Reglamento de Ciberresiliencia CRA: 7 claves del calendario y obligaciones
El CRA cambia las reglas del juego en materia de ciberseguridad
El Reglamento de Ciberresiliencia CRA cambia las reglas del juego en materia de ciberseguridad en la Unión Europea.
La transformación digital ha aumentado la dependencia de las empresas respecto al software, las aplicaciones conectadas y los dispositivos inteligentes.
Sin embargo, esta evolución también ha aumentado la exposición a vulnerabilidades, fallos de seguridad y ciberataques.
Para dar respuesta a este problema, la Unión Europea ha aprobado el Reglamento de Ciberresiliencia CRA, una norma que establece requisitos de seguridad para los productos digitales durante todo su ciclo de vida.
El objetivo del Reglamento de Ciberresiliencia CRA es que los productos lleguen al mercado con mayores garantías de seguridad y que exista una gestión continua del riesgo una vez que están en uso.
Si una vulnerabilidad apareciera en uno de los productos digitales que utiliza su empresa, el reto no es solo detectarla, sino saber quién la analiza, cómo se evalúa su impacto y con qué rapidez se actúa para contenerla antes de que sea explotada. ¿Se siente capaz de hacerlo?
Si la respuesta no es clara, es probable que necesite una asesoría antes del comienzo de aplicación del próximo septiembre de 2026.
Calendario del Reglamento de Ciberresiliencia CRA: tres fechas que toda empresa debe conocer
La implantación del CRA se realizará de forma progresiva
11 de junio de 2026
Se activan disposiciones relacionadas con la estructura de evaluación de conformidad del reglamento.
11 de septiembre de 2026
Entrarán en vigor las obligaciones de notificación y gestión de vulnerabilidades (artículo 14 del Reglamento de Ciberresiliencia CRA).
Las organizaciones deberán ser capaces de:
✓ Detectar vulnerabilidades activas o relevantes.
✓ Analizar su impacto en sistemas y usuarios.
✓ Gestionar incidentes de seguridad en plazos reducidos.
✓ Notificar conforme los requisitos establecidos por la normativa.
11 de diciembre de 2027
Aplicación plena del Reglamento de Ciberresiliencia en toda la Unión Europea.
Todos los requisitos deberán estar plenamente implementados. Los fabricantes dispondrán de un plazo máximo de 36 meses desde la entrada en vigor del reglamento para completar su adaptación.
¿A quién afecta realmente el CRA?
Uno de los errores más comunes es pensar que esta normativa solo afecta a grandes fabricantes tecnológicos.
El Reglamento de Ciberresiliencia CRA puede afectar a organizaciones que:
- Desarrollan software o hardware.
- Comercializan productos digitales.
- Integran componentes tecnológicos en sus servicios.
- Importan o distribuyen tecnología en la UE.
¿Su empresa depende de soluciones digitales de terceros o desarrolla tecnología propia?
Si la respuesta es sí, conviene analizar cómo puede afectarle esta normativa.
Seguridad desde el diseño en el Reglamento de Ciberresiliencia
Uno de los cambios clave introducidos por el Reglamento de Ciberresiliencia CRA es la necesidad de integrar la seguridad desde el diseño.
Esto implica:
✓ Identificar riesgos desde las fases iniciales.
✓ Reducir vulnerabilidades durante el desarrollo.
✓ Definir mecanismos de actualización y mantenimiento.
✓ Garantizar soporte de seguridad durante todo el ciclo de vida o al menos 5 años.
Gestión de vulnerabilidades en el CRA
El Reglamento de Ciberresiliencia CRA establece la obligación de implementar una gestión activa de vulnerabilidades.
Las organizaciones deberán ser capaces de:
Paso 1 – Detectar: identificar vulnerabilidades o amenazas en sus productos.
Paso 2 – Analizar: evaluar su impacto real en usuarios, sistemas y procesos.
Paso 3 – Corregir: aplicar medidas de solución.
Paso 4 – Notificar: comunicar incidentes a las autoridades competentes en plazos establecidos (24 horas desde el conocimiento del problema).
¿Por qué no se debe esperar a 2027?
Aunque la aplicación completa llegará en diciembre de 2027, la adaptación requiere tiempo.
Las empresas deberán revisar:
- Procesos de ciberseguridad.
- Gestión de vulnerabilidades.
- Documentación técnica.
- Productos digitales.
- Relación con proveedores tecnológicos.
- Procedimientos de actualización y mantenimiento.
Si hoy tuviera que demostrar el nivel de seguridad de sus productos digitales ante una autoridad competente, ¿dispondría de la evidencia necesaria?
La anticipación reduce riesgos y mejora la resiliencia digital de la organización.
Hemos preparado una guía que explica de forma clara los requisitos del Reglamento de Ciberresiliencia, sus fechas clave y los pasos necesarios para su cumplimiento.

¿Necesita su empresa adaptarse al CRA?
El impacto del CRA varía según el tipo de organización, sus productos y su cadena de suministro.
Un análisis especializado permite:
- Identificar obligaciones aplicables.
- Evaluar riesgos tecnológicos.
- Definir un plan de adaptación realista.







