Qué es y a quién afecta
El CRA (Cyber Resilience Act) es el reglamento de la UE que fija requisitos obligatorios de ciberseguridad para los productos con elementos digitales (hardware y software) que se comercialicen en Europa. Afecta principalmente a fabricantes, y también a importadores y distribuidores, porque exige que la seguridad sea un requisito de acceso al mercado, no una opción. Su foco es reducir vulnerabilidades “de fábrica” y mejorar la protección durante todo el ciclo de vida del producto.
Qué exige en la práctica
El CRA impulsa un enfoque de security-by-design: evaluación de riesgos, controles técnicos, documentación, y un proceso continuo de gestión de vulnerabilidades (identificación, corrección y publicación de parches). Además, introduce obligaciones de notificación de vulnerabilidades explotadas e incidentes graves, con avisos en plazos cortos desde que el fabricante tiene conocimiento.
Fechas clave y cómo prepararse
El CRA entró en vigor el 10 de diciembre de 2024. Las obligaciones principales serán plenamente aplicables desde el 11 de diciembre de 2027, pero las obligaciones de reporting comienzan antes: 11 de septiembre de 2026 (y el marco sobre organismos de evaluación desde 11 de junio de 2026).
Si desarrollas, integras o vendes producto digital, conviene aterrizarlo en un plan de implantación desde Gobierno y estrategia.
