¡No se pierda las novedades y los cambios relacionados con el CE! Regístrese ahora para el CE-InfoService (en inglés)
Compartir artículo
El 20 de noviembre de 2024 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, conocido como Cyber Resilience Act (CRA) o Reglamento de Ciberresiliencia. El objetivo de la normativa es garantizar que una amplia gama de productos, como cámaras domésticas conectadas, frigoríficos, televisores, juguetes y también máquinas, sean seguros antes de su comercialización.
El nuevo reglamento tiene por objeto colmar las lagunas, aclarar las relaciones y hacer más coherente el marco jurídico vigente en materia de ciberseguridad, con el fin de garantizar que los productos con componentes digitales, por ejemplo, los productos del Internet de las cosas (IoT), sean seguros a lo largo de toda la cadena de suministro y de todo su ciclo de vida.
Nota: Este artículo técnico se actualiza continuamente. No se pierda ninguna actualización importante y suscríbase a nuestro newsletter gratuito o síganos en LinkedIn.
Suscribirse al newsletter
Sigue a IBF en LinkedIn
Antecedentes
Debido a la situación actual en materia de seguridad y, en particular, a la guerra en Ucrania, era de esperar que el aumento de la resiliencia frente a los ciberataques en Europa fuera una prioridad política y se abordara con la debida firmeza.
El 1 de diciembre de 2023, el Parlamento Europeo y el Consejo llegaron a un acuerdo sobre el Cyber Resilience Act propuesto por la Comisión en septiembre de 2022. En ella se mantienen las líneas generales de la propuesta inicial de la Comisión, aunque los colegisladores proponen ajustes en algunos ámbitos. Entre ellas se encuentran, por ejemplo, el deseo de una metodología más sencilla para la clasificación de los productos digitales cubiertos por el reglamento, la determinación de la vida útil de los productos por parte de los fabricantes o la obligación de notificar las vulnerabilidades y los incidentes que se explotan activamente.
El 12 de marzo de 2024, el Parlamento Europeo aprobó el texto de compromiso, y el 10 de octubre lo hizo el Consejo. Finalmente, el 20 de noviembre de 2024 se publicó la versión definitiva en el Diario Oficial de la UE. Entró en vigor el 11 de diciembre de 2024 y se aplicará directamente en todos los Estados miembros de la UE a partir del 11 de diciembre de 2027.
¿Cuándo llegará el Cyber Resilience Act?
El 20 de noviembre de 2024 se publicó en el Diario Oficial de la Unión Europea el Cyber Resilience Act, el nuevo reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales.
¿A partir de cuándo debe aplicarse el Cyber Resilience Act?
El nuevo reglamento entrará en vigor veinte días después de su publicación en el Diario Oficial de la UE (10 de diciembre de 2024) y será directamente aplicable en todos los Estados miembros de la UE 36 meses después de su entrada en vigor, es decir, a partir del 11 de diciembre de 2027.
Algunas disposiciones se aplicarán antes:
¿Cuáles son las consideraciones de la Comisión Europea sobre el Cyber Resilience Act?
Cada 11 segundos se produce un ataque informático. Esto genera unos costes superiores a los 5 billones de euros. Así lo afirma la Comisión Europea en su estrategia de ciberseguridad, subrayando la necesidad de garantizar un mayor nivel de ciberseguridad en el futuro. El objetivo es que los requisitos establecidos se incorporen de forma permanente en toda la cadena de suministro.
El nuevo Cyber Resilience Act tiene por objeto garantizar que los productos digitales sean más seguros para los particulares y las empresas. Los fabricantes de dichos productos, tanto de hardware como de software, estarán obligados a corregir las vulnerabilidades mediante actualizaciones de software e informar a los usuarios finales de sus productos sobre los posibles riesgos de ciberseguridad. Además, el reglamento define los requisitos para el desarrollo de software y subraya así la «seguridad desde el diseño» exigida en la «Ley de Ciberseguridad» ya en vigor.
¿Cuáles son los objetivos del Cyber Resilience Act?
Las leyes de ciberseguridad presentadas por la Comisión Europea tienen como objetivo general introducir productos de hardware y software más seguros en el mercado interior. La Comisión concreta los objetivos de la ley en cuatro medidas:
¿Qué se puede decir sobre el ámbito de aplicación de Cyber Resilience Act?
El ámbito de aplicación del Reglamento muestra que se trata de un ámbito muy amplio:
«El presente Reglamento es aplicable a los productos con elementos digitales comercializados cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red.».
Debido a la definición imprecisa de «elementos digitales», el Reglamento abarca tanto el hardware, como las máquinas y los dispositivos IoT, como los productos puramente de software.
En el ámbito de aplicación también se mencionan excepciones, por ejemplo, los productos sanitarios según el Reglamento (UE) 2017/745 no entran en el ámbito de aplicación del acto jurídico previsto.
El acto legislativo también regula la futura interacción con el Reglamento Delegado 2022/30, que ya exige requisitos de seguridad para los equipos conectados a Internet en el sentido de la Directiva sobre equipos radioeléctricos 2014/53/UE. Bruselas ha anunciado que, para evitar solapamientos, el Reglamento 2022/30 será derogado o simplemente complementado.
¿Exige el Cyber Resilience Act un procedimiento de evaluación de la conformidad y una «evaluación del riesgo cibernético»?
Al igual que los actos jurídicos anteriores de la UE (por ejemplo, la Directiva sobre máquinas o la Directiva de Baja Tensión), la Ley de Ciberresiliencia también prevé un procedimiento de evaluación de la conformidad.
El núcleo del procedimiento es la evaluación del riesgo cibernético. Así, el artículo 13, apartado 2, del Reglamento establece lo siguiente:
«(...) los fabricantes llevarán a cabo una evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales y tendrán en cuenta el resultado de dicha evaluación durante las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento del producto con elementos digitales, con el objetivo de minimizar los riesgos de ciberseguridad, prevenir incidentes y reducir al mínimo sus repercusiones, incluidas las relacionadas con la salud y la seguridad de los usuarios».
En función de la criticidad de los productos, el procedimiento de evaluación de la conformidad distingue entre una autocertificación y dos procedimientos en los que deben intervenir organismos notificados. Los detalles al respecto se encuentran en la ficha informativa sobre la Ley de Cyber Resilience Act.
En nuestra opinión, las explicaciones del anexo VII, apartado 2, del Reglamento son especialmente relevantes para los fabricantes. El documento menciona aquí diferentes aspectos (diseño, desarrollo, producción, análisis de vulnerabilidades) como contenido de la documentación técnica. Es decir, en el proceso de desarrollo de software, si se sigue la línea de la Comisión Europea, en el futuro deberán documentarse adecuadamente las decisiones relativas a la arquitectura del software, así como las decisiones relativas al proceso de desarrollo y construcción. Por supuesto, esto supone un mayor esfuerzo de documentación para las empresas. En particular, el rápido avance tecnológico de las herramientas relacionadas con el desarrollo de software (por ejemplo, para los procesos de compilación) planteará sin duda a las empresas retos organizativos superables, pero que no deben subestimarse.
El contenido en su redacción literal:
«CONTENIDO DE LA DOCUMENTACIÓN TÉCNICA
(…)
una descripción del diseño, el desarrollo y la producción del producto con elementos digitales y de los procesos de gestión de las vulnerabilidades, que incluya
a) información necesaria sobre el diseño y el desarrollo del producto con elementos digitales, incluidos, en su caso, planos y esquemas, y una descripción de la arquitectura del sistema que explique cómo se apoyan o se alimentan mutuamente los componentes de los programas informáticos y cómo se integran en el tratamiento general;
b) información y especificaciones necesarias de los procesos de gestión de las vulnerabilidades establecidos por el fabricante, incluida la nomenclatura de materiales de los programas informáticos, la política de divulgación coordinada de vulnerabilidades, pruebas de que se ha facilitado una dirección de contacto para la notificación de vulnerabilidades y una descripción de las soluciones técnicas elegidas para la distribución segura de las actualizaciones;
c) información y especificaciones necesarias de los procesos de producción y seguimiento del producto con elementos digitales y la validación de esos procesos;»
¿Qué implican los requisitos del Cyber Resilience Act para los fabricantes?
La Oficina Federal Alemana de Seguridad Informática (BSI) ofrece apoyo a los fabricantes en la identificación de los requisitos de la CRA con la publicación de la directiva técnica TR-03183. Encontrará más información al respecto en nuestro artículo técnico «Directriz técnica para los requisitos de ciberresiliencia» (en inglés).
¿Cuándo habrá normas armonizadas para el Cyber Resilience Act?
El 3 de febrero de 2025, la Comisión solicitó oficialmente a los organismos europeos de normalización CEN, CENELEC y ETSI que elaboraran «normas armonizadas para los requisitos básicos de ciberseguridad enumerados en el anexo I del presente Reglamento». En el marco de dicho mandato de normalización, la Comisión se propone tener en cuenta las normas europeas e internacionales existentes en materia de ciberseguridad que ya se han publicado o se están elaborando actualmente.
El documento principal del mandato de normalización incluye los considerandos y los aspectos formales, como la presentación de informes y la validez, mientras que en los anexos del mandato se comunican listas concretas de las nuevas normas europeas que deben elaborarse (anexo I) y su perfil de requisitos (anexo II), clasificadas en normas horizontales y verticales.
Las normas horizontales (líneas 1-15 del anexo I) tienen por objeto crear un marco general coherente en lo que respecta a los requisitos de seguridad y al tratamiento de las vulnerabilidades. Por su parte, las normas verticales (líneas 16-41) cubren los requisitos de seguridad para determinadas categorías de productos.
En su seminario web «Normas que respaldan el Cyber Resilience Act»1, el CEN/CENELEC presentó además un modelo jerárquico de dichas futuras normas CRA, que recuerda en gran medida la división en normas de tipo A, B y C del Diario Oficial de la UE sobre la Directiva de máquinas o el Reglamento de máquinas. También en este caso se aplica lo siguiente:
Según la información proporcionada en el seminario web, la fecha límite para la adopción de la norma o normas horizontales de tipo A, así como de la norma de tipo B para el tratamiento de vulnerabilidades, está prevista para el 30 de agosto de 2026 a más tardar. Las normas de tipo C para las distintas categorías de productos deben estar disponibles antes del 30 de octubre de 2026, y poco antes de la entrada en vigor de la CRA el 11 de diciembre de 2027 seguirán las normas de tipo B para medidas técnicas (30 de octubre de 2027). En el siguiente gráfico2 se ofrece una visión general de la futura categorización y su aplicación prevista:
¿Existen ya ejemplos de normas y especificaciones que podrían armonizarse para cumplir los requisitos de la CRA?
En el mandato de normalización se hace referencia explícita a «nuevas normas europeas que se elaborarán». No obstante, el CEN, el CENELEC y el ETSI podrían recurrir a documentos ya existentes.
Algunos ejemplos de normas y especificaciones que podrían armonizarse para cumplir los requisitos de la CRA son:
De forma análoga al nuevo Reglamento de Máquinas (UE) 2023/1230, en ausencia de normas armonizadas para los requisitos de ciberseguridad del anexo I, la Comisión puede adoptar actos de ejecución con especificaciones comunes para los requisitos técnicos. El legislador se reserva esta opción en caso de que las normas deseadas no se entreguen en el plazo fijado, no se haya aceptado el mandato de normalización o el contenido de los documentos no se ajuste al mandato.
Los siguientes documentos constituyen una valiosa fuente de información, especialmente para los fabricantes de máquinas:
¿En qué se diferencia el Cyber Resilience Act de otras leyes cibernéticas como la NIS-2?
La directiva NIS 2 se aplica a los sistemas de redes e información utilizados para prestar servicios esenciales e importantes en sectores clave. Así, la normativa exige a las organizaciones (=operadores) de diversos sectores que garanticen que las redes y los sistemas que utilizan para prestar servicios y para realizar sus actividades alcancen un mayor nivel de ciberseguridad. En el artículo técnico Directiva NIS 2 en la ingeniería mecánica explicamos qué empresas se ven directamente afectadas (como operadores) y qué requisitos y sanciones prevé la directiva.
Por su parte, el Cyber Resilience Act establece requisitos de ciberseguridad para los productos de hardware y software comercializados por empresas (= fabricantes) en la UE. Para los productos que entran en el ámbito de aplicación de la CRA, los fabricantes deben realizar evaluaciones de seguridad, introducir procedimientos para tratar las vulnerabilidades y proporcionar a los usuarios la información necesaria.
El 20 de noviembre de 2024 se publicó la versión definitiva del Cyber Resilience Act en el Diario Oficial de la Unión Europea. Puede consultar el texto completo del Reglamento (UE) 2024/2847 en el siguiente enlace:
Cyber Resilience Act 2024/2847, de 20 de noviembre de 2024
Actos de ejecución del Cyber Resilience Act
El 1 de diciembre de 2025 se publicó en el Diario Oficial de la Unión Europea el Reglamento de Ejecución (UE) 2025/2392. Este acto de ejecución debía publicarse, de conformidad con el Reglamento, a más tardar el 11 de diciembre de 2025 (es decir, dos años antes de su entrada en vigor) y comprende la descripción técnica de las categorías de productos importantes (anexo III) y críticos (anexo IV) con elementos digitales de la CRA.
El Reglamento 2025/2392 trata en su anexo I las descripciones técnicas de los productos importantes con elementos digitales, divididos en las clases 1 (por ejemplo, gestores de contraseñas, sistemas de gestión de redes o sistemas operativos) y 2 (por ejemplo, hipervisores, cortafuegos y microprocesadores a prueba de manipulaciones). En el anexo II se incluyen las descripciones de elementos críticos, como dispositivos de hardware con cajas de seguridad, dispositivos para fines de seguridad avanzados y tarjetas chip.
Modificaciones y correcciones de errores al Cyber Resilience Act
El 5 de marzo de 2025, el Cyber Resilience Act fue modificado por el Reglamento (UE) 2025/327 sobre el Espacio Europeo de Datos Sanitarios (EHDS). El reglamento regula el acceso, el uso y la protección de los datos sanitarios electrónicos dentro de la UE.
Complementa los requisitos del Cyber Resilience Act en lo que respecta a los requisitos de seguridad para los productos sanitarios digitales, define una documentación técnica uniforme para el software sanitario y establece normas para los modelos de software como servicio (SaaS) que no están directamente cubiertos por el Cyber Resilience Act.
El 2 de julio de 2025, la Comisión Europea publicó la corrección de errores 2025/90555. En todas las versiones lingüísticas de la CRA se modifica el artículo 64, apartado 10. Hasta ahora, el texto decía «No obstante lo dispuesto en los apartados 3 a 9...», pero ahora la excepción se aplica a los apartados 2 a 9. Por lo tanto, las pequeñas y microempresas mencionadas en el apartado 64 (10), así como los administradores de software de código abierto, quedan exentos de las sanciones correspondientes del apartado (2) del artículo 64.
Preguntas frecuentes sobre el Cyber Resilience Act
El 3 de diciembre de 2025, la Comisión Europea publicó en su sitio web un documento con preguntas frecuentes sobre el Cyber Resilience Act (CRA). El documento, de 66 páginas, contiene una recopilación de preguntas frecuentes de carácter técnico y tiene por objeto ayudar a las partes interesadas en la aplicación del CRA. Las preguntas frecuentes no cubren todo el ámbito de aplicación de la CRA, sino que tratan cuestiones recurrentes que los servicios de la Comisión han recopilado desde la entrada en vigor de la CRA. Se trata de un «documento vivo» que la Comisión actualizará según sea necesario.
Más información
Puede consultar un análisis de la «Cyber Resilience Act» desde el punto de vista jurídico (en inglés) en el artículo técnico correspondiente del Dr. Gerhard Wiebe.
Notas al pie:1 Seminario web «Normas que respaldan la Cyber Resilience Act» (Standards supporting the Cyber Resilience Act): consulte los detalles en el sitio web de CEN/CENELEC2 Categorización de futuras normas sobre la CRA. Representación propia basada en el seminario web de CEN/CENELEC mencionado anteriormente.
Publicado el: 05/12/2025 (Última actualización)
Johannes Windeler-Frick, MSc ETH Director general de IBF Solutions. Asesor técnico en materia de marcado CE y Safexpert. Conferencias, podcasts y publicaciones sobre diversos temas relacionados con el marcado CE, en particular la organización y la gestión eficiente del marcado CE. Dirección del desarrollo del sistema de software Safexpert. Estudios de Ingeniería Eléctrica en la ETH de Zúrich (MSc) con especialización en Tecnología Energética y profundización en el ámbito de las máquinas herramienta.
Correo electrónico: johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com/es
Daniel Zacek-Gebele, MSc Gerente de productos en IBF para productos suplementarios y gestor de datos para la actualización de los datos estándar en el servidor Safexpert Live. Estudios de Ciencias Económicas en Passau (BSc) y Stuttgart (MSc) con especialización en Negocios Internacionales y Economía.
Correo electrónico: daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com
Fachbeitrag teilen