Abrir la plataforma →
Reglamento (UE) 2024/2847 INCIBE • CCN • INCIBE-CERT

Cyber Resilience Act
para empresas españolas

El reglamento (UE) 2024/2847 impone requisitos obligatorios de ciberseguridad a fabricantes, importadores y distribuidores de productos con elementos digitales en el mercado de la UE. Las empresas españolas están directamente afectadas.

Automatiza tu cumplimiento CRA →

Autoridades españolas para el CRA

Dos organismos principales son responsables de la aplicación del CRA en España.

📊
INCIBE — sector privado y ciudadanos
El Instituto Nacional de Ciberseguridad (INCIBE) apoya a empresas y ciudadanos en materia de ciberseguridad. INCIBE-CERT es el CSIRT coordinador nacional para el sector privado y recibe las notificaciones de vulnerabilidades CRA desde la plataforma ENISA.
🏗
CCN — sector público
El Centro Criptológico Nacional (CCN) supervisa la ciberseguridad del sector público español. CCN-CERT es el CSIRT para las administraciones públicas. España participa en el proyecto europeo SECURE a través del NCC-ES.

Fuentes: incibe.es; ccn.cni.es

Fechas clave para empresas españolas

Calendario oficial basado en el reglamento (UE) 2024/2847, artículos 71–72.

10 de diciembre de 2024
El CRA entra en vigor Hecho
El reglamento (UE) 2024/2847 entró en vigor. Las empresas españolas deben iniciar la preparación para el cumplimiento.
21 de diciembre de 2025
Clasificación de productos aclarada Hecho
El Reglamento de Ejecución (UE) 2025/2392 entró en vigor con descripciones técnicas para las categorías de productos importantes y críticos.
11 de junio de 2026
Organismos de evaluación de la conformidad
Los Estados miembros deben haber notificado a la Comisión Europea los organismos de evaluación de la conformidad. El capítulo IV del reglamento es aplicable.
11 de septiembre de 2026
Obligación de notificación de vulnerabilidades
El artículo 14 es aplicable. Los fabricantes notifican vulnerabilidades activamente explotadas e incidentes graves a través de la plataforma ENISA (SRP). INCIBE-CERT recibe las notificaciones automáticamente. Plazos: 24h alerta temprana, 72h notificación, 14 días informe final.
11 de diciembre de 2027
Aplicación completa del CRA
Todos los requisitos son aplicables: requisitos esenciales de ciberseguridad (Anexo I), marcado CE, declaración UE de conformidad, documentación técnica (Anexo VII). Sanciones de hasta 15.000.000 EUR o el 2,5% de la facturación mundial (artículo 64).

Preguntas frecuentes

Respuestas basadas en el texto oficial del reglamento (UE) 2024/2847.

¿Se aplica el CRA también al software?
Sí. El CRA se aplica a todos los productos con elementos digitales, incluido el software independiente comercializado en el mercado de la UE. Aplicaciones móviles, software de escritorio, firmware y componentes de software comercializados por separado están en el ámbito de aplicación. El software de código abierto que no constituye actividad comercial puede quedar exento.
Fuente: Reglamento (UE) 2024/2847, artículo 2 — EUR-Lex
¿Qué es un SBOM y es obligatorio?
Una Software Bill of Materials (SBOM) es una lista estructurada de todos los componentes de software de un producto, con versiones y vulnerabilidades conocidas. El Anexo I Parte II del reglamento (UE) 2024/2847 obliga a los fabricantes a elaborar y mantener un SBOM como parte del proceso de gestión de vulnerabilidades. El SBOM no debe publicarse activamente, pero debe estar disponible para las autoridades de vigilancia del mercado.
Fuente: Reglamento (UE) 2024/2847, Anexo I Parte II — EUR-Lex
¿Qué documentación técnica exige el CRA?
El Anexo VII del reglamento (UE) 2024/2847 define el contenido requerido de la documentación técnica: descripción general del producto, documentación de diseño y desarrollo, evaluación de riesgos de ciberseguridad, lista de normas armonizadas aplicadas, declaración UE de conformidad e información sobre los procesos de gestión de vulnerabilidades. Los fabricantes deben conservar la documentación técnica durante al menos 10 años (artículo 31).
Fuente: Reglamento (UE) 2024/2847, artículo 31 y Anexo VII — EUR-Lex

Automatiza tu cumplimiento CRA

CRA Ready es la plataforma SaaS B2B para fabricantes europeos. Documentación técnica, marcado CE, gestión de vulnerabilidades y SBOM — todo en un solo lugar.

Abrir la plataforma →
Aviso legal: Esta página es un recurso informativo. Todo el contenido relativo al CRA hace referencia al texto oficial del reglamento (UE) 2024/2847 publicado en el Diario Oficial de la UE (EUR-Lex). La información sobre organismos españoles procede de incibe.es y ccn.cni.es. Esta página no constituye asesoramiento jurídico.