boton
Contactar

• Ciberglosario

¿Qué es la Ley de Ciberresiliencia (CRA)?

La Ley de Ciberresiliencia (CRA) es el Reglamento (UE) 2024/2847 que establece requisitos obligatorios de ciberseguridad para todos los productos con elementos digitales comercializados en el mercado europeo. Se aplica a hardware, software y dispositivos IoT, exigiendo a los fabricantes implementar seguridad desde el diseño, gestión de vulnerabilidades y notificación de incidentes a lo largo de todo el ciclo de vida del producto. Entró en vigor el 10 de diciembre de 2024, con obligaciones de notificación de vulnerabilidades desde el 11 de septiembre de 2026 y aplicación plena desde el 11 de diciembre de 2027. La CRA representa la regulación de ciberseguridad de producto más completa jamás adoptada.

1Definición de la Ley de Ciberresiliencia2Requisitos esenciales de ciberseguridad3Categorías de producto y evaluación de conformidad4Calendario de implementación5Desafíos de cumplimiento6Marco de cumplimiento7Soluciones Teldat alineadas con la CRA8Preguntas frecuentes – (FAQ’s)

Definición de la Ley de Ciberresiliencia

La Ley de Ciberresiliencia (CRA) es un reglamento de la UE que introduce requisitos obligatorios de ciberseguridad para todos los productos con elementos digitales (PDE) vendidos o puestos a disposición en el mercado europeo. Un producto con elementos digitales es cualquier producto de software o hardware cuyo uso previsto incluye una conexión de datos directa o indirecta a un dispositivo o red. Esto cubre desde dispositivos IoT de consumo y productos de hogar inteligente hasta routers empresariales, firewalls, sistemas de gestión de red y controladores industriales embebidos.

La CRA fue propuesta por la Comisión Europea el 15 de septiembre de 2022, adoptada formalmente por el Consejo el 10 de octubre de 2024 y entró en vigor como Reglamento (UE) 2024/2847 el 10 de diciembre de 2024. Forma parte de la Estrategia de Ciberseguridad de la UE junto con NIS2, la Ley de Ciberseguridad y el marco de certificación de ciberseguridad de la UE. Mientras NIS2 regula a las organizaciones que operan infraestructuras críticas, la CRA regula los productos que esas organizaciones compran y despliegan.

El reglamento aborda dos problemas sistémicos. Primero, la mayoría de los productos conectados en el mercado carecen de ciberseguridad adecuada, y los fabricantes no tenían obligación legal de proporcionar actualizaciones de seguridad ni gestionar vulnerabilidades después de la venta. Segundo, los consumidores y empresas no disponen de una forma fiable de evaluar la ciberseguridad de los productos que adquieren. La CRA resuelve ambos problemas exigiendo seguridad desde el diseño, gestión de vulnerabilidades durante todo el ciclo de vida, información estandarizada de seguridad para el usuario y marcado CE como prueba de conformidad en ciberseguridad.

Requisitos esenciales de ciberseguridad

La CRA establece dos conjuntos de requisitos esenciales en el Anexo I: requisitos de seguridad del producto (Parte I) y requisitos de gestión de vulnerabilidades (Parte II). Estos se aplican a todos los fabricantes independientemente de la categoría del producto.

1
Seguridad desde el diseño y por defecto
Los productos deben diseñarse, desarrollarse y producirse con un nivel adecuado de ciberseguridad basado en los riesgos que presentan. Deben enviarse con configuraciones seguras por defecto, sin vulnerabilidades explotables conocidas y con funciones de seguridad activadas de fábrica. Los datos almacenados, transmitidos o procesados por el producto deben protegerse con cifrado adecuado.
2
Gestión de vulnerabilidades (Anexo I, Parte II)
Los fabricantes deben identificar y documentar las vulnerabilidades de sus productos, incluidos los componentes de terceros. Deben proporcionar actualizaciones de seguridad gratuitas durante al menos la vida útil esperada del producto o cinco años, lo que sea mayor. Las actualizaciones de seguridad deben separarse de las actualizaciones funcionales cuando sea técnicamente viable, y las actualizaciones automáticas de seguridad deben estar habilitadas por defecto cuando razonablemente se espere.
3
Los fabricantes deben crear y mantener un SBOM legible por máquina que documente todos los componentes, incluidas las bibliotecas de código abierto y las dependencias de terceros. El SBOM debe mantenerse actualizado y ponerse a disposición de las autoridades de vigilancia del mercado cuando lo soliciten. Este requisito permite el seguimiento sistemático de vulnerabilidades en toda la cadena de suministro de software.
4
Notificación de vulnerabilidades e incidentes
Desde el 11 de septiembre de 2026, los fabricantes deben notificar las vulnerabilidades explotadas activamente a ENISA en un plazo de 24 horas desde que tengan conocimiento, seguido de una notificación completa en 72 horas y un informe final en un plazo de 14 días desde que esté disponible una medida correctiva. Los incidentes graves que afecten a la seguridad del producto requieren un informe final en el plazo de un mes. La notificación se realiza a través de la Plataforma Única de Notificación de la CRA operada por ENISA.
5
Información al usuario y transparencia
Los productos deben ir acompañados de documentación clara que cubra las propiedades de ciberseguridad, instrucciones de configuración segura, el periodo de soporte designado para actualizaciones de seguridad e información de contacto para la notificación de vulnerabilidades. Los usuarios deben ser informados sobre las fechas de fin de soporte y las implicaciones de seguridad de seguir utilizando productos sin soporte.
6
Marcado CE y declaración de conformidad
Una vez que un producto supera la evaluación de conformidad aplicable, el fabricante debe elaborar una declaración de conformidad de la UE y aplicar el marcado CE. El marcado CE indica a compradores y reguladores que el producto cumple los requisitos esenciales de ciberseguridad de la CRA. Los productos sin marcado CE no podrán venderse legalmente en la UE después del 11 de diciembre de 2027.

Categorías de producto y evaluación de conformidad

La CRA clasifica los productos en tres niveles según su riesgo de ciberseguridad. La clasificación se determina por la funcionalidad principal del producto, no por su descripción comercial. El nivel determina qué procedimiento de evaluación de conformidad debe seguir el fabricante antes de aplicar el marcado CE.

Categoría Ejemplos Evaluación de conformidad Proporción aprox.
Predeterminado Altavoces inteligentes, aplicaciones móviles, videojuegos, chips de memoria, juguetes conectados Autoevaluación (Módulo A) ~90%
Importante Clase I (Anexo III) Routers, módems, switches, software VPN, sistemas SIEM, gestores de contraseñas, sistemas operativos, sistemas de gestión de red, productos de hogar inteligente con funciones de seguridad Autoevaluación si se aplican normas armonizadas; en caso contrario, evaluación por terceros (Módulo B+C o H)  
Importante Clase II (Anexo III) Firewalls, sistemas de detección/prevención de intrusiones, hipervisores, microprocesadores resistentes a manipulación, sistemas de ejecución de contenedores Evaluación obligatoria por terceros (Módulo B+C o H) ~10%
Crítico (Anexo IV) Módulos de seguridad hardware, pasarelas de contadores inteligentes, tarjetas inteligentes, elementos seguros Evaluación obligatoria por terceros; puede requerir certificación de ciberseguridad de la UE combinado

Por qué esto importa para el equipamiento de red: los routers, switches y módems se clasifican como Importantes Clase I según el Anexo III. Los firewalls y sistemas de detección de intrusiones corresponden a la Importante Clase II. Esto significa que los fabricantes de infraestructura de red deben aplicar normas armonizadas o someterse a evaluación de conformidad por terceros. Los productos de Teldat están diseñados para cumplir estos requisitos mediante ingeniería de seguridad desde el diseño y certificación CPSTIC/ENS.

Calendario de implementación

La CRA utiliza un enfoque de implementación por fases. Aunque la aplicación plena es en diciembre de 2027, varias obligaciones se aplican antes. Los fabricantes que esperen hasta 2027 ya estarán en situación de incumplimiento durante más de un año en las obligaciones de notificación.

1
10 de diciembre de 2024: entrada en vigor
La CRA se publicó como Reglamento (UE) 2024/2847 y entró en vigor. Comenzó el periodo de implementación de 36 meses. Los fabricantes deben iniciar inmediatamente las evaluaciones de riesgo de ciberseguridad, la creación del SBOM y el diseño de procesos de gestión de vulnerabilidades.
2
11 de junio de 2026: organismos de evaluación de conformidad
Se aplica el marco para la notificación de organismos de evaluación de conformidad. Los estados miembros deben designar autoridades notificantes. Los organismos de evaluación de conformidad pueden comenzar a operar y evaluar productos bajo la CRA.
3
11 de septiembre de 2026: obligaciones de notificación
Los fabricantes deben notificar las vulnerabilidades explotadas activamente y los incidentes graves a través de la Plataforma Única de Notificación de ENISA. Esto se aplica a todos los productos ya en el mercado, no solo a los nuevos. Alerta temprana en 24 horas, notificación completa en 72 horas, informe final en 14 días (vulnerabilidades) o un mes (incidentes).
4
T3 2026: primeros entregables de normalización
Las normas armonizadas horizontales y verticales desarrolladas por CEN, CENELEC y ETSI alcanzan madurez. Incluyen normas para routers, firewalls, productos VPN, sistemas de gestión de red, SIEM y navegadores. Los fabricantes que apliquen estas normas se benefician de una presunción de conformidad.
5
11 de diciembre de 2027: aplicación plena
Se aplican todos los requisitos de la CRA. Los productos con elementos digitales que no cumplan no podrán comercializarse en el mercado de la UE. Los fabricantes deben haber completado la evaluación de conformidad, elaborado la declaración de conformidad de la UE y aplicado el marcado CE.
6
Continuo: obligaciones del ciclo de vida
Los fabricantes deben seguir proporcionando actualizaciones de seguridad y gestionando vulnerabilidades durante el periodo de soporte designado tras la comercialización, que debe reflejar la vida útil esperada del producto. Mínimo cinco años. La documentación técnica debe conservarse durante diez años o el periodo de soporte, lo que sea mayor.

Desafíos de cumplimiento

La CRA introduce obligaciones que la mayoría de los fabricantes no habían enfrentado previamente para productos conectados. Comprender los desafíos prácticos ayuda a las organizaciones a priorizar sus esfuerzos de preparación.

1
Creación de SBOMs a escala
Construir y mantener SBOMs precisos para productos con cientos de componentes de software, incluidas dependencias transitivas de código abierto, requiere herramientas y procesos que la mayoría de los fabricantes aún no tienen. El SBOM debe ser legible por máquina, mantenerse actualizado y ponerse a disposición de las autoridades cuando lo soliciten.
2
Gestión de vulnerabilidades para productos legados
La obligación de notificación de septiembre de 2026 se aplica a todos los productos ya en el mercado, no solo a los nuevos. Los fabricantes deben rastrear las vulnerabilidades explotadas activamente en toda su base instalada, incluidos productos enviados hace años. Sin seguimiento automatizado de vulnerabilidades, el cumplimiento a escala no es viable.
3
Seguridad de la cadena de suministro
Los fabricantes son responsables de la ciberseguridad de los componentes de terceros integrados en sus productos. Para componentes importados de fuera de la UE, el importador asume las obligaciones de la CRA. Esto requiere diligencia debida sobre cada componente en la lista de materiales, incluidas las bibliotecas de código abierto cuyo estado de mantenimiento puede ser incierto.
4
Normas armonizadas aún en desarrollo
Las 41 normas armonizadas solicitadas por la Comisión Europea (15 horizontales, 26 verticales) siguen siendo desarrolladas por CEN, CENELEC y ETSI. Hasta que se finalicen, los fabricantes carecen de una vía clara de presunción de conformidad y pueden necesitar evaluación por terceros incluso para productos Importantes Clase I.
5
Capacidad de evaluación de conformidad
El número de organismos notificados cualificados para evaluar el cumplimiento de la CRA es aún limitado. A medida que miles de fabricantes busquen evaluación simultáneamente antes del plazo de diciembre de 2027, las limitaciones de capacidad pueden crear cuellos de botella. Se recomienda el contacto temprano con los organismos de evaluación de conformidad.
6
Coordinación con NIS2 y otras regulaciones
Las organizaciones sujetas tanto a NIS2 (como operadores) como a la CRA (como fabricantes) deben alinear sus programas de cumplimiento. Los plazos de notificación de incidentes, los procedimientos de gestión de riesgos y los requisitos de seguridad de la cadena de suministro se solapan pero no son idénticos. DORA añade complejidad adicional para los servicios financieros.

Marco de cumplimiento

Un enfoque estructurado para el cumplimiento de la CRA cubre la clasificación de productos, evaluación de riesgos, documentación y evaluación de conformidad. Los pasos siguientes siguen los anexos de la CRA y la orientación actual de la Comisión Europea.

1
Clasificar sus productos
Determine si cada producto con elementos digitales pertenece a la categoría Predeterminada, Importante (Clase I o II) o Crítica comprobando su funcionalidad principal contra los Anexos III y IV. Utilice las descripciones técnicas del Reglamento de Ejecución (UE) 2025/2392 de la Comisión. La clasificación determina la vía de evaluación de conformidad.
2
Realizar evaluación de riesgos de ciberseguridad
Realice una evaluación de riesgos documentada para cada producto que cubra todo el ciclo de vida. Identifique escenarios de amenazas, evalúe superficies de ataque y determine el nivel de ciberseguridad adecuado al riesgo. Esta evaluación impulsa las decisiones de arquitectura de seguridad y debe incluirse en la documentación técnica.
3
Crear y mantener SBOMs
Cree SBOMs legibles por máquina para todos los productos, documentando cada componente de software, versión, proveedor y vulnerabilidad conocida. Implemente herramientas automatizadas que actualicen el SBOM cuando cambien los componentes y que realicen referencias cruzadas continuamente contra bases de datos de vulnerabilidades (NVD, CISA KEV, OSV).
4
Implementar gestión de vulnerabilidades
Establezca procesos para identificar, clasificar y remediar vulnerabilidades en todos los productos en el mercado. Prepare flujos de notificación alineados con la Plataforma Única de Notificación de ENISA: alerta temprana en 24 horas, notificación completa en 72 horas, informe final en 14 días o un mes. Pruebe estos flujos antes de septiembre de 2026.
5
Diseñar con seguridad por defecto
Asegúrese de que los productos se envían con configuraciones seguras, sin vulnerabilidades explotables conocidas, protección de datos cifrada y actualizaciones automáticas de seguridad habilitadas. Separe las actualizaciones de seguridad de las funcionales cuando sea factible. Los dispositivos de red de Teldat implementan estos principios mediante gestión centralizada de políticas vía CNM y funciones de seguridad embebidas.
6
Completar la evaluación de conformidad y el marcado CE
Siga el procedimiento de evaluación apropiado para la categoría de su producto. Prepare la documentación técnica requerida por el Anexo VII. Elabore la declaración de conformidad de la UE según el Anexo V. Aplique el marcado CE. Conserve la documentación durante diez años o el periodo de soporte del producto, lo que sea mayor.

Soluciones Teldat alineadas con la CRA

Como fabricante europeo de hardware de red, Teldat diseña productos bajo jurisdicción de la UE con principios de seguridad desde el diseño que se alinean con los requisitos esenciales de la CRA. Las siguientes capacidades abordan las obligaciones específicas que el reglamento impone a los fabricantes de productos de infraestructura de red.

1
Hardware con seguridad desde el diseño
Los routers SD-WAN y dispositivos de borde de Teldat están diseñados con la seguridad integrada en el hardware y firmware desde la fase de diseño. Arranque seguro, raíz de confianza hardware, almacenamiento cifrado y detección de manipulación son características estándar, no adiciones posteriores. Esto se alinea directamente con el requisito del Anexo I Parte I de la CRA de que los productos se diseñen con un nivel adecuado de ciberseguridad.
2
Gestión centralizada de actualizaciones CNM
Teldat Cloud Net Manager (CNM) permite el despliegue centralizado de firmware y actualizaciones de seguridad en toda la red SD-WAN. Los parches de seguridad pueden separarse de las actualizaciones funcionales y desplegarse automáticamente con aprovisionamiento sin intervención, cumpliendo el requisito de la CRA de actualizaciones de seguridad oportunas y gratuitas durante todo el ciclo de vida del producto.
3
be.Safe Pro SSE
La plataforma SASE cloud de Teldat que integra Secure Web Gateway, CASB, ZTNA y Next Generation Firewall. Con más de 15.000 firmas IPS y 4.000 decodificadores de aplicaciones, proporciona defensa en profundidad para productos conectados y las redes en las que operan. Clasificado como producto Importante en la CRA, be.Safe Pro SSE está construido para cumplir los requisitos de conformidad correspondientes.
4
Detección y respuesta extendida con inteligencia artificial y modelos de machine learning personalizados. Proporciona detección de vulnerabilidades en tiempo real, analítica de comportamiento y respuesta automatizada a incidentes en entornos IT y OT. Soporta el requisito de la CRA de que los fabricantes identifiquen y documenten vulnerabilidades y las aborden mediante actualizaciones de seguridad específicas.
5
Certificación CPSTIC y ENS Alta
Teldat posee el estatus de Cualificado y Aprobado en el Catálogo CPSTIC de España (CCN/ENS) al nivel más alto (ENS Alta). Esta certificación existente valida la alineación con los estándares europeos de ciberseguridad y proporciona una base sólida para la evaluación de conformidad de la CRA, particularmente para las categorías de productos Importantes.
6
SBOM y gestión de vulnerabilidades
Teldat mantiene listas de materiales de software documentadas para su portafolio de productos, rastreando componentes, versiones y vulnerabilidades conocidas. Combinado con la infraestructura de actualización automatizada de CNM, esto permite la capacidad de gestión y notificación sistemática de vulnerabilidades que la CRA exige desde septiembre de 2026.

La ventaja CRA de Teldat: como fabricante con sede en Europa, Teldat controla todo el ciclo de vida del producto desde el diseño del hardware hasta el desarrollo del firmware y la entrega de actualizaciones de seguridad. Cada etapa de la cadena de cumplimiento de la CRA, desde la evaluación de riesgos y el diseño seguro hasta la gestión de vulnerabilidades y la documentación de conformidad, se gestiona dentro de la jurisdicción europea. Las organizaciones que despliegan infraestructura de red de Teldat pueden confiar en un único proveedor para SD-WAN, SASE, XDR y seguridad OT conformes con la CRA.

Preguntas frecuentes sobre la Ley de Ciberresiliencia – (FAQ’s)

❯ ¿Qué es la Ley de Ciberresiliencia en términos sencillos?

La Ley de Ciberresiliencia (CRA) es un reglamento de la UE que exige que todos los productos con elementos digitales vendidos en el mercado europeo cumplan estándares obligatorios de ciberseguridad. Esto incluye hardware, software y dispositivos IoT. Los fabricantes deben diseñar productos con seguridad integrada, proporcionar actualizaciones de seguridad durante todo el ciclo de vida del producto, notificar vulnerabilidades explotadas activamente a ENISA en un plazo de 24 horas y aplicar el marcado CE para confirmar el cumplimiento. El reglamento entró en vigor el 10 de diciembre de 2024 y se aplica plenamente desde el 11 de diciembre de 2027.

❯ ¿Qué productos cubre la CRA?

La CRA cubre todos los productos con elementos digitales (PDE) que tengan una conexión de datos directa o indirecta a un dispositivo o red. Esto incluye routers, firewalls, dispositivos IoT, sistemas operativos, software VPN, productos de hogar inteligente, sistemas de gestión de red y software embebido. Los productos se clasifican en tres niveles: Predeterminado (aproximadamente el 90%, autoevaluación), Importante (Anexo III, Clases I y II, incluyendo routers, firewalls y sistemas SIEM) y Crítico (Anexo IV, como pasarelas de contadores inteligentes y módulos de seguridad hardware). Los dispositivos médicos, vehículos y productos de seguridad nacional están excluidos.

❯ ¿Cuáles son los plazos clave de la CRA?

La CRA tiene tres plazos principales. Desde el 11 de junio de 2026 se aplica el marco para organismos de evaluación de conformidad. Desde el 11 de septiembre de 2026, los fabricantes deben notificar vulnerabilidades explotadas activamente e incidentes graves a ENISA, incluso para productos ya en el mercado. Desde el 11 de diciembre de 2027, todos los requisitos de producto de la CRA se aplican plenamente y los productos no conformes no pueden venderse en la UE.

❯ ¿Cuáles son las sanciones por incumplimiento de la CRA?

Las sanciones de la CRA son considerables. El incumplimiento de los requisitos esenciales de ciberseguridad del Anexo I puede resultar en multas de hasta 15 millones de euros o el 2,5% de la facturación anual global. Otras infracciones pueden conllevar multas de hasta 10 millones de euros o el 2% de la facturación. Proporcionar información incorrecta o engañosa a las autoridades puede resultar en multas de hasta 5 millones de euros o el 1% de la facturación. Las microempresas y pequeñas empresas están exentas de multas por incumplir el plazo de notificación de vulnerabilidades de 24 horas.

❯ ¿Cómo se relaciona la CRA con NIS2 y el GDPR?

La CRA complementa a NIS2 y al GDPR como parte del marco de ciberseguridad de la UE. NIS2 se centra en la ciberseguridad de las organizaciones que operan infraestructuras críticas, mientras que la CRA se centra en la seguridad de los productos que esas organizaciones utilizan. El GDPR protege los datos personales. Juntos crean una arquitectura regulatoria por capas: la CRA asegura el producto, NIS2 asegura al operador y el GDPR asegura los datos. El cumplimiento de uno no satisface los demás, pero una implementación alineada reduce la duplicación.

❯ ¿Cómo apoya Teldat el cumplimiento de la CRA?

Teldat es un fabricante europeo de hardware de red cuyos productos están diseñados con principios de seguridad desde el diseño alineados con los requisitos de la CRA. Los routers SD-WAN de Teldat, be.Safe Pro SSE y be.Safe XDR incorporan configuraciones seguras por defecto, actualizaciones automáticas de firmware a través de CNM, procesos de gestión de vulnerabilidades y documentación SBOM. Teldat cuenta con certificación CPSTIC al nivel ENS Alta, validando la conformidad con los estándares europeos de ciberseguridad. Como fabricante europeo, los productos de Teldat llevan el marcado CE y cumplen con la legislación europea de seguridad de producto.

Construya infraestructura de red conforme con la CRA con Teldat

Desde hardware SD-WAN con seguridad desde el diseño hasta gestión centralizada de actualizaciones, SASE y XDR, Teldat ofrece ciberseguridad europea alineada con la CRA, NIS2 y los requisitos de seguridad de producto de la UE.