La perspectiva de Cyber Academy
El Cyber Resilience Act es el reglamento de la UE que impone obligaciones de seguridad de referencia a los productos de hardware y software con elementos digitales comercializados en Europa. Obligaciones del fabricante durante el ciclo de vida: seguridad desde el diseño, gestión de vulnerabilidades, SBOM, cinco años de parches. Adoptado a finales de 2024, aplicable desde diciembre de 2027. Combinar con NIS 2 (perspectiva organizativa) y AI Act (perspectiva de modelos).
Lo que realmente regula el Cyber Resilience Act
El Cyber Resilience Act impone obligaciones de seguridad al producto, no solo a la organización que lo opera. Todo lo que se vende en la UE y contiene elementos digitales, es decir, hardware o software con una conexión de datos, entra en su ámbito: dispositivos de consumo conectados, controladores industriales, sistemas operativos, bibliotecas, aplicaciones móviles e incluso el firmware integrado en un componente.
La parte regulada es el operador económico que introduce el producto en el mercado, de modo que los fabricantes asumen la carga principal, mientras que los importadores y distribuidores quedan sujetos a obligaciones de verificación. Esto supone un desplazamiento de la responsabilidad. Durante años el comprador heredaba el riesgo del software inseguro; el CRA traslada una base definida de responsabilidad a quien construye y vende el producto.
Como regula productos en lugar de entidades, el CRA alcanza a pequeños proveedores y componentes abiertos que ninguna ley de seguridad organizativa tocaría jamás. Un fabricante de firmware sin oficina en la UE igualmente tiene que cumplir si el dispositivo llega a un estante europeo. Ese enfoque por producto es lo más importante que hay que comprender antes de leer cualquier otra cosa sobre él.
Las obligaciones que vinculan a un fabricante
El CRA se construye en torno a un ciclo de vida. Un producto tiene que ser seguro cuando se entrega y mantenerse soportable durante el tiempo que razonablemente se espera que esté en uso, que el reglamento fija en un periodo de soporte base de aproximadamente cinco años para la gestión de vulnerabilidades. Las obligaciones concretas se agrupan en dos conjuntos.
- Seguridad desde el diseño y por defecto: entregar sin vulnerabilidades explotables conocidas, reducir al mínimo la superficie de ataque, proteger la confidencialidad y la integridad de los datos, y proporcionar una configuración predeterminada segura para que el producto no sea inseguro nada más sacarlo de la caja.
- Gestión de vulnerabilidades durante el periodo de soporte: mantener un proceso de divulgación coordinada, proporcionar un Software Bill of Materials para que los componentes que hay dentro del producto queden documentados, entregar actualizaciones de seguridad con prontitud y, cuando sea factible, de forma automática, y notificar las vulnerabilidades explotadas activamente y los incidentes graves a ENISA dentro de los plazos del reglamento.
La conformidad se demuestra del modo en que la UE trata el resto de la legislación de seguridad de productos: una evaluación proporcionada a la clase de riesgo del producto, documentación técnica y marcado CE que señala que se ha alcanzado la base de seguridad. Las categorías de productos de mayor riesgo, denominadas importantes o críticas, se enfrentan a una evaluación más estricta, a veces por un tercero, en lugar de una autodeclaración.
Cómo se sitúa junto a NIS 2 y la AI Act
Estos tres instrumentos de la UE son deliberadamente complementarios y los profesionales no deben confundir sus ámbitos. El CRA es el ángulo del producto: hace seguro lo que vendes. NIS 2 es el ángulo organizativo: obliga a las entidades esenciales e importantes a gestionar el riesgo cibernético, gobernar la seguridad y notificar incidentes a nivel de empresa. La AI Act es el ángulo del modelo: rige cómo se construyen y se introducen en el mercado los sistemas de IA, en especial los de alto riesgo. Un dispositivo industrial conectado vendido por un operador regulado que incorpora un componente de IA puede afectar a los tres a la vez, cada uno desde una dirección distinta.
| Instrumento | Qué regula | A quién vincula |
|---|---|---|
| Cyber Resilience Act | Seguridad de los productos con elementos digitales | Fabricantes, importadores, distribuidores |
| NIS 2 | Gestión y notificación del riesgo cibernético a nivel organizativo | Entidades esenciales e importantes |
| AI Act | Desarrollo e introducción en el mercado de sistemas de IA | Proveedores y responsables del despliegue de IA |
La consecuencia práctica es que la preparación para el CRA es en gran medida un programa de ingeniería y de gobernanza de producto, no un trámite documental añadido a un SGSI existente. Los equipos que ya practican la divulgación coordinada de vulnerabilidades, mantienen inventarios de dependencias y parchean con una cadencia previsible tienen gran parte del camino recorrido.
Los equipos que entregan y se olvidan son los que más trabajo tienen por delante, porque la obligación de dar soporte y parchear durante años es precisamente lo que una cultura de entregar y pasar a otra cosa busca evitar. El reglamento se adoptó a finales de 2024 y sus obligaciones principales se aplican a partir de diciembre de 2027, lo que deja un margen definido para implantar los procesos de gestión de vulnerabilidades y de SBOM antes de que sean exigibles.
Frequently asked questions
01¿Quién tiene que cumplir el Cyber Resilience Act?
Cualquier operador económico que introduzca en el mercado de la UE un producto con elementos digitales. Los fabricantes asumen las obligaciones principales, mientras que los importadores y distribuidores tienen obligaciones de verificación. Se aplica con independencia de dónde esté establecido el fabricante, de modo que un proveedor de fuera de la UE cuyo dispositivo llega a un comprador de la UE entra en el ámbito.
02¿Qué es un producto con elementos digitales?
Hardware o software que puede conectarse a un dispositivo o a una red, junto con los componentes que se entregan con él. Eso abarca bienes de consumo conectados, sistemas operativos, aplicaciones, bibliotecas y firmware. Los servicios puramente en la nube regidos por otra normativa y ciertas categorías ya reguladas quedan fuera del ámbito principal.
03¿Por qué el CRA exige un SBOM?
Porque los fabricantes son responsables de las vulnerabilidades de todo lo que hay dentro de sus productos, incluidas las dependencias de terceros y de código abierto. Un Software Bill of Materials documenta esos componentes para que las vulnerabilidades puedan localizarse y parchearse a lo largo del periodo de soporte.
04¿En qué se diferencia el CRA de NIS 2?
El CRA regula la seguridad del producto que vendes; NIS 2 regula cómo gestiona tu organización el riesgo cibernético y notifica los incidentes. Uno vincula a los fabricantes a lo largo del ciclo de vida del producto, el otro vincula a las entidades esenciales e importantes a nivel de empresa. Muchos proveedores estarán sujetos a ambos.
05¿Cuándo empieza a aplicarse el Cyber Resilience Act?
Se adoptó a finales de 2024 y sus obligaciones principales se aplican a partir de diciembre de 2027, con ciertas obligaciones de notificación que entran en vigor antes. Ese intervalo es la ventana de que disponen los fabricantes para poner en marcha prácticas de seguridad desde el diseño, la gestión de vulnerabilidades y la generación de SBOM antes de la aplicación.