Si solo necesitas el canal de denuncias, puedes acceder aquí

Contactar ventas

Sobre ithikios

Solicitar Demo
Solicitar Demo
Empieza Gratis
Contáctanos

Contáctanos

cra

Cyber Resilience Act: lo que cambia, lo que te afecta y cómo prepararte sin perder el tiempo

Durante años, la pregunta en materia de ciberseguridad apuntaba siempre a la organización:

«¿Tenemos medidas de seguridad suficientes?»

La Cyber Resilience Act (CRA) amplía el foco. A partir de ahora, la pregunta también apunta al producto:

«¿El software o dispositivo que desarrollamos, distribuimos o comercializamos ha sido diseñado de forma segura? ¿Y lo seguirá siendo a lo largo de toda su vida útil?»

No es un matiz menor. Es un cambio de paradigma que afecta a fabricantes, desarrolladores, distribuidores y proveedores tecnológicos en toda Europa.

Qué es exactamente la CRA

La Cyber Resilience Act es un reglamento europeo que establece requisitos obligatorios de ciberseguridad para cualquier producto con elementos digitales que se comercialice en la Unión Europea.

Su lógica es clara: demasiados productos llegan al mercado con vulnerabilidades conocidas, sin actualizaciones planificadas y sin ningún proceso formal de gestión de incidencias. La CRA quiere cambiar eso.

Para ello introduce conceptos que hasta ahora eran recomendaciones o buenas prácticas y los convierte en obligaciones:

  • Seguridad por diseño (Security by Design): la seguridad no se añade al final, se planifica desde el inicio.
  • Seguridad por defecto (Security by Default): la configuración inicial debe ser segura, sin que el usuario tenga que hacer nada.
  • Gestión continua de vulnerabilidades: identificar, priorizar, remediar y documentar durante todo el ciclo de vida del producto.
  • Obligaciones de notificación: si detectas una vulnerabilidad explotada activamente, tienes 24 horas para emitir una alerta temprana.
  • Transparencia sobre soporte: debes informar con claridad cuánto tiempo recibirá actualizaciones de seguridad el producto.

No se trata de pasar una auditoría puntual. La CRA convierte la seguridad en un proceso vivo y demostrable.

A quién afecta: más de lo que parece

Aquí es donde muchas organizaciones se sorprenden. La CRA no solo afecta a fabricantes de hardware o grandes plataformas. Afecta a:

  • Software empresarial y aplicaciones SaaS
  • Dispositivos IoT y hardware conectado
  • Aplicaciones móviles
  • Plataformas cloud
  • Sistemas industriales conectados

Y no solo a quien desarrolla, sino también a quien distribuye o importa productos digitales en Europa.

Si tu empresa desarrolla software, vende licencias, ofrece servicios como SaaS o integra productos de terceros en sus soluciones, la CRA probablemente te aplica.

El calendario: menos tiempo del que parece

La aplicación completa del reglamento llega en diciembre de 2027, pero hay una fecha anterior que no se debe perder de vista:

11 de septiembre de 2026 — Entran en vigor las obligaciones de notificación de vulnerabilidades explotadas activamente e incidentes graves.

Eso es en poco más de un año. Y preparar procesos de notificación robustos que funcionen en 24 horas no es algo que se construya en unas semanas.

Las tres implicaciones que más cambian el día a día

1. Desarrollar software ya no es suficiente: hay que demostrarlo

La CRA no pregunta si tu producto es seguro. Pregunta si puedes demostrar que lo es. Eso significa tener documentación técnica, registros de vulnerabilidades, historial de actualizaciones, procesos formalizados de respuesta a incidentes… y poder presentarlos ante un regulador o un cliente en cualquier momento.

2. La cadena de suministro se convierte en responsabilidad propia

Una vulnerabilidad puede entrar por una librería open source, una API de terceros, un componente SaaS integrado o un proveedor externo. La CRA extiende la responsabilidad más allá de tu propio código. Si tu producto incorpora componentes de terceros, necesitas saber qué riesgo representa cada uno de ellos.

3. Los tiempos de respuesta se acortan drásticamente

24 horas para emitir una alerta temprana ante una vulnerabilidad explotada activamente. Si tu proceso de gestión de incidentes depende de correos, llamadas y hojas de cálculo, ese plazo puede volverse imposible de cumplir.

Qué capacidades necesitas tener (o construir)

La CRA no prescribe herramientas concretas, pero sí deja claro qué procesos deben existir. En nuestra experiencia trabajando con organizaciones tecnológicas, estos son los bloques fundamentales:

Gestión de riesgos y activos Inventario actualizado de productos y componentes, identificación de amenazas, evaluación de impacto y seguimiento del riesgo residual. Sin esto, no puedes saber qué vulnerabilidades te afectan ni con qué urgencia. –> Risk Manager

Gestión de la cadena de suministro Homologación de proveedores, evaluaciones periódicas, cuestionarios de seguridad, evidencias documentadas. Un proveedor sin evaluar es un riesgo sin medir. –> Third Party Manager

Gestión de vulnerabilidades Identificación, priorización, remediación y mantenimiento de un historial auditable. El regulador puede pedir ese historial. –> Incident Manager

Gestión de incidentes Registro, clasificación, asignación de responsables, planes de respuesta y trazabilidad. No como un documento en un cajón, sino como un proceso activo que funcione bajo presión. –> Incident Manager

Documentación técnica y políticas Políticas, procedimientos, registros, aceptaciones, evidencias. La documentación no es burocracia: es la prueba de que haces las cosas bien. –> Policy Manager.

Comunicación de seguridad hacia clientes Cada vez más clientes preguntan cómo gestionas la seguridad antes de firmar un contrato. Tener una respuesta clara, centralizada y actualizada —certificaciones, políticas, evidencias— puede marcar la diferencia en un proceso comercial. –> Trust Center

La CRA no es solo un coste de cumplimiento

Visto desde fuera, la CRA puede parecer una carga regulatoria más. Pero hay otra forma de leerlo.

Las organizaciones que sean capaces de demostrar que gestionan la seguridad de sus productos de forma rigurosa —con procesos documentados, tiempos de respuesta rápidos y transparencia hacia sus clientes— tendrán una ventaja real frente a competidores que sigan dependiendo de procesos informales.

En un mercado donde la confianza digital es cada vez más un criterio de compra, el cumplimiento de la CRA puede convertirse en un argumento comercial.

La pregunta no es solo si cumplirás la CRA. Es si podrás demostrarlo de forma eficiente cuando alguien te lo pida.

En ithikios hemos desarrollado diferentes módulos que te ayudarán a cumplir con la CRA y a demostrar el cumplimiento con el Trust Center, Incident Manager, Third Party Manager, Risk Manager y Policy Manager.

Artículos relacionados

NIS2: las herramientas que realmente necesita tu organización (y por qué ninguna lo resuelve todo sola)

Cuando una organización empieza a trabajar la adaptación a NIS2, una de las primeras preguntas suele ser: «¿Qué software tengo que implantar?» La pregunta parece lógica. Pero en realidad es...

Leer más

La AIPI inicia su primer procedimiento sancionador por represalias a denunciantes

La Autoridad Independiente de Protección del Informante (AIPI), organismo creado en España para velar por el cumplimiento de la Ley 2/2023, ha abierto uno de sus primeros procedimientos sancionadores por...

Leer más

¿Quieres probar nuestro canal de denuncias?

Hazlo desde aquí durante 15 días, sin compromiso, sin tarjetas,…

Solicita demo

¿Quieres ver como ithikios te puede ayudar?

Empieza hoy. Cumple con la normativa en horas. Y cuando crezcas, ithikios te acompaña.

¿Hablamos?