El Cyber Resilience Act, bajo control.
Si introduces en el mercado de la UE un producto con elementos digitales, el CRA te afecta. Reglyze autoevalúa tu conformidad en lenguaje claro y genera tu documentación técnica (Anexo VII) y tu declaración UE de conformidad: la mayoría de los productos se autocertifican por el módulo A.
Míralo en acción: del producto a la declaración firmada
Un recorrido de dos minutos: delimita el alcance de un producto, realiza la autoevaluación en lenguaje claro y genera la documentación técnica (Anexo VII) y la declaración UE de conformidad.
De «¿esto me aplica?» a una declaración firmada
1 · Alcance y clasificación
Cuatro preguntas te dicen si el CRA te aplica, tu clase (Anexo III/IV) y tu vía de conformidad. Gratis, sin cuenta.
2 · Autoevaluación
Responde a unas ~20 preguntas sencillas sobre tu producto. El asistente propone una madurez de 0–3 por cada requisito esencial (Anexo I), anclada en IEC 62443.
3 · Genera el expediente
Documentación técnica (Anexo VII) y tu declaración UE de conformidad: ensambladas a partir de tus respuestas, compatibles con SBOM y en tu idioma.
Lo que obtienes
- Documentación técnica (Anexo VII)
- Declaración UE de conformidad (disponible una vez cumplidos todos los requisitos)
- Informe de brechas del Anexo I con los puntos pendientes de resolver
- Importación de SBOM (CycloneDX / SPDX) recogida en la documentación técnica
Base: IEC 62443-4-1 (desarrollo seguro) e IEC 62443-4-2 (requisitos de componentes). El texto del CRA es legislación pública de la UE; las referencias a IEC se parafrasean, nunca se reproducen literalmente.
Cyber Resilience Act — preguntas frecuentes
¿Se aplica el Cyber Resilience Act (CRA) europeo a mi producto?
El CRA se aplica a cualquier producto con elementos digitales —hardware con software o firmware, y software independiente— comercializado en el mercado de la Unión. Si introduce en el mercado europeo un objeto conectado, un producto IoT o un software instalable, está dentro del ámbito de aplicación. El test de alcance gratuito de Reglyze lo confirma en cuatro preguntas.
¿Cuándo entra en vigor el Cyber Resilience Act?
Hay dos fechas que importan: las obligaciones de notificación de vulnerabilidades e incidentes se aplican a partir del 11 de septiembre de 2026, y la conformidad plena, incluido el marcado CE, se exige a partir del 11 de diciembre de 2027. El CRA es el Reglamento (UE) 2024/2847.
¿Qué es la autoevaluación con arreglo al módulo A en el marco del CRA?
El módulo A es la vía de conformidad por la que el fabricante autoevalúa su producto con respecto a los requisitos esenciales y emite por sí mismo su declaración UE de conformidad, sin intervención de un organismo notificado. Alrededor del 90 % de los productos —la categoría «por defecto»— pueden acogerse al módulo A.
¿Necesito un organismo notificado para el CRA?
Solo para los productos «importantes» de clase II y los productos «críticos» (anexo III clase II y anexo IV del CRA). Los productos por defecto y la mayoría de los productos «importantes» de clase I pueden autocertificarse con arreglo al módulo A, en particular cuando se aplican normas armonizadas.
¿Qué es la documentación técnica del Anexo VII?
El Anexo VII enumera la documentación técnica que el fabricante debe elaborar y mantener a disposición de las autoridades de vigilancia del mercado: descripción del producto, evaluación de riesgos, pruebas de conformidad con los requisitos esenciales y la lista de materiales de software (SBOM). Reglyze la elabora a partir de su autoevaluación.
¿Qué es una declaración UE de conformidad en el marco del CRA?
Es la declaración firmada que acredita que su producto cumple los requisitos esenciales de ciberseguridad del CRA. Es obligatoria antes de la colocación del marcado CE y de la introducción del producto en el mercado. Reglyze la emite una vez que se cumple cada uno de los requisitos esenciales.
¿Qué productos son «importantes» o «críticos» con arreglo al CRA?
El anexo III del CRA enumera los productos «importantes» (clases I y II), como los gestores de contraseñas, las VPN, los cortafuegos y los sistemas operativos; el anexo IV enumera los productos «críticos», como las pasarelas de contadores inteligentes y los elementos seguros. Todo lo que no figura en estas listas se considera «por defecto» y se autocertifica con arreglo al módulo A.
¿Cuáles son las sanciones por incumplimiento del CRA?
Los incumplimientos de los requisitos esenciales de ciberseguridad y de las obligaciones fundamentales del fabricante pueden sancionarse con multas de hasta 15 millones de € o el 2,5 % del volumen de negocios anual mundial total, si esta cifra es superior, junto con posibles órdenes de retirada del mercado. A otras infracciones se les aplican límites inferiores.
¿En qué se diferencia el CRA de NIS2?
NIS2 regula la ciberseguridad de las organizaciones (entidades esenciales e importantes); el CRA regula la ciberseguridad de los productos con elementos digitales comercializados en el mercado de la Unión. Un fabricante puede estar sujeto a ambos: a NIS2 por cómo opera y al CRA por lo que comercializa.
¿Cubre el CRA el software y el código abierto?
Sí. El software independiente es un producto con elementos digitales. El software de código abierto suministrado en el marco de una actividad comercial entra en el ámbito de aplicación, con obligaciones más ligeras para los administradores de código abierto sin ánimo de lucro. Un SaaS alojado e independiente queda, por lo general, fuera del ámbito del CRA, salvo que se trate de una solución de tratamiento de datos a distancia que forme parte integrante de un producto.