EMETHRA

Cyber Resilience Act

Reglamento de ciberresiliencia de la UE

El reglamento europeo que exige seguridad por diseño en todos los productos con elementos digitales. Documentación técnica, SBOM obligatorio y marcado CE.

Solicitar Product SnapshotVer proceso de cumplimiento

Qué encontrarás en esta guía

Fecha límite
11 Dic 2027
Aplicación completa
Aplica a
Fabricantes, importadores, distribuidores
Productos con elementos digitales
Sanción máxima
15M EUR
o 2.5% facturación global
Docs requeridos
Anexo VII + SBOM
Retención 10 años

¿Qué es el Cyber Resilience Act?

El Cyber Resilience Act (CRA) es el reglamento europeo que establece requisitos de ciberseguridad obligatorios para todos los productos con elementos digitales comercializados en la Unión Europea.

Aplica a fabricantes, importadores y distribuidores de hardware y software. El principio rector es 'cybersecurity by design': la seguridad debe incorporarse desde el diseño del producto, no como un añadido posterior.

El CRA introduce obligaciones de documentación técnica (Anexo VII), gestión de vulnerabilidades durante todo el ciclo de vida del producto, notificación de vulnerabilidades explotadas en 24 horas a las autoridades y el marcado CE obligatorio para comercializar en la UE.

Fechas clave del CRA

El calendario de implementación del Cyber Resilience Act

Dic 2024

Publicación oficial

El CRA se publica en el Diario Oficial de la UE y entra en vigor

11 Jun 2026

Organismos notificados

Los organismos de certificación CRA estarán designados y operativos

11 Sept 2026

Obligaciones de reporte activas

Reporte de vulnerabilidades explotadas activamente en 24h obligatorio

11 Dic 2027

Aplicación completa

Todos los productos deben cumplir los requisitos esenciales del CRA

Artículos clave del CRA

Cada artículo explicado con casos prácticos reales

Qué dice la ley

"Los fabricantes garantizarán que los productos con elementos digitales se diseñen, desarrollen y produzcan de conformidad con los requisitos esenciales de ciberseguridad establecidos en el anexo I."

Caso práctico

Una empresa SaaS lanza una nueva versión de su producto. Antes del release debe: actualizar el SBOM con los nuevos componentes, verificar que no hay CVEs críticos en las dependencias añadidas, y documentar los cambios en el Anexo VII.

EMETHRA te ayuda

EMETHRA genera automáticamente el SBOM en cada commit, detecta CVEs nuevos en tiempo real y mantiene actualizada la documentación del Anexo VII sin intervención manual.

Ver texto oficial en EUR-Lex

Proceso de cumplimiento CRA

Los 5 pasos para preparar tu producto

1

Inventario software

Identifica todos los componentes de tu producto

2

Análisis vulnerabilidades

Escanea CVEs en todas las dependencias

3

Genera SBOM

SPDX o CycloneDX completo

4

Documenta Anexo VII

Documentación técnica completa

5

Mantén actualizado

Monitoriza CVEs y actualiza

Informes que genera EMETHRA

Documentación lista para cumplir con el CRA

Sanciones por incumplimiento

Las consecuencias de no cumplir con el CRA

Sanciones aplicables

Incumplimiento de requisitos
15M EUR o 2% facturación
Falta de notificación
5M EUR o 1% facturación

Además, las autoridades pueden ordenar la retirada del producto del mercado europeo.

Sectores afectados por el CRA

¿A quién aplica el Cyber Resilience Act?

Industrial
Software
SaaS
IoT
Hardware
Importadores
Distribuidores
Fabricantes

Preguntas frecuentes sobre el CRA

Resolvemos las dudas más comunes

El CRA aplica a todos los productos con elementos digitales comercializados en la UE: software standalone, firmware, dispositivos IoT, hardware con componentes conectados, aplicaciones móviles y productos SaaS con componente on-premise. Solo quedan excluidos productos ya regulados por normativas específicas como dispositivos médicos o vehículos.

¿Necesitas cumplir con el CRA?

EMETHRA automatiza la generación de documentación CRA Anexo VII, SBOM y te alerta de vulnerabilidades para el reporte de 24 horas.

Solicitar Product Snapshot

Artículos relacionados en el Observatorio

CRA para el sector industrialDue diligence de compliance