Normativa Europea

Cyber Resilience Act: multes de fins a 15M€ per a fabricants digitals

E
Equipo Editorial CambiosLegales
25 Mar 2026 6 min 2 visites

Dades clau

NormativaReglament (UE) 2024/2847 — Cyber Resilience Act (CRA)
Publicació rectificació25 de març de 2026
Entrada en vigor20 de novembre de 2024
AfectatsFabricants, importadors i distribuïdors de productes amb elements digitals a la UE
Sanció màxima15.000.000 € o 2,5% de la facturació global anual
CategoriaNormativa Europea
Referència oficialCELEX:32024R2847R(06)
Impacte clau: El Cyber Resilience Act obliga tots els fabricants, importadors i distribuïdors de productes digitals o amb components digitals a complir requisits de ciberseguretat durant tot el cicle de vida del producte. L'incompliment pot suposar multes de fins a 15 milions d'euros o el 2,5% de la facturació global anual. La rectificació publicada el març de 2026 no canvia aquestes obligacions: el reglament porta en vigor des del 20 de novembre de 2024.

Els fabricants de dispositius IoT, programari i qualsevol producte amb components digitals que operin a la UE ja estan subjectes al Reglament (UE) 2024/2847, conegut com a Cyber Resilience Act (CRA), des del 20 de novembre de 2024. La rectificació publicada el 25 de març de 2026 corregeix errors tècnics i de traducció del text original, però no modifica cap obligació substantiva. Si la seva empresa fabrica, importa o distribueix productes digitals i encara no ha iniciat l'adaptació, el risc de sanció és real i immediat.

15.000.000 €
Multa màxima per incompliment
2,5%
De la facturació global anual (si supera els 15M€)
20/11/2024
Data d'entrada en vigor del CRA

Què estableix aquesta normativa?

El Cyber Resilience Act estableix requisits horitzontals de ciberseguretat per a tots els productes amb elements digitals que es comercialitzin a la Unió Europea. El terme «horitzontal» significa que s'aplica independentment del sector: no és una norma per a telecomunicacions o per a banca, sinó per a qualsevol empresa que posi al mercat un producte amb components digitals.

Les tres obligacions principals que imposa el reglament són:

  • Gestió de vulnerabilitats: Les empreses han d'identificar, documentar i corregir vulnerabilitats de seguretat durant tot el cicle de vida del producte, no només en el moment del seu llançament.
  • Documentació tècnica: És obligatori mantenir documentació tècnica completa que acrediti el compliment dels requisits de ciberseguretat.
  • Marcatge CE de ciberseguretat: Els productes han d'obtenir i exhibir el marcatge CE que certifiqui la seva conformitat amb els estàndards de seguretat exigits pel CRA.

El reglament també modifica els Reglaments (UE) n.º 168/2013 i (UE) 2019/1020, així com la Directiva (UE) 2020/1828, adaptant el marc normatiu existent als nous requisits de ciberseguretat.

La rectificació publicada el 25 de març de 2026 (CELEX:32024R2847R(06)) es limita a corregir errors tècnics o de traducció detectats en el text original. No introdueix canvis en les obligacions, terminis ni sancions. La seva rellevància pràctica és que consolida el text oficial i elimina possibles ambigüitats d'interpretació derivades d'errors formals.

Impacte econòmic i operatiu

L'impacte econòmic del CRA té dues dimensions: el cost de l'adaptació i el cost de l'incompliment.

Cost de l'incompliment: Les sancions poden assolir 15 milions d'euros o el 2,5% de la facturació global anual, aplicant-se la xifra que resulti major. Per a una empresa amb 200 milions d'euros de facturació global, el 2,5% suposa 5 milions d'euros. Per a una empresa amb 800 milions, supera ja els 15 milions d'euros com a referència.

Cost operatiu de l'adaptació: Les empreses han d'assumir inversions en tres àrees principals:

  • Implantació de processos continus de gestió de vulnerabilitats (no és una auditoria puntual, sinó un sistema permanent).
  • Elaboració i manteniment de documentació tècnica de ciberseguretat per a cada producte.
  • Procés de certificació per obtenir el marcatge CE de ciberseguretat.

L'impacte operatiu és especialment rellevant per a empreses que gestionen carteres àmplies de productes digitals, ja que cada producte requereix el seu propi procés de conformitat i documentació.

A qui afecta?

El Cyber Resilience Act afecta totes les empreses que participin en la cadena de valor de productes amb elements digitals comercialitzats a la UE:

  • Fabricants de dispositius IoT (electrodomèstics connectats, dispositius industrials, wearables, equips mèdics amb connectivitat, etc.).
  • Fabricants de programari comercialitzat com a producte (aplicacions, sistemes operatius, firmware, videojocs).
  • Importadors que introdueixin al mercat europeu productes digitals fabricats fora de la UE.
  • Distribuïdors que posin a disposició al mercat europeu productes amb elements digitals.

La norma s'aplica independentment de la mida de l'empresa. No existeix una exempció general per a pimes, tot i que el reglament pot contemplar condicions específiques segons la categoria del producte.

Exemple pràctic

Una empresa espanyola que fabrica i distribueix panys intel·ligents amb connectivitat WiFi per al mercat europeu està directament afectada pel CRA des del 20 de novembre de 2024.

Les seves obligacions concretes són:

  • Establir un procés intern per detectar i corregir vulnerabilitats de seguretat en el firmware dels seus panys durant tota la vida útil del producte, no només en el moment del llançament.
  • Elaborar i mantenir actualitzada la documentació tècnica de ciberseguretat de cada model comercialitzat.
  • Obtenir el marcatge CE de ciberseguretat abans de comercialitzar nous models o actualitzar els existents.

Si aquesta empresa té una facturació global de 60 milions d'euros i no compleix amb el CRA, la sanció màxima aplicable seria d'1,5 milions d'euros (el 2,5% de 60M€), atès que aquesta xifra és inferior al límit absolut de 15 milions d'euros. Si la seva facturació fos de 700 milions d'euros, el 2,5% ascendiria a 17,5 milions, però la sanció quedaria limitada al sostre de 15 milions d'euros.

Necessites fer seguiment d'aquesta i altres normatives?

Consulta el detall complet a CambiosLegales

Què han de fer les empreses ara?

  1. Auditar el catàleg de productes: Identificar tots els productes amb elements digitals que l'empresa fabrica, importa o distribueix a la UE per determinar l'abast de l'obligació.
  2. Avaluar el nivell de compliment actual: Revisar si existeixen processos de gestió de vulnerabilitats i si la documentació tècnica de ciberseguretat està disponible i actualitzada per a cada producte.
  3. Iniciar el procés de marcatge CE de ciberseguretat: Contactar amb l'organisme notificat corresponent per iniciar la certificació dels productes que encara no la tinguin.
  4. Implantar un sistema continu de gestió de vulnerabilitats: No n'hi ha prou amb una revisió puntual. El CRA exigeix un procés permanent durant tot el cicle de vida del producte.
  5. Revisar contractes amb proveïdors i distribuïdors: Les obligacions del CRA afecten tota la cadena. Cal verificar que els acords contractuals cobreixen les responsabilitats de cada part en matèria de ciberseguretat.
  6. Consultar el text consolidat després de la rectificació: La correcció publicada el 25 de març de 2026 pot haver aclarit aspectes del text que afectin la interpretació d'obligacions concretes. Revisar el text actualitzat amb l'equip legal.

Preguntes freqüents

Quant poden multar per incomplir el Cyber Resilience Act?

Les sancions per incompliment del Cyber Resilience Act poden assolir els 15 milions d'euros o el 2,5% de la facturació global anual de l'empresa, aplicant-se la xifra que resulti major.

Quins productes estan obligats a complir el Cyber Resilience Act?

Tots els productes amb elements digitals comercialitzats a la UE: des de dispositius IoT fins a programari. Afecta fabricants, importadors i distribuïdors independentment del sector o de la mida de l'empresa.

Quan entra en vigor el Cyber Resilience Act?

El Reglament (UE) 2024/2847 va entrar en vigor el 20 de novembre de 2024. La rectificació que corregeix errors tècnics del text va ser publicada el 25 de març de 2026, però no modifica la data d'aplicació ni les obligacions.

Quines obligacions concretes imposa el Cyber Resilience Act a les empreses?

Les empreses han de complir tres obligacions principals: gestió activa de vulnerabilitats durant tot el cicle de vida del producte, elaboració de documentació tècnica completa, i obtenció del marcatge CE de ciberseguretat.

Què canvia la rectificació de març de 2026 respecte al text original del CRA?

La rectificació publicada el 25 de març de 2026 corregeix únicament errors tècnics o de traducció del text original. No altera el contingut substantiu ni les obligacions del Reglament (UE) 2024/2847.

Font oficial

Consultar normativa completa a la font oficial

Avís: Aquest article té caràcter merament informatiu i no constitueix assessorament legal. Per a decisions específiques, consulteu un professional qualificat. Font: https://eur-lex.europa.eu/./legal-content/AUTO/?uri=CELEX:32024R2847R(06)

#Normativa Europea #Marcatge CE #Cyber Resilience Act #Ciberseguretat #Productes digitals #IoT #Gestió de vulnerabilitats
Compartir:
E
Equipo Editorial CambiosLegales

El equipo editorial de CambiosLegales analiza diariamente los cambios normativos que afectan a empresas y autónomos en España, ofreciendo análisis pro...

Article anterior
Ajudes de minimis SIEG: fins a 500.000€ per a empreses de se...
Article següent
Brots de Newcastle a Polònia: restriccions urgents per a imp...
Comentaris

No hi ha comentaris encara. Sigues el primer a comentar!

Deixa un comentari
Articles relacionats
Biodegradabilitat en fertilitzants CE: què canvia per als fabricants
Normativa Europea 24 Mar 2026
Sancions UE contra Daesh i Al-Qaeda 2026: què han de fer les empreses i compl...
Normativa Europea 02 Apr 2026
Biocides desinfectants de pell ECA: autorització UE 2026 per a fabricants i d...
Normativa Europea 01 Apr 2026
Correcció PAC 2026: què han de revisar agricultors i gestors de fons
Normativa Europea 31 Mar 2026
Categories
Novetats Fiscals 12 Legislació Laboral 31 Normativa Empresarial 20 Protecció de Dades 1 Seguretat Social 7 Normativa Europea 109 Ajudes i Subvencions 48 Canvis Normatius 82 Sector Públic 19 Educació 13 Energia 11 Agricultura i Pesca 11 Immobiliari 2
Etiquetes populars
Normativa Europea Legislació Laboral Comerç Exterior Ajudes i Subvencions Compliment Normatiu Next Generation EU Registre de la Propietat Sector Públic Pràctiques Universitàries Pla de Recuperació Sanitat animal Conveni Col·lectiu Ocupació Pública Campus Rural Canvis Normatius
Subscriu-te al butlletí

Rep les últimes novetats legislatives directament a la teva bústia d'entrada.