Situación actual del CRA
Una visión actualizada de la aplicación del Reglamento de Ciberresiliencia; lo que ha sucedido, lo que está en curso y las fechas aún por venir.
Junio de 2026
Hitos
Plena aplicación
Se aplica la mayor parte de las obligaciones; los productos introducidos en el mercado deben cumplir los requisitos esenciales y llevar el marcado CE.
PróximamenteSe esperan las normas restantes
Está previsto que se entreguen las restantes normas armonizadas horizontales; aproximadamente un año antes de la plena aplicación, para que los fabricantes puedan apoyarse en ellas.
PrevistoSe esperan normas verticales
Está previsto que se entreguen las normas armonizadas específicas de producto (verticales).
PrevistoSe aplican las obligaciones de notificación
Los fabricantes deben notificar las vulnerabilidades explotadas activamente y los incidentes graves a ENISA y al CSIRT nacional. La plataforma única de notificación de ENISA (Artículo 16) debe estar operativa para esta fecha.
PróximamenteSe esperan las primeras normas fundamentales
Está previsto que se entreguen las dos normas horizontales clave (desarrollo seguro y tratamiento de vulnerabilidades), antes que las demás normas horizontales.
PrevistoOrientación y desarrollo de normas
La Comisión está publicando orientación (un documento vivo de preguntas frecuentes y la orientación del artículo 26) mientras los organismos europeos de normalización elaboran las normas armonizadas.
En cursoSolicitud de normalización aceptada
CEN, CENELEC y ETSI aceptaron la solicitud M/606 de la Comisión para desarrollar alrededor de 41 normas armonizadas (15 horizontales y el resto verticales, específicas de cada producto).
CompletadoEntró en vigor
El CRA se convirtió en ley en toda la UE; el reloj de la implementación se puso en marcha.
CompletadoAdoptado y promulgado como ley
El Reglamento fue adoptado formalmente por el Parlamento Europeo y el Consejo.
Completado