Regulus

Pruébalo ahora

Aplicabilidad de la Ley de Resiliencia Cibernética: ¿Se aplica la CRA a su producto?

Igor Smith

La Ley de Ciberresiliencia (CRA) introduce requisitos obligatorios de ciberseguridad para los productos con componentes digitales comercializados en la UE. Una de las preguntas más importantes que las empresas se plantean entre 2025 y 2027 es: ¿se aplica la CRA a nuestro producto?

Esta guía proporciona un análisis profundo a nivel de expertos sobre la aplicabilidad de la CRA, incluido cómo se definen los «productos con elementos digitales», qué exclusiones existen, qué casos extremos importan y cómo se determina la clasificación de clase predeterminada frente a clase crítica.

Si necesita una evaluación rápida, comience con nuestro Verificador de aplicabilidad de la CRA.

¿Qué se considera un “producto con elementos digitales” según la CRA?

La CRA se aplica a cualquier Producto con Elementos Digitales (PDE). Esta es una definición fundamental que incluye:

  • Software (binarios locales, instalables, en el dispositivo o distribuidos)
  • Firmware (para módulos de hardware, chips, controladores, sensores)
  • Hardware conectado (de consumo o industrial)
  • Dispositivos IoT (hogares inteligentes, IoT industrial, wearables, dispositivos de movilidad)
  • Sistemas integrados (MCU, PLC, subsistemas automotrices no regulados en otro lugar)
  • Módulos de hardware que interactúan con redes o ejecutan software

La prueba es sencilla: Si el producto ejecuta software o firmware y se puede actualizar o conectar, casi siempre está dentro del alcance.

Fuente: Comisión Europea

Ejemplos reales de productos dentro del alcance

Software (paquetes instalables)

  • Aplicaciones de escritorio (Windows, macOS, Linux)
  • Agentes y clientes instalables para servicios en la nube
  • Software de seguridad, clientes VPN, herramientas de desarrollo

Dispositivos IoT

  • Dispositivos domésticos inteligentes
  • Sensores industriales conectados
  • Dispositivos portátiles, rastreadores, electrónica de consumo

Sistemas integrados y hardware controlado por firmware

  • Pasarelas, concentradores, enrutadores
  • Dispositivos controlados por microcontroladores
  • Componentes de maquinaria automatizada

Hardware físico con funciones digitales

  • Componentes robóticos
  • Equipo adyacente a dispositivos médicos (si)
  • Electrodomésticos inteligentes

Productos no cubiertos por la CRA

Algunas categorías están explícitamente excluidas:

  • SaaS puro sin instalables ni componentes en el dispositivo
  • Productos regulados por la legislación específica del sector (por ejemplo, MDR, UNECE automotriz)
  • Software de código abierto desarrollado fuera de la actividad comercial
  • Productos exclusivamente para uso de seguridad nacional, militar o de inteligencia

Para saber si su software se considera solo SaaS o “software con componentes distribuidos”, siga nuestra guía: Lista de verificación de preparación para CRA.

Modelo de decisión de aplicabilidad de la CRA

Un modelo simplificado de alto nivel:

¿Su producto está comercializado en la UE?
    |
    +-- No → La CRA no aplica
    |
    +-- Sí →
         ¿Es un producto con elementos digitales?
              |
              +-- No → La CRA no aplica
              |
              +-- Sí →
                    ¿Se ajusta a alguna exclusión específica del sector?
                         |
                         +-- Sí → La CRA no aplica
                         |
                         +-- No → Se aplica la CRA

Una vez confirmado que está dentro del alcance, la clasificación se convierte en el siguiente paso.

Clase predeterminada vs. clase crítica: aplicabilidad de la clasificación

Todos los productos de CRA entran en una de dos categorías:

  • Clase predeterminada: riesgo estándar de productos digitales
  • Clase crítica: riesgo elevado según el impacto en servicios o infraestructuras esenciales
Diagrama de comparación entre los productos de clase predeterminada y clase crítica de CRA.
Clase predeterminada vs. clase crítica según la Ley de Resiliencia Cibernética.

Clase predeterminada

La mayoría de los productos se clasifican aquí. Ejemplos típicos:

  • Dispositivos IoT para el consumidor
  • Herramientas y software para desarrolladores
  • Aplicaciones de productividad
  • Dispositivos de consumo integrados

Clase crítica

Los criterios incluyen:

  • Productos que realizan funciones de seguridad básicas
  • Sistemas industriales en los que una vulneración podría interrumpir servicios esenciales
  • Componentes de conectividad como enrutadores, puertas de enlace o módulos de plano de control
  • Software crítico para la automatización industrial o entornos ICS

Vea el mapeo completo aquí: Aplicabilidad y clasificación de la CRA.

Aplicabilidad del operador económico

La CRA se aplica a todos los operadores económicos:

Fabricantes

Son los principales responsables del cumplimiento, la documentación, la gestión de vulnerabilidades y el desarrollo seguro.

Importadores

Deben verificar la conformidad con la CRA antes de comercializar el producto en la UE.

Distribuidores

Deben confirmar la documentación y el cumplimiento antes de comercializar el producto.

Los operadores se definen de acuerdo con el Nuevo Marco Legislativo (NLF).

Casos especiales de aplicabilidad (importante)

Se aplica la CRA a bibliotecas y SDK?

Sí, si se distribuyen comercialmente o se integran en productos comercializados en la UE.

Se aplica la CRA a herramientas para desarrolladores?

Sí, a menos que se utilicen exclusivamente de forma interna y nunca se comercialicen.

Se aplica la CRA a los dispositivos conectados a la nube?

Sí. Incluso si la nube es SaaS, el dispositivo y su firmware son PDE y, por lo tanto, están regulados.

Se aplica la CRA a las aplicaciones móviles?

Sí, porque son software comercializado en la UE y reciben actualizaciones.

Se aplica la CRA a las aplicaciones web?

Solo si incluyen componentes instalables, agentes locales, controladores o ejecutables distribuidos.

Lista de verificación: Cómo evaluar si se aplica la CRA

Puede usar la siguiente lista de verificación para autoevaluarse:

  • Su producto ejecuta software o firmware?
  • Se conecta a una red?
  • Recibe actualizaciones?
  • Se ofrece a clientes en la UE?
  • Es parte de una cadena de suministro (OEM, ODM, integración)?
  • Realiza una función relevante para la seguridad o la conectividad?
  • Está implementado en o junto a una infraestructura crítica?

Si la respuesta a la mayoría de estas es «sí», se aplica la CRA.

Cómo evaluar la aplicabilidad de la CRA automáticamente

Icono de la lista de verificación de preparación para la CRA

Para simplificar el análisis de clasificación y aplicabilidad, puede utilizar nuestra herramienta automatizada:

Pruebe el Comprobador de aplicabilidad de la CRA

Ayuda a identificar:

  • Categoría de producto
  • Clase predeterminada vs. crítica
  • Función del fabricante/importador/distribuidor
  • Implicaciones de la documentación
  • Próximos pasos para el cumplimiento

Recursos externos

Conclusión

La Ley de Ciberresiliencia marca un cambio importante en la regulación de la ciberseguridad para productos digitales. Comprender si la Ley de Ciberresiliencia aplica a su producto es el primer paso, y el más importante, para desarrollar una estrategia de cumplimiento para el período de transición 2025-2027.

Para continuar su preparación, explore: Recursos de la Ley de Resiliencia Cibernética.

Comenzar temprano es la forma más fácil de reducir riesgos y costos.

More

Publicaciones relacionadas

Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Este sitio está registrado en wpml.org como sitio de desarrollo. Cambia a una clave de sitio de producción en remove this banner.