CRA en el sector industrial: guía completa de cumplimiento
Todo lo que los fabricantes de software embebido, IoT y maquinaria industrial necesitan saber para cumplir con el Cyber Resilience Act antes del 11 de septiembre de 2026.
El Cyber Resilience Act (CRA) representa el cambio regulatorio más significativo para el sector industrial europeo en décadas. Para quienes trabajamos en cumplimiento normativo, esto no es simplemente otra directiva que gestionar: es una transformación fundamental en cómo debemos abordar la seguridad de los productos que fabricamos y comercializamos.
Durante años, la ciberseguridad en el sector industrial ha sido tratada como una cuestión técnica, delegada a los departamentos de IT o a los equipos de desarrollo. El CRA cambia esta dinámica por completo. Ahora, la seguridad del software es una responsabilidad que atraviesa toda la organización, desde el diseño inicial hasta el soporte post-venta, y las consecuencias de no cumplir pueden ser devastadoras tanto económica como reputacionalmente.
Fecha límite crítica
El 11 de septiembre de 2026 entran en vigor las obligaciones de notificación de vulnerabilidades. Los fabricantes que no cumplan se enfrentan a sanciones de hasta 15 millones de euros o el 2% de la facturación mundial.
Qué es el CRA y por qué afecta al sector industrial
El Cyber Resilience Act (Reglamento UE 2024/2847) establece requisitos de ciberseguridad obligatorios para todos los productos con elementos digitales comercializados en la Unión Europea. Publicado en octubre de 2024, introduce el concepto de "ciberseguridad por diseño" como obligación legal, no como una simple recomendación o buena práctica.
Lo que distingue al CRA de normativas anteriores es su enfoque preventivo. Mientras que regulaciones como NIS2 se centran en la respuesta a incidentes y la gestión de riesgos organizacionales, el CRA va directamente a la raíz del problema: exige que los productos sean seguros desde su concepción. Para el sector industrial, donde los ciclos de vida de los productos pueden extenderse durante décadas, esto implica repensar completamente nuestros procesos de desarrollo y mantenimiento.
El principio de ciberseguridad por diseño
El CRA parte de una premisa que, aunque obvia, ha sido sistemáticamente ignorada por la industria: la mayoría de los ciberataques exitosos explotan vulnerabilidades conocidas que podrían haberse evitado con prácticas de desarrollo más rigurosas. No estamos hablando de ataques sofisticados de día cero, sino de fallos básicos que persisten porque nadie se ha tomado el tiempo de corregirlos.
Para el sector industrial, esto se traduce en cambios concretos. Los PLCs, sistemas SCADA y controladores industriales deben diseñarse con seguridad desde el inicio. Ya no es aceptable añadir capas de seguridad como parches posteriores o confiar en que el aislamiento de red protegerá sistemas inherentemente vulnerables.
El firmware para dispositivos IoT industriales debe incluir mecanismos de actualización seguros. Esto puede parecer trivial, pero en el contexto industrial, donde muchos dispositivos operan durante décadas sin intervención, implementar actualizaciones seguras requiere una arquitectura completamente diferente a la que estamos acostumbrados.
Los sistemas HMI y de supervisión deben implementar autenticación robusta. La práctica común de usar credenciales por defecto o permitir acceso sin autenticación en redes "seguras" ya no es admisible bajo el CRA. Las interfaces de comunicación industrial como Modbus, OPC-UA o MQTT deben protegerse adecuadamente, independientemente de si fueron diseñadas originalmente para redes aisladas.
Productos con elementos digitales: definición y ejemplos
El CRA define "producto con elementos digitales" de forma deliberadamente amplia: cualquier producto de software o hardware y sus soluciones de procesamiento de datos remotas, incluidos los componentes de software o hardware comercializados por separado. Esta definición abarca prácticamente todo lo que fabricamos en el sector industrial moderno.
La amplitud de esta definición es intencionada. El legislador europeo ha aprendido de experiencias anteriores donde definiciones estrechas dejaban lagunas que la industria explotaba para evitar el cumplimiento. Con el CRA, si tu producto tiene software y se vende en la UE, está cubierto.
Productos industriales claramente afectados
La siguiente tabla resume las principales categorías de productos industriales y su clasificación de riesgo según el CRA. Es importante entender que la clasificación determina qué procedimiento de evaluación de conformidad debemos seguir, lo que tiene implicaciones directas en costes y tiempos de certificación.
| Categoría | Ejemplos | Nivel de riesgo CRA |
|---|---|---|
| Controladores industriales | PLCs, RTUs, PACs | Clase I/II importante |
| Sistemas SCADA | Software de supervisión, HMI | Clase I/II importante |
| IoT industrial | Sensores conectados, gateways | Por defecto o Clase I |
| Maquinaria conectada | CNCs, robots industriales | Clase I/II importante |
| Software embebido | Firmware, SO industriales | Según uso final |
Los productos de Clase II, que incluyen la mayoría de los sistemas de control industrial críticos, requieren evaluación por organismos notificados. Esto añade una capa adicional de complejidad y coste al proceso de certificación que debemos planificar con antelación suficiente.
Componentes de terceros
El CRA también aplica a los componentes de software que integras en tu producto. Debes realizar due diligence sobre todas tus dependencias y documentar su origen en el SBOM obligatorio. Esto incluye librerías open source, SDKs de proveedores y cualquier código que no hayas escrito internamente.
Cronograma de aplicación del CRA
Entender el cronograma del CRA es fundamental para planificar nuestros esfuerzos de cumplimiento. A diferencia de otras regulaciones que entran en vigor de golpe, el CRA tiene una implementación escalonada que nos da tiempo para prepararnos. Sin embargo, esto no significa que podamos dejarlo todo para el último momento: las empresas que empiecen tarde se encontrarán con cuellos de botella en los organismos notificados y consultores especializados.
| Hito | Fecha | Implicación para fabricantes |
|---|---|---|
| Entrada en vigor | 10 de diciembre de 2024 | Comienza el periodo de adaptación |
| Organismos notificados designados | 11 de junio de 2026 | Se pueden solicitar certificaciones |
| Obligaciones de notificación | 11 de septiembre de 2026 | Sistema de notificación 24h operativo |
| Aplicación completa | 11 de diciembre de 2027 | Productos no conformes fuera del mercado |
La fecha del 11 de septiembre de 2026 merece especial atención. A partir de ese momento debemos tener operativo un sistema para notificar vulnerabilidades activamente explotadas en un plazo de 24 horas. Esto requiere no solo infraestructura técnica, sino también procesos organizativos claros y personal formado que pueda actuar con la rapidez necesaria.
Requisitos esenciales de ciberseguridad (Artículo 10)
El Anexo I del CRA establece los requisitos esenciales que todo producto con elementos digitales debe cumplir. Es crucial entender que estos requisitos no son sugerencias ni mejores prácticas opcionales: son obligaciones legales cuyo incumplimiento puede resultar en la retirada del producto del mercado y sanciones significativas.
Seguridad por diseño
Los requisitos de seguridad por diseño del CRA reflejan lo que los expertos en ciberseguridad llevamos años predicando. La diferencia fundamental es que ahora tienen fuerza de ley.
La minimización de la superficie de ataque significa que debemos eliminar funcionalidades innecesarias, cerrar puertos que no se usen y deshabilitar servicios que no sean estrictamente necesarios para el funcionamiento del producto. En el contexto industrial, donde tradicionalmente hemos priorizado la funcionalidad y la compatibilidad sobre la seguridad, esto requiere un cambio de mentalidad significativo en nuestros equipos de desarrollo.
La protección de la integridad del software y firmware implica implementar mecanismos que detecten y prevengan modificaciones no autorizadas. Esto incluye firma de código, verificación de arranque seguro y, en la medida de lo posible, protección contra manipulación física del dispositivo.
Los mecanismos de autenticación y control de acceso deben ser robustos y estar activados por defecto. La protección de datos almacenados y en tránsito requiere cifrado adecuado. El registro de eventos de seguridad relevantes es fundamental para la detección de incidentes y el análisis forense posterior.
Gestión de vulnerabilidades
El CRA establece un marco completo para la gestión de vulnerabilidades que va mucho más allá de lo que la mayoría de fabricantes industriales han implementado hasta ahora.
La identificación y documentación de componentes mediante SBOM es obligatoria. Debemos saber exactamente qué software incluye nuestro producto, incluyendo todas las dependencias transitivas. En el sector industrial, donde muchos productos incorporan código heredado cuyo origen es difícil de rastrear, esto representa un desafío considerable que requiere inversión en herramientas y procesos.
El proceso para recibir y gestionar informes de vulnerabilidades debe estar documentado y ser accesible públicamente. La corrección oportuna mediante actualizaciones de seguridad es obligatoria: no podemos simplemente reconocer una vulnerabilidad y dejarla sin corregir indefinidamente. La divulgación coordinada de vulnerabilidades implica trabajar con la comunidad de seguridad de forma transparente.
Actualizaciones de seguridad
El CRA exige proporcionar actualizaciones de seguridad durante un periodo mínimo de 5 años desde la comercialización del producto, o durante su vida útil esperada si es mayor. Esta obligación tiene implicaciones profundas para el sector industrial.
En un sector donde los productos pueden tener ciclos de vida de 15, 20 o incluso 30 años, el requisito de 5 años puede parecer modesto. Sin embargo, la clave está en "o durante su vida útil esperada si es mayor". Si vendemos un PLC afirmando que durará 20 años, debemos estar preparados para proporcionar actualizaciones de seguridad durante todo ese período.
Esto requiere una planificación cuidadosa de la arquitectura del producto, asegurando que las actualizaciones sean técnicamente posibles durante toda la vida útil esperada. También tiene implicaciones importantes para nuestros modelos de negocio y contratos de soporte a largo plazo.
Documentación técnica: Anexo VII del CRA
El Artículo 31 del CRA exige que los fabricantes preparemos y mantengamos documentación técnica completa según los requisitos del Anexo VII. Esta documentación no es un mero ejercicio burocrático: es la evidencia de que hemos cumplido con nuestras obligaciones y debe estar disponible para las autoridades de vigilancia del mercado cuando la soliciten.
La documentación requerida debe incluir una descripción general del producto y su uso previsto, con suficiente detalle para que un evaluador externo entienda qué hace el producto y en qué contexto se utiliza. El apartado de diseño y desarrollo debe incluir arquitectura, diagramas y especificaciones técnicas, documentando las decisiones de diseño relacionadas con la seguridad y justificando por qué son adecuadas para el nivel de riesgo del producto.
La evaluación de riesgos de ciberseguridad debe ser sistemática, considerar las amenazas relevantes para el uso previsto del producto y documentar cómo los controles implementados mitigan los riesgos identificados. Debemos incluir la lista de requisitos esenciales aplicables y cómo se cumplen, mapeando cada requisito del Anexo I a los controles específicos implementados.
El SBOM con todos los componentes debe ser completo, incluyendo dependencias transitivas, y mantenerse actualizado con cada versión del producto. Los informes de ensayos y las instrucciones de uso con información de seguridad para los usuarios completan el expediente técnico.
Requisito de conservación: 10 años
La documentación técnica debe conservarse durante 10 años desde la comercialización del producto. Esto implica establecer sistemas de archivo que garanticen la integridad y accesibilidad de la documentación durante este período, con versionado adecuado y trazabilidad de cambios.
Genera tu documentación Anexo VII automáticamente
EMETHRA analiza tu código y genera documentación técnica CRA completa, incluyendo SBOM, evaluación de vulnerabilidades y evidencia de cumplimiento.
Solicitar demoMarcado CE y Declaración de Conformidad
El marcado CE es el símbolo visible del cumplimiento normativo, pero detrás de ese pequeño logotipo hay un proceso riguroso que debemos completar correctamente.
Declaración UE de Conformidad (Artículo 28)
Antes de comercializar el producto, el fabricante debe emitir una Declaración UE de Conformidad según el formato del Anexo V. Esta declaración es un documento legal en el que afirmamos, bajo nuestra responsabilidad, que el producto cumple con los requisitos aplicables.
La declaración debe incluir la identificación inequívoca del producto y del fabricante, una declaración explícita de conformidad con los requisitos esenciales, referencias a las normas armonizadas aplicadas cuando existan, identificación del organismo notificado si ha intervenido en la evaluación, y la firma de un responsable autorizado.
Es importante entender que al firmar esta declaración, asumimos responsabilidad legal por su veracidad. Las declaraciones falsas o negligentes pueden tener consecuencias tanto administrativas como penales.
Marcado CE (Artículo 30)
El marcado CE debe colocarse de forma visible, legible e indeleble en el producto o su embalaje. Para software, puede incluirse en la interfaz de usuario o la documentación digital. Este marcado indica que el producto cumple con toda la legislación de la UE aplicable, no solo el CRA.
Evaluación de conformidad: Módulos A, B+C, H
El CRA establece diferentes procedimientos de evaluación según la categoría de riesgo del producto. Entender qué procedimiento aplica a nuestros productos es crucial para planificar los recursos y tiempos necesarios.
Para productos de riesgo por defecto (bajo), el Módulo A permite que el fabricante realice la evaluación internamente sin intervención de un organismo notificado. Esto no significa que podamos tomárnoslo a la ligera: debemos documentar el proceso de evaluación y tener la documentación técnica disponible para las autoridades.
Para productos de Clase I (riesgo importante), los Módulos B+C requieren la intervención de un organismo notificado. El Módulo B implica que el organismo examina el diseño técnico, mientras que el Módulo C requiere que el fabricante asegure que la producción es conforme con el tipo aprobado.
Para productos de Clase II (riesgo crítico), el Módulo H requiere que el organismo notificado audite nuestro sistema de gestión de calidad y supervise continuamente la producción y el diseño. Este es el procedimiento más exigente y costoso, pero es obligatorio para productos que se utilizan en infraestructuras críticas.
Régimen sancionador: hasta 15 millones de euros
El Artículo 53 del CRA establece sanciones significativas por incumplimiento. Estas cifras no son teóricas: las autoridades europeas han demostrado con otras regulaciones como GDPR que están dispuestas a imponer multas sustanciales cuando detectan incumplimientos graves.
| Infracción | Sanción máxima |
|---|---|
| Incumplimiento de requisitos esenciales | Hasta 15M euros o 2% facturación mundial |
| Falta de cooperación con autoridades | Hasta 10M euros o 1,7% facturación mundial |
| Información incorrecta a organismos notificados | Hasta 5M euros o 1% facturación mundial |
Más allá de las multas, el incumplimiento puede resultar en la retirada del producto del mercado, lo que para muchos fabricantes industriales sería aún más perjudicial que las sanciones económicas directas. La pérdida de reputación y la responsabilidad civil por daños causados por productos no conformes son riesgos adicionales que no podemos ignorar.
Cómo EMETHRA ayuda con el cumplimiento del CRA
EMETHRA es la plataforma diseñada específicamente para ayudar a los fabricantes industriales a cumplir con el CRA de forma eficiente. Entendemos que el cumplimiento normativo no puede convertirse en un obstáculo para vuestro negocio, por eso hemos desarrollado herramientas que automatizan los aspectos más laboriosos del proceso.
Nuestro análisis automatizado de dependencias genera un SBOM completo en formato SPDX 2.3 (ISO 5962:2021) y CycloneDX 1.5, identificando vulnerabilidades conocidas en todas las dependencias incluyendo las transitivas. La documentación regulatoria se genera automáticamente a partir del análisis de tu código, incluyendo plantillas para la Declaración UE de Conformidad e informes de evaluación de riesgos.
El sistema de alertas para notificación 24h integra alertas CVE en tiempo real en tu pipeline CI/CD, preparando automáticamente las notificaciones para CSIRTs y manteniendo un historial completo para trazabilidad.
Cumple con el CRA antes del 11 de septiembre de 2026
Solicita una demo personalizada y descubre cómo EMETHRA puede ayudarte a cumplir con todos los requisitos del Cyber Resilience Act.
Solicitar demo ahoraChecklist de cumplimiento CRA
Utiliza esta lista para evaluar tu nivel de preparación actual y planificar las acciones necesarias:
- Inventario de productos con elementos digitales comercializados en UE
- Clasificación de productos según categorías de riesgo CRA
- SBOM generado para cada producto
- Evaluación de riesgos de ciberseguridad documentada
- Proceso de gestión de vulnerabilidades implementado
- Canal de notificación de vulnerabilidades establecido
- Plan de actualizaciones de seguridad (mínimo 5 años)
- Documentación técnica Anexo VII preparada
- Sistema de archivo para retención 10 años
- Declaración UE de Conformidad redactada
- Marcado CE planificado
- Sistema de alertas 24h para notificación a CSIRT
- Formación del equipo en requisitos CRA
Referencias normativas: