Datos clave
| Normativa | Reglamento (UE) 2024/2847 — Cyber Resilience Act (CRA) |
|---|---|
| Publicación rectificación | 25 de marzo de 2026 |
| Entrada en vigor | 20 de noviembre de 2024 |
| Afectados | Fabricantes, importadores y distribuidores de productos con elementos digitales en la UE |
| Sanción máxima | 15.000.000 € o 2,5% de la facturación global anual |
| Categoría | Normativa Europea |
| Referencia oficial | CELEX:32024R2847R(06) |
Los fabricantes de dispositivos IoT, software y cualquier producto con componentes digitales que operen en la UE ya están sujetos al Reglamento (UE) 2024/2847, conocido como Cyber Resilience Act (CRA), desde el 20 de noviembre de 2024. La rectificación publicada el 25 de marzo de 2026 corrige errores técnicos y de traducción del texto original, pero no modifica ninguna obligación sustantiva. Si su empresa fabrica, importa o distribuye productos digitales y aún no ha iniciado la adaptación, el riesgo de sanción es real e inmediato.
¿Qué establece esta normativa?
El Cyber Resilience Act establece requisitos horizontales de ciberseguridad para todos los productos con elementos digitales que se comercialicen en la Unión Europea. El término «horizontal» significa que aplica con independencia del sector: no es una norma para telecomunicaciones o para banca, sino para cualquier empresa que ponga en el mercado un producto con componentes digitales.
Las tres obligaciones principales que impone el reglamento son:
- Gestión de vulnerabilidades: Las empresas deben identificar, documentar y corregir vulnerabilidades de seguridad durante todo el ciclo de vida del producto, no solo en el momento de su lanzamiento.
- Documentación técnica: Es obligatorio mantener documentación técnica completa que acredite el cumplimiento de los requisitos de ciberseguridad.
- Marcado CE de ciberseguridad: Los productos deben obtener y exhibir el marcado CE que certifique su conformidad con los estándares de seguridad exigidos por el CRA.
El reglamento también modifica los Reglamentos (UE) n.º 168/2013 y (UE) 2019/1020, así como la Directiva (UE) 2020/1828, adaptando el marco normativo existente a los nuevos requisitos de ciberseguridad.
La rectificación publicada el 25 de marzo de 2026 (CELEX:32024R2847R(06)) se limita a corregir errores técnicos o de traducción detectados en el texto original. No introduce cambios en las obligaciones, plazos ni sanciones. Su relevancia práctica es que consolida el texto oficial y elimina posibles ambigüedades de interpretación derivadas de errores formales.
Impacto económico y operativo
El impacto económico del CRA tiene dos dimensiones: el coste de la adaptación y el coste del incumplimiento.
Coste del incumplimiento: Las sanciones pueden alcanzar 15 millones de euros o el 2,5% de la facturación global anual, aplicándose la cifra que resulte mayor. Para una empresa con 200 millones de euros de facturación global, el 2,5% supone 5 millones de euros. Para una empresa con 800 millones, supera ya los 15 millones de euros como referencia.
Coste operativo de la adaptación: Las empresas deben asumir inversiones en tres áreas principales:
- Implantación de procesos continuos de gestión de vulnerabilidades (no es una auditoría puntual, sino un sistema permanente).
- Elaboración y mantenimiento de documentación técnica de ciberseguridad para cada producto.
- Proceso de certificación para obtener el marcado CE de ciberseguridad.
El impacto operativo es especialmente relevante para empresas que gestionan carteras amplias de productos digitales, ya que cada producto requiere su propio proceso de conformidad y documentación.
¿A quién afecta?
El Cyber Resilience Act afecta a todas las empresas que participen en la cadena de valor de productos con elementos digitales comercializados en la UE:
- Fabricantes de dispositivos IoT (electrodomésticos conectados, dispositivos industriales, wearables, equipos médicos con conectividad, etc.).
- Fabricantes de software comercializado como producto (aplicaciones, sistemas operativos, firmware, videojuegos).
- Importadores que introduzcan en el mercado europeo productos digitales fabricados fuera de la UE.
- Distribuidores que pongan a disposición en el mercado europeo productos con elementos digitales.
La norma aplica con independencia del tamaño de la empresa. No existe una exención general para pymes, aunque el reglamento puede contemplar condiciones específicas según la categoría del producto.
Ejemplo práctico
Una empresa española que fabrica y distribuye cerraduras inteligentes con conectividad WiFi para el mercado europeo está directamente afectada por el CRA desde el 20 de noviembre de 2024.
Sus obligaciones concretas son:
- Establecer un proceso interno para detectar y corregir vulnerabilidades de seguridad en el firmware de sus cerraduras durante toda la vida útil del producto, no solo en el momento de lanzamiento.
- Elaborar y mantener actualizada la documentación técnica de ciberseguridad de cada modelo comercializado.
- Obtener el marcado CE de ciberseguridad antes de comercializar nuevos modelos o actualizar los existentes.
Si esta empresa tiene una facturación global de 60 millones de euros y no cumple con el CRA, la sanción máxima aplicable sería de 1,5 millones de euros (el 2,5% de 60M€), dado que esta cifra es inferior al límite absoluto de 15 millones de euros. Si su facturación fuera de 700 millones de euros, el 2,5% ascendería a 17,5 millones, pero la sanción quedaría limitada al techo de 15 millones de euros.
¿Qué deben hacer las empresas ahora?
- Auditar el catálogo de productos: Identificar todos los productos con elementos digitales que la empresa fabrica, importa o distribuye en la UE para determinar el alcance de la obligación.
- Evaluar el nivel de cumplimiento actual: Revisar si existen procesos de gestión de vulnerabilidades y si la documentación técnica de ciberseguridad está disponible y actualizada para cada producto.
- Iniciar el proceso de marcado CE de ciberseguridad: Contactar con el organismo notificado correspondiente para iniciar la certificación de los productos que aún no la tengan.
- Implantar un sistema continuo de gestión de vulnerabilidades: No basta con una revisión puntual. El CRA exige un proceso permanente durante todo el ciclo de vida del producto.
- Revisar contratos con proveedores y distribuidores: Las obligaciones del CRA afectan a toda la cadena. Es necesario verificar que los acuerdos contractuales cubren las responsabilidades de cada parte en materia de ciberseguridad.
- Consultar el texto consolidado tras la rectificación: La corrección publicada el 25 de marzo de 2026 puede haber aclarado aspectos del texto que afecten a la interpretación de obligaciones concretas. Revisar el texto actualizado con el equipo legal.
Preguntas frecuentes
¿Cuánto pueden multar por incumplir el Cyber Resilience Act?
Las sanciones por incumplimiento del Cyber Resilience Act pueden alcanzar los 15 millones de euros o el 2,5% de la facturación global anual de la empresa, aplicándose la cifra que resulte mayor.
¿Qué productos están obligados a cumplir el Cyber Resilience Act?
Todos los productos con elementos digitales comercializados en la UE: desde dispositivos IoT hasta software. Afecta a fabricantes, importadores y distribuidores con independencia del sector o del tamaño de la empresa.
¿Cuándo entra en vigor el Cyber Resilience Act?
El Reglamento (UE) 2024/2847 entró en vigor el 20 de noviembre de 2024. La rectificación que corrige errores técnicos del texto fue publicada el 25 de marzo de 2026, pero no modifica la fecha de aplicación ni las obligaciones.
¿Qué obligaciones concretas impone el Cyber Resilience Act a las empresas?
Las empresas deben cumplir tres obligaciones principales: gestión activa de vulnerabilidades durante todo el ciclo de vida del producto, elaboración de documentación técnica completa, y obtención del marcado CE de ciberseguridad.
¿Qué cambia la rectificación de marzo de 2026 respecto al texto original del CRA?
La rectificación publicada el 25 de marzo de 2026 corrige únicamente errores técnicos o de traducción del texto original. No altera el contenido sustantivo ni las obligaciones del Reglamento (UE) 2024/2847.
Fuente oficial
Consultar normativa completa en fuente oficialAviso: Este artículo tiene carácter meramente informativo y no constituye asesoramiento legal. Para decisiones específicas, consulte a un profesional cualificado. Fuente: https://eur-lex.europa.eu/./legal-content/AUTO/?uri=CELEX:32024R2847R(06)