ISMS Copilot
Marcos de trabajo compatibles

Ley de Ciberresiliencia (CRA) de la UE para fabricantes de productos

El CRA aplica a fabricantes de productos, no a proveedores de servicios. Si ofrece servicios SaaS o en la nube, es probable que la CRA no le aplique; en su lugar, céntrese en las normativas NIS2, RGPD o DORA.

¿Quién debe cumplirla?

La CRA se aplica a los fabricantes que comercialicen "productos con elementos digitales" en el mercado de la UE:

Fabricantes de hardware: dispositivos IoT, routers, dispositivos domésticos inteligentes, sensores industriales, equipos de red.

  • Proveedores de software: sistemas operativos, navegadores, software de seguridad, aplicaciones de productividad, aplicaciones móviles (si se venden como productos independientes).

  • Fabricantes de sistemas integrados: dispositivos médicos, componentes de automoción, electrodomésticos inteligentes con firmware.

  • Administradores de software de código abierto: organizaciones que proporcionan soporte comercial o marcado CE para productos de código abierto.

  • Los productos exentos de la CRA incluyen:

Dispositivos médicos, sistemas de automoción y sistemas de aviación ya cubiertos por normativas específicas de la UE por sectores.

  • Servicios puros de SaaS o en la nube (sin software descargable).

  • Software a medida desarrollado para un único cliente.

  • Software de código abierto desarrollado o suministrado fuera de una actividad comercial (sin marcado CE ni monetización).

  • Si fabrica hardware o vende software descargable en la UE, es muy probable que la CRA le afecte.

Clasificación de riesgo de la CRA

Los productos se clasifican en niveles de riesgo que determinan los requisitos de cumplimiento:

Productos por defecto (ciberseguridad estándar):

La mayoría de los productos de consumo y empresariales (dispositivos domésticos inteligentes, software de productividad, equipos de red).

  • Autoevaluación de conformidad.

  • El fabricante declara el cumplimiento mediante el marcado CE.

  • Productos importantes (Clase I):

Sistemas de gestión de identidad, herramientas de autenticación, VPN, cortafuegos, antivirus, navegadores, gestores de contraseñas.

  • Productos integrales para infraestructuras críticas o activos de alto valor.

  • Requiere evaluación de conformidad por terceros.

  • Un organismo notificado revisa el diseño y los procesos.

  • Productos críticos (Clase II):

Sistemas operativos, hipervisores, sistemas de control industrial, contadores inteligentes, tarjetas inteligentes para pagos.

  • Máximo nivel de escrutinio con evaluación integral por terceros.

  • Un organismo notificado audita el ciclo de vida de desarrollo y los controles de seguridad.

  • La mayoría de los fabricantes realizarán una autoevaluación como clase "por defecto", a menos que su producto figure explícitamente en los anexos de la CRA.

Clasificar erróneamente el nivel de riesgo de su producto puede dar lugar a un incumplimiento. Revise cuidadosamente los Anexos III (Importante) y IV (Crítico) de la CRA, o consulte con un organismo notificado.

Requisitos principales

Todos los productos con elementos digitales deben cumplir con requisitos esenciales de ciberseguridad:

Seguro por diseño y por defecto:

Minimizar la superficie de ataque (desactivar funciones, servicios y puertos innecesarios de forma predeterminada).

  • Valores predeterminados seguros (autenticación sólida, cifrado habilitado de fábrica).

  • Principio de mínimo privilegio (permisos limitados para procesos y usuarios).

  • Defensa en profundidad (controles de seguridad por capas).

  • Gestión de vulnerabilidades:

Publicar una política de divulgación de vulnerabilidades (VDP) con información de contacto.

  • Evaluar y remediar las vulnerabilidades reportadas dentro de los plazos establecidos (críticas: 24-72 horas; altas: 14 días; medias: 90 días).

  • Notificar a los usuarios y a ENISA (agencia de ciberseguridad de la UE) sobre vulnerabilidades explotadas activamente.

  • Proporcionar actualizaciones de seguridad durante la vida útil prevista del producto o un mínimo de 5 años (lo que sea más largo).

  • Actualizaciones seguras:

Entregar parches de seguridad de forma automática o mediante notificación al usuario.

  • Garantizar que las actualizaciones sean autenticadas (firmadas) y no puedan ser manipuladas.

  • Permitir la reversión a versiones anteriores si las actualizaciones fallan.

  • Protección de datos:

Proteger la confidencialidad e integridad de los datos almacenados y transmitidos (cifrado en reposo y en tránsito).

  • Implementar almacenamiento seguro de credenciales (sin contraseñas codificadas en el software).

  • Procesar solo los datos necesarios (minimización).

  • Resiliencia y disponibilidad:

Proteger contra ataques de denegación de servicio.

  • Garantizar la funcionalidad bajo condiciones anormales o ataques.

  • Proporcionar capacidades de registro y monitorización de eventos de seguridad.

  • Transparencia y documentación:

Proporcionar a los usuarios instrucciones de seguridad claras (cómo configurar de forma segura, cómo actualizar, cómo informar de vulnerabilidades).

  • Publicar una Lista de Materiales de Software (SBOM) que enumere componentes y dependencias.

  • Declarar la vida útil con soporte y las fechas de fin de soporte.

  • Evaluación de conformidad

Los fabricantes deben demostrar el cumplimiento antes de introducir los productos en el mercado de la UE:

Para productos por defecto (estándar):

Realizar evaluación de riesgos y pruebas de seguridad.

  1. Preparar la documentación técnica (especificaciones de diseño, SBOM, resultados de pruebas, medidas de seguridad).

  2. Redactar la Declaración UE de Conformidad.

  3. Aponer el marcado CE.

  4. Registrar el producto en la base de datos de la UE (gestionada por ENISA).

  5. Para productos Importantes/Críticos (Clase I/II):

Completar los pasos anteriores.

  1. Contratar a un organismo notificado (evaluador externo acreditado).

  2. Someterse a una revisión de diseño y/o auditoría de procesos de ciberseguridad.

  3. Recibir el certificado del organismo notificado.

  4. Aponer el marcado CE con el ID del organismo notificado.

  5. Registrar el producto en la base de datos de la UE.

  6. Las evaluaciones de los organismos notificados pueden tardar entre 3 y 12 meses y costar entre 20.000 € y más de 100.000 €, dependiendo de la complejidad del producto.

Inicie la evaluación de conformidad con antelación. Para los productos de Clase I/II, los retrasos en la disponibilidad del organismo notificado pueden retrasar su cronograma de entrada al mercado entre 6 y 12 meses.

Obligaciones del ciclo de vida

Las obligaciones de la CRA continúan tras la entrada en el mercado:

Monitorización continua: seguimiento de informes de vulnerabilidades, inteligencia de amenazas y exploits que afecten a su producto.

  • Notificación de incidentes: informar a ENISA en un plazo de 24 horas tras descubrir vulnerabilidades explotadas activamente o incidentes graves que afecten a la seguridad del producto.

  • Entrega de actualizaciones: proporcionar actualizaciones de seguridad oportunas durante la vida útil de soporte (mínimo 5 años).

  • Mantenimiento de registros: conservar la documentación técnica y las pruebas de conformidad durante 10 años.

  • Cooperación en la vigilancia del mercado: responder a las consultas de las autoridades de vigilancia del mercado de la UE.

  • El incumplimiento de las obligaciones tras la entrada en el mercado puede dar lugar a la retirada de productos o a la prohibición de su comercialización.

Sanciones por incumplimiento

La CRA incluye sanciones financieras significativas:

Hasta 15 millones de euros o el 2,5% de la facturación anual global (lo que sea mayor) por incumplimiento de los requisitos esenciales.

  • Hasta 10 millones de euros o el 2% de la facturación por no cooperar con las autoridades o no facilitar documentación.

  • Hasta 5 millones de euros o el 1% de la facturación por proporcionar información incorrecta o incompleta.

  • Los estados miembros pueden imponer sanciones adicionales, como la retirada del producto, prohibiciones de mercado o responsabilidad penal por infracciones graves.

Cronograma y transición

La CRA se adoptó en 2024 con una implementación gradual:

Finales de 2027: comienza la plena aplicación de la CRA (fecha exacta pendiente de publicación oficial).

  • Periodo de transición: los productos que ya estén en el mercado antes de la aplicación podrán permanecer, pero sus actualizaciones deberán cumplir con los requisitos de gestión de vulnerabilidades de la CRA.

  • Acreditación de organismos notificados: los estados miembros están designando organismos notificados a lo largo de 2025-2027.

  • Los fabricantes deben empezar a trabajar en el cumplimiento ahora, especialmente para los productos de Clase I/II que requieren evaluación externa.

La CRA incluye un "periodo de gracia" para los administradores de software de código abierto, pero los detalles aún se están ultimando. Supervise los actos de ejecución de la UE para obtener aclaraciones.

Documentación clave

Los fabricantes deben crear y mantener:

Documentación técnica: descripción del producto, especificaciones de diseño, evaluación de riesgos, SBOM, resultados de pruebas de seguridad, evidencia del ciclo de vida de desarrollo seguro.

  • Declaración UE de Conformidad: declaración formal de que el producto cumple con los requisitos de la CRA.

  • Política de divulgación de vulnerabilidades: proceso publicado para recibir y gestionar informes de vulnerabilidades.

  • Instrucciones de seguridad: orientación para el usuario sobre configuración segura, actualizaciones e informes de incidentes.

  • Certificados de conformidad: certificados del organismo notificado para productos de Clase I/II.

  • La CRA y otras normativas

La CRA se solapa e interactúa con otros reglamentos de la UE:

RGPD: los requisitos de protección de datos de la CRA complementan al RGPD (pero no lo sustituyen).

  • NIS2: la CRA se centra en productos; NIS2 se centra en la seguridad organizativa y el reporte de incidentes para proveedores de servicios.

  • Ley de IA: los productos con IA pueden tener que cumplir tanto con la CRA (ciberseguridad) como con la Ley de IA (seguridad, transparencia).

  • Directiva de Equipos Radioeléctricos (RED): los productos inalámbricos deben cumplir tanto con la RED como con la CRA.

  • Reglamento de Máquinas: la maquinaria industrial con elementos digitales debe cumplir con ambos.

  • Coordine el cumplimiento entre normativas para evitar duplicidades o requisitos contradictorios.

Cómo ayuda ISMS Copilot

ISMS Copilot puede apoyar la preparación para el cumplimiento de la CRA:

Creación de políticas: genere políticas de divulgación de vulnerabilidades, políticas de desarrollo seguro y procedimientos de respuesta ante incidentes.

  • Evaluación de riesgos: desarrolle plantillas de evaluación de riesgos de seguridad del producto.

  • Documentación de procesos: cree procedimientos de SDLC seguro (modelado de amenazas, codificación segura, pruebas de seguridad, gestión de parches).

  • Contenido orientado al usuario: redacte instrucciones de seguridad para la documentación del producto.

  • Análisis de brechas: cargue la documentación de seguridad del producto actual para identificar deficiencias.

  • Aunque ISMS Copilot aún no cuenta con conocimientos específicos dedicados a la CRA, puede realizar preguntas generales sobre desarrollo seguro de productos, gestión de vulnerabilidades y buenas prácticas de SBOM.

Pruebe a preguntar: "Crea una política de divulgación de vulnerabilidades para un fabricante de hardware" o "¿Qué debo incluir en la documentación de seguridad del producto?"

Primeros pasos

Para prepararse para el cumplimiento de la CRA con ISMS Copilot:

Clasifique sus productos por nivel de riesgo de la CRA (por defecto, Clase I, Clase II).

  1. Cree un espacio de trabajo dedicado para su proyecto de cumplimiento de la CRA.

  2. Realice una evaluación de riesgos de seguridad del producto (identifique amenazas, vulnerabilidades, impactos).

  3. Utilice la IA para generar una política de divulgación de vulnerabilidades.

  4. Desarrolle procedimientos de ciclo de vida de desarrollo seguro (modelado de amenazas, revisión de código, pruebas de seguridad, procesos de actualización).

  5. Cree una Lista de Materiales de Software (SBOM) para cada producto.

  6. Redacte instrucciones de seguridad para los usuarios (configuración segura, procedimientos de actualización, reporte de vulnerabilidades).

  7. Para los productos de Clase I/II, identifique y contrate a un organismo notificado con antelación.

  8. Recursos relacionados

Texto oficial del reglamento CRA (UE 2024/XXXX; consulte EUR-Lex para la publicación final).

  • Guía de la CRA de ENISA y preguntas frecuentes.

  • Directorios de organismos notificados (listas de evaluadores acreditados por cada estado miembro).

  • Estándares SBOM (SPDX, CycloneDX)

  • Estándares SBOM (SPDX, CycloneDX)

¿Te fue útil?