente del lugar en el que esté establecido el fabricante.

En vigor desde

10 de diciembre de 2024 (obligaciones de información a partir de septiembre de 2026; aplicación plena a partir de diciembre de 2027)

Objetivo

Para garantizar que los productos con componentes digitales se comercialicen en la UE con menos vulnerabilidades y que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida del producto. Porque comercializar un dispositivo conectado con la contraseña predeterminada «admin» no debería ser un modelo de negocio.

Ir a tu función:

Fabricante

Desarrollas o has desarrollado un producto con elementos digitales y lo comercializas bajo tu propio nombre o marca comercial. Tanto si has escrito cada línea de código como si has subcontratado el desarrollo, si tu nombre figura en el producto, eres el fabricante. Esto incluye tanto a los fabricantes de hardware (dispositivos IoT, routers) como a los editores de software.

Tus obligaciones

Diseñar productos con seguridad integrada de forma predeterminada: sin vulnerabilidades explotables conocidas en el momento del lanzamiento (art. 13)
Realizar una evaluación de riesgos de ciberseguridad y documentarla en la documentación técnica (art. 13.2)
Proporcionar una lista de componentes de software (SBOM) que documente, como mínimo, las dependencias de primer nivel (art. 13.5, anexo I.2)
Gestionar eficazmente las vulnerabilidades a lo largo de la vida útil prevista del producto (mínimo 5 años) (art. 13.6)
Notifique a la ENISA las vulnerabilidades que sean objeto de explotación activa en un plazo de 24 horas (art. 14)
Asegúrese de que el producto cuente con una evaluación de la conformidad y el marcado CE antes de comercializarlo (artículos 24 a 28)
Proporcionar actualizaciones de seguridad durante el periodo de soporte del producto, de forma gratuita (Anexo I, Parte II)
Informar a los usuarios sobre las características de seguridad y proporcionar instrucciones para un uso seguro (Anexo I, Parte II)

Artículos destacados

Art. 13 — Obligaciones del fabricanteArt. 14 — Notificación de vulnerabilidadesArt. 24 — Evaluación de la conformidadAnexo I — Requisitos esencialesAnexo III — Productos esenciales

Consejo de experto

Empieza ya a trabajar con la SBOM. Incluso un inventario básico de dependencias realizado con herramientas estándar (CycloneDX, SPDX) es mejor que tener que apañárselas a toda prisa en 2027. Y ya que estás, revisa tus configuraciones predeterminadas: «seguro por defecto» significa que el usuario no debería necesitar un doctorado para estar seguro.

Importador

Usted comercializa en el mercado de la UE productos de fabricantes no pertenecientes a la UE. Usted es el responsable de garantizar el cumplimiento normativo: si el fabricante no ha cumplido los requisitos de la CRA, el producto no debería cruzar la frontera con su nombre en la documentación de importación.

Tus obligaciones

Solo se comercializarán productos que cumplan los requisitos esenciales de ciberseguridad (art. 15.1)
Compruebe que el fabricante haya llevado a cabo la evaluación de la conformidad (art. 15.2)
Asegúrese de que el producto lleve el marcado CE y vaya acompañado de la documentación necesaria (art. 15.3)
Asegúrese de que el fabricante cuente con un procedimiento para la gestión de vulnerabilidades (art. 15.4)
Conserve una copia de la declaración de conformidad de la UE durante 10 años (art. 15.7)
Informar al fabricante y a la autoridad de vigilancia del mercado de cualquier problema de conformidad (art. 15.5)

Artículos destacados

Art. 15 — Obligaciones del importadorArt. 24 — Evaluación de la conformidadArt. 28 — Marcado CE

Consejo de experto

Elabora un cuestionario de calificación de proveedores que abarque los aspectos esenciales de la CRA: estado de la evaluación de la conformidad, disponibilidad de la SBOM, proceso de gestión de vulnerabilidades y periodo de soporte previsto. Es mejor rechazar un producto no conforme desde el principio que tener que retirarlo del mercado más adelante.

Distribuidor

Usted comercializa productos con elementos digitales sin ser ni el fabricante ni el importador. Forma parte de la cadena de suministro: es un distribuidor, un mercado online o un socio minorista. La CRA espera que lleve a cabo una diligencia debida básica antes de poner un producto a la venta (ya sea físico o digital).

Tus obligaciones

Compruebe que el producto lleve el marcado CE y cuente con la documentación necesaria (art. 16.1)
No comercialice un producto que sepa o deba saber que no cumple con los requisitos (art. 16.2)
Asegúrese de que el almacenamiento y el transporte no pongan en peligro la conformidad del producto (art. 16.3)
Informar al fabricante y a la autoridad de vigilancia del mercado de cualquier problema de conformidad (art. 16.4)
Colaborar con las autoridades de vigilancia del mercado cuando así se solicite (art. 16.5)

Artículos destacados

Art. 16 — Obligaciones del distribuidorArt. 28 — Marcado CE

Consejo de experto

Si gestionas un mercado de software, integra controles de cumplimiento normativo en tu proceso de publicación. Un simple filtro del tipo «¿Cuenta este producto con la documentación de la CRA?» ahorra tiempo a todo el mundo.

Cómo puede ayudarte Euregas

Herramientas disponibles

Registro de productos: catalogar productos con elementos digitales y realizar un seguimiento del estado de cumplimiento
Gestión de listas de componentes de software (SBOM): subir, analizar y realizar un seguimiento de las listas de componentes de software
Seguimiento de vulnerabilidades: supervisa y gestiona las vulnerabilidades notificadas por producto
Puntuación de cumplimiento: puntuación automatizada del grado de preparación en materia de cumplimiento basada en los requisitos de la CRA

Funciones asistidas por IA

Búsqueda semántica en los artículos y anexos del CRA
Pasos del proceso prellenados mediante IA para casos de cumplimiento normativo relacionados con la CRA

Nota

El módulo CRA se encuentra en una fase inicial. Ya están disponibles las herramientas básicas para la catalogación de productos y la gestión de la lista de materiales de seguridad (SBOM). La integración de la inteligencia artificial (por ejemplo, el análisis automatizado de vulnerabilidades o la evaluación del riesgo de dependencias de la SBOM) está prevista para futuras versiones.

Todos los ejemplos son ficticios y tienen únicamente fines ilustrativos.