Plazos reglamentarios

Fechas clave en virtud del Reglamento de Ciberresiliencia de la UE.

20 de noviembre de 2024— Pasado
El CRA entra en vigor
El Reglamento (UE) 2024/2847 publicado en el Diario Oficial y entra en vigor. Comienza la cuenta atrás.
11 de septiembre de 2026— 100 días restantes
Obligaciones de notificación de vulnerabilidades y notificación (art. 14)
Los fabricantes deben notificar a ENISA las vulnerabilidades activamente explotadas e incidentes graves: aviso previo de 24 horas, notificación de 72 horas, informe final de 14 días. La plataforma de notificación única de ENISA debe estar operativa en esta fecha.
Más información sobre las obligaciones del art. 14
11 de junio de 2027— 373 días restantes
Obligaciones de notificación de organismos de evaluación de la conformidad
Se aplican las obligaciones relativas a la notificación de organismos de evaluación de la conformidad. Relevante para fabricantes que requieren evaluación de conformidad por terceros (Clase II importante, productos críticos).
11 de diciembre de 2027— 556 días restantes
Se aplica el reglamento completo
Todas las obligaciones del CRA se aplican a todos los productos con elementos digitales dentro del ámbito de aplicación. Todas las herramientas, flujos de trabajo de evaluación, documentación y procesos de gestión de vulnerabilidades deben estar en marcha.

¿Listo para profundizar?

Explore la biblioteca completa de obligaciones, comprenda su papel o consulte el calendario.