Comprender el Reglamento de Ciberresiliencia

El Reglamento de Ciberresiliencia (Reglamento (UE) 2024/2847) es un reglamento horizontal de la UE que introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales (PED) comercializados en el mercado de la UE. Entró en vigor el 11 de diciembre de 2024.

El CRA se aplica a lo largo de todo el ciclo de vida del producto, desde el diseño y el desarrollo hasta el fin del soporte. Establece requisitos de seguridad esenciales (Anexo I), obligaciones de documentación, un régimen de notificación de vulnerabilidades y procedimientos de evaluación de la conformidad. El objetivo es garantizar que los productos de hardware y software sean seguros por diseño y permanezcan seguros durante toda su vida útil con soporte.

El CRA se aplica a cualquier operador económico que:

• Fabrique productos con elementos digitales y los comercialice en el mercado de la UE, incluidos hardware con software integrado y productos de software independientes
• Importe productos de fabricantes no pertenecientes a la UE y los comercialice en el mercado de la UE con su propio nombre o marca comercial
• Distribuya productos en el mercado de la UE sin modificarlos
• Gestores de software de código abierto que proporcionan sistemáticamente software gratuito/de código abierto destinado a uso comercial

Los fabricantes no pertenecientes a la UE que vendan productos en la UE están plenamente en el ámbito de aplicación. Deben designar un representante autorizado establecido en la UE (artículo 17).

Un producto con elementos digitales (PED) es cualquier producto de software o hardware y su solución de procesamiento remoto de datos que tenga una conexión de datos directa o indirecta con un dispositivo o red. Esta definición intencionadamente amplia abarca:

• Dispositivos IoT de consumo (hogar inteligente, dispositivos portátiles, enrutadores)
• Hardware industrial con conectividad de red
• Aplicaciones de software independientes (escritorio, móvil, servidor)
• Sistemas operativos e hipervisores
• Componentes de software y bibliotecas comercializados
• Dispositivos conectados a la nube donde el fabricante controla el backend

Determinados sectores están parcial o totalmente excluidos, incluidos los productos sanitarios sujetos al MDR/IVDR, los vehículos de motor sujetos a la normativa de homologación de tipo, la aviación civil y el equipo marino.

No todos los PDE reciben el mismo tratamiento. El CRA divide los productos en el ámbito de aplicación en cuatro clases según su perfil de riesgo de ciberseguridad, tal como se establece en los Anexos III y IV:

• Predeterminado — todos los productos en el ámbito de aplicación no incluidos en el Anexo III o IV. La gran mayoría de los PDE pertenece a esta categoría.
• Importante — Clase I (Anexo III, Clase I) — productos que presentan un riesgo significativo de ciberseguridad, como software de gestión de identidades, navegadores, gestores de contraseñas y sistemas operativos de uso general.
• Importante — Clase II (Anexo III, Clase II) — productos de mayor riesgo, incluidos hipervisores, TPMs, software de automatización industrial y pasarelas para contadores inteligentes.
• Crítico (Anexo IV) — los productos de mayor riesgo, incluidos módulos de seguridad de hardware (HSM), tarjetas inteligentes y dispositivos hardware con cajas de seguridad.

La clasificación determina la ruta de evaluación de conformidad que debe seguir un fabricante antes de colocar el marcado CE:

Clase	Autoevaluación (Módulo A)	Organismo notificado (Módulo B+C / H)
Predeterminado	Siempre disponible	Opcional
Importante — Clase I	Si se aplican normas armonizadas	Obligatorio sin normas armonizadas
Importante — Clase II	No disponible	Obligatorio
Crítico	No disponible	Obligatorio (o certificación de ciberseguridad de la UE)

→ Usar la herramienta de clasificación de productos para encontrar su clase y ruta de evaluación de conformidad

El CRA establece un sistema escalonado de multas administrativas en virtud del Artículo 64. Las autoridades de vigilancia del mercado de cada Estado miembro de la UE pueden imponer estas multas a fabricantes, importadores, distribuidores y gestores de software de código abierto.

Nivel 1 — hasta 15 000 000 € o el 2,5 % de la facturación anual mundial (la cantidad que sea mayor):

Incumplimiento de los requisitos esenciales de ciberseguridad del Anexo I, o infracciones relacionadas con el marcado CE, la evaluación de conformidad, la documentación técnica o la obligación del representante autorizado (Artículos 13, 16, 19–22, 24).

Nivel 2 — hasta 10 000 000 € o el 2 % de la facturación anual mundial (la cantidad que sea mayor):

Infracciones de las obligaciones de notificación de vulnerabilidades e incidentes de seguridad del Artículo 14, incumplimiento de la notificación a organismos de evaluación de conformidad, o falta de cooperación con las autoridades de vigilancia del mercado (Artículos 15, 17, 18, 23).

Nivel 3 — hasta 5 000 000 € o el 1 % de la facturación anual mundial (la cantidad que sea mayor):

Suministro de información incorrecta, incompleta o engañosa a organismos notificados o autoridades de vigilancia del mercado.

Para las grandes organizaciones con ingresos mundiales significativos, el límite basado en la facturación superará habitualmente el máximo fijo. Los Estados miembros también pueden imponer sanciones adicionales según el derecho nacional. La fecha límite del Artículo 14 del 11 de septiembre de 2026 es el primer momento en que las multas de nivel 2 se vuelven ejecutables.