Ir al contenido
Inicio Implantación SGSI CRA · Ley de Ciberresiliencia
CRA

CRA: Ley de Ciberresiliencia

Garantice que sus productos con elementos digitales cumplen los requisitos de seguridad exigidos por el nuevo Reglamento UE de Ciberresiliencia.

Reglamento UE 2024/2847 · Aplicación plena 11 dic 2027 · +20 años en SGSI y producto seguro

Ciberresiliencia de productos con elementos digitales

Marcado CE de ciberseguridad · gestión de vulnerabilidades durante todo el ciclo de vida
MARCADO CE
Marcos relacionados con CRA
ISO 27001Base SGSI
ISO 27034Seguridad de aplicaciones
IEC 62443Ciberseguridad industrial
NIS 2Directiva ciberseguridad UE
RGPDDatos personales
ENISACoordinación vulnerabilidades
11 dic 2027
Aplicación plena · Marcado CE obligatorio
2026
Obligaciones de notificación adelantadas · ENISA
15 M€ / 2,5 %
Sanción máxima · Volumen de negocio mundial
SBOM
Software Bill of Materials · Inventario obligatorio componentes

Cifras pendientes de validar con cliente.

QUÉ ES

¿Qué es el CRA?

El Cyber Resilience Act (Reglamento UE 2024/2847) establece los requisitos de ciberseguridad para los productos con elementos digitales (PED) comercializados en el mercado de la UE. Cubre desde dispositivos IoT y wearables hasta software empresarial y firmware, exigiendo seguridad por diseño y por defecto, gestión de vulnerabilidades durante todo el ciclo de vida y obligaciones de notificación de incidentes y vulnerabilidades activamente explotadas.

El marcado CE de ciberseguridad se convertirá en requisito de acceso al mercado UE. Aplicación plena desde el 11 de diciembre de 2027, con obligaciones de notificación adelantadas a 2026.

Producto seguro por diseño

Seguridad y privacidad incorporadas desde el inicio del ciclo de vida.

Marcado CE ciberseguridad

Requisito para comercializar en la UE desde diciembre 2027.

Tres categorías de producto

Normal, importante (clase I/II) o crítico según criticidad.

Notificación obligatoria

Vulnerabilidades activamente explotadas a ENISA y autoridad competente.

A QUIÉN APLICA

¿A quién aplica el CRA?

Aplica a toda la cadena de valor del producto con elementos digitales en la UE.

Fabricantes de productos con elementos digitales comercializados en la UE
Distribuidores e importadores de PED en territorio UE
Desarrolladores de software · incluido SaaS bajo ciertos supuestos
Empresas que integran componentes digitales de terceros en productos propios
Fabricantes de dispositivos IoT, wearables, equipos industriales conectados
Proveedores de firmware, OS embebidos y plataformas hardware con software integrado

¿Su caso no aparece aquí? Cuéntenos su situación →

ENTREGABLES

¿Qué te aporta Grupo CFI?

Documentación auditable y acompañamiento en la adecuación al nuevo Reglamento.

Informe clasificación del producto INFORME
Análisis conformidad anexo I CRA
Plan de adecuación SDLC PLAN
Procedimiento gestión vulnerabilidades
SBOM y trazabilidad de componentes
Políticas y procedimientos CRA
Bolsa de horas de soporte continuo
ISO Director seguimiento cumplimiento

Acompañamiento técnico ante notificaciones ENISA y autoridad competente.

METODOLOGÍA

Hoja de ruta para la adecuación al CRA

Cinco pasos desde la clasificación del producto hasta la gestión continua de vulnerabilidades.

1
CLASIFICACIÓN
Clasificación del producto

Producto normal, importante (clase I/II) o crítico según anexo III/IV del CRA.

2-3 sem
2
CONFORMIDAD
Análisis de conformidad

Análisis de requisitos esenciales del anexo I según categoría del producto.

4-6 sem
3
SDLC
Seguridad por diseño

Implantación de seguridad por diseño y por defecto en el ciclo de desarrollo (SDLC).

8-12 sem
4
VULNERABILIDADES
Gestión de vulnerabilidades

SBOM, parches, comunicación coordinada · todo el ciclo de vida del producto.

6-8 sem
5
NOTIFICACIÓN
Notificación coordinada

Procedimiento para notificar vulnerabilidades activamente explotadas e incidentes graves a ENISA.

2-3 sem
BENEFICIOS

¿Por qué adecuarse al CRA?

Cuatro razones para anticipar la entrada en vigor del CRA en su producto.

Acceso al mercado UE

Marcado CE de ciberseguridad obligatorio para productos digitales desde diciembre 2027.

Reducción del riesgo de sanciones

Hasta 15 M€ o 2,5% del volumen de negocio mundial · retiradas de producto evitables.

Confianza del cliente

Ciclo de vida seguro y comunicación transparente de vulnerabilidades.

Anticipación al despliegue

Productos preparados antes de la fecha de aplicación · ventaja competitiva.

SOFTWARE PROPIO · INCLUIDO OPCIONAL

Gestione su cumplimiento del CRA con ISO Director

Plataforma integral para mantener vivo el cumplimiento de seguridad de sus productos conforme al CRA. Desarrollada por nuestro equipo, utilizada por fabricantes de productos con elementos digitales.

Software propio · Incluido opcional
ISO Director

ISO Director

Centraliza documentación, evidencias, controles, auditorías y riesgos. Alineada con ISO 27001, ENS, TISAX, DORA y NIS 2.

  • Documentación viva con control de versiones
  • Análisis de riesgos guiado
  • Matriz SoA actualizable
  • Gestión de incidentes
  • Evidencias trazables
ISO Director · panel del SGSI integrado en un portátil
POR QUÉ CFI

Equipo con experiencia en SDLC seguro

Cuatro razones por las que fabricantes con producto digital confían en Grupo CFI para preparar el marcado CE de ciberseguridad.

20+ años en SGSI

Consultoría de seguridad de la información desde 2003.

Sectores producto

Industria, IoT y fabricantes con producto digital.

Equipo SDLC seguro

Profesionales con experiencia en revisión de código y gestión de vulnerabilidades.

Certificaciones corporativas

ISO 9001, ISO 27001, ENS Alto e ISO 14001.

FAQ

Preguntas frecuentes sobre el CRA

Las dudas más habituales sobre la adecuación al Reglamento UE de Ciberresiliencia.

¿Desde cuándo es obligatorio el CRA?
La aplicación plena del CRA es a partir del 11 de diciembre de 2027, con obligaciones de notificación de vulnerabilidades activamente explotadas e incidentes graves adelantadas a 2026. La preparación temprana evita bloqueos al lanzamiento.
¿Qué es exactamente un producto con elementos digitales?
Cualquier producto hardware o software cuyo uso previsible incluya una conexión directa o indirecta a otro dispositivo o red. Incluye IoT, wearables, software empresarial, firmware, librerías, sistemas operativos embebidos.
¿Qué obligaciones tengo con las vulnerabilidades de mi producto?
Notificar a ENISA y a la autoridad competente cuando una vulnerabilidad esté siendo activamente explotada. Mantener un SBOM (Software Bill of Materials), facilitar parches en tiempo razonable durante el ciclo de vida y comunicar a usuarios.
¿Cómo se clasifica mi producto?
Productos normales (mayoría), importantes clase I/II (firewalls, gestores de contraseñas, etc.) o críticos (HSM, tarjetas inteligentes, etc.) según anexos III y IV. Cada categoría tiene diferentes procedimientos de evaluación de conformidad.
¿Qué pasa con software open source o componentes de terceros?
El CRA reconoce el software libre con tratamiento específico: si se distribuye de forma no comercial queda fuera, si forma parte de un producto comercial el fabricante final asume las obligaciones de gestión de vulnerabilidades sobre el componente.
¿Puedo aprovechar mi ISO 27001 o ISO 27034 existente?
Sí. ISO 27001 cubre el SGSI corporativo, ISO 27034 cubre seguridad de aplicaciones. El CRA cubre la seguridad del producto desde el cliente final. Son complementarios y aprovechar las normas existentes acelera la adecuación.
¿COMENZAMOS?

Adelántese a la fecha de aplicación del CRA.

Un diagnóstico inicial le dice cómo está su producto frente a los requisitos esenciales del anexo I y qué pasos prioritarios necesita antes de 2027. Hablemos sin compromiso.