El CRA se aplica a los productos con elementos digitales comercializados en el mercado de la UE cuyo uso previsto o razonablemente previsible incluya una conexión de datos directa o indirecta. Si su producto contiene software o firmware y llega al mercado de la UE, es muy probable que esté dentro del ámbito de aplicación. Art. 2 La forma más rápida de comprobarlo es la autoevaluación.
Ayuda · Preguntas frecuentes
Preguntas frecuentes
Respuestas concisas a las preguntas que las partes interesadas formulan con mayor frecuencia sobre el Reglamento de Ciberresiliencia, con referencias al texto.
Preguntas y respuestas
La clasificación se basa en la funcionalidad principal del producto, no en cada función que incluya. Si la función principal coincide con una categoría incluida en el Anexo III, el producto es «importante» (Clase I o II); si coincide con el Anexo IV, es «crítico»; en caso contrario, es «por defecto». Una capacidad como la gestión de identidades o una VPN, incluida únicamente como función, no convierte al producto en «importante» a menos que esa sea su finalidad principal. Cuando podría aplicarse más de una categoría, se aplica la clase más estricta. Art. 7
El software de código abierto no comercial desarrollado fuera de una actividad comercial queda en gran medida fuera del ámbito de aplicación. Los administradores de software de código abierto tienen un conjunto de obligaciones más ligero y adaptado. Los componentes de código abierto suministrados en el marco de una actividad comercial pueden quedar dentro del ámbito de aplicación.
Los servicios autónomos quedan, por lo general, fuera del CRA. No obstante, las soluciones de tratamiento de datos a distancia que son necesarias para que un producto desempeñe sus funciones se consideran parte de dicho producto y están dentro del ámbito de aplicación. Art. 3(2)
Sí. El CRA se aplica a los productos introducidos en el mercado de la UE con independencia del lugar en que esté establecido el fabricante. Los fabricantes establecidos fuera de la UE deben garantizar que un operador económico establecido en la Unión sea responsable de las obligaciones pertinentes.
Se reparten en dos partes del Anexo I: las propiedades de seguridad que debe tener el producto (seguro por defecto, confidencialidad, integridad, disponibilidad, superficie de ataque minimizada, actualizaciones de seguridad) y los procesos de tratamiento de vulnerabilidades que debe aplicar el fabricante (SBOM, subsanación, divulgación coordinada). Anexo I
Sí. Los fabricantes deben identificar y documentar los componentes contenidos en el producto, lo que incluye elaborar una lista de materiales de software (SBOM) en un formato de uso común y legible por máquina. Anexo I · II(1)
El período de soporte es el tiempo durante el cual el fabricante debe proporcionar actualizaciones de seguridad. Debe reflejar el período durante el cual se espera razonablemente que el producto esté en uso; las orientaciones de la Comisión indican que, por lo general, este debería ser de al menos cinco años, salvo que el uso previsto sea más corto. Art. 13(8)
Las vulnerabilidades explotadas activamente y los incidentes graves que afecten a la seguridad del producto deben notificarse a ENISA y al CSIRT correspondiente. Debe enviarse una alerta temprana en un plazo de 24 horas desde que se tenga conocimiento, seguida de una notificación más completa y de un informe final. Art. 14
El Reglamento entró en vigor el 10 de diciembre de 2024. Las obligaciones de notificación son aplicables a partir de septiembre de 2026 (21 meses después) y la mayor parte de las obligaciones se aplican a partir de diciembre de 2027 (36 meses después). Art. 71
El incumplimiento de los requisitos esenciales o de las obligaciones del fabricante puede dar lugar a multas de hasta 15 millones de € o el 2,5 % del volumen de negocios anual mundial total, si esta cifra es superior. A otras infracciones y al suministro de información incorrecta se aplican límites máximos inferiores.
Las obligaciones de notificación del artículo 14 serán exigibles a partir del 11 de septiembre de 2026. ENISA está estableciendo la plataforma única de notificación prevista en el artículo 16, a través de la cual los fabricantes notificarán las vulnerabilidades explotadas activamente y los incidentes graves a ENISA y al CSIRT nacional; está previsto que esté operativa para esa fecha. Art. 14
La solicitud de normalización M/606 de la Comisión fue aceptada por CEN, CENELEC y ETSI en 2025, y abarca alrededor de 41 normas (horizontales y específicas de producto). Las dos normas horizontales principales (desarrollo seguro y tratamiento de vulnerabilidades) se esperan para el 30 de agosto de 2026, las normas verticales de producto para el 30 de octubre de 2026, y las restantes normas horizontales para el 30 de octubre de 2027, antes de la plena aplicación en diciembre de 2027. Seguir una norma armonizada citada otorga una presunción de conformidad. Anexo I
Lleve a cabo la vía de evaluación de la conformidad correspondiente a la clase de su producto, recopile la documentación técnica, redacte y firme la declaración UE de conformidad y, a continuación, coloque el marcado CE. Los productos por defecto pueden autoevaluarse; los productos importantes y críticos requieren vías más estrictas. Art. 28 · 32
Empiece con el CRA Fast Check para confirmar el ámbito de aplicación y la clase, siga la guía redactada para su función y utilice la matriz de conformidad para seguir hasta el final los requisitos esenciales.
¿No ha encontrado su respuesta?
Confirme la situación de su producto con la autoevaluación gratuita, o lea la explicación en lenguaje sencillo.