Cyber Resilience Act · Cumplimiento normativo

Checker CRA: ¿tu producto digital está obligado y desde cuándo?

Responde según tu rol, tu categoría de producto y si es software libre no comercial, y calcula tus obligaciones y fechas límite del Cyber Resilience Act — el Reglamento (UE) 2024/2847.

Notificación vulnerabilidades11 de septiembre de 2026
Aplicación plena11 de diciembre de 2027
NormaReglamento (UE) 2024/2847

En una frase: el Cyber Resilience Act no depende de tu sector, sino de si fabricas, importas o distribuyes un producto (hardware o software) con conexión a un dispositivo o red dentro de la UE. Esta herramienta identifica tu rol, comprueba si tu software libre queda exento por no ser actividad comercial, clasifica tu producto (por defecto, «importante» del Anexo III o «crítico» del Anexo IV) y te da las fechas límite y el checklist de lo que exige tu caso.

Aviso: esta herramienta es orientativa y no constituye asesoramiento profesional. Verifica tu caso concreto con nuestro servicio de desarrollo y seguridad de producto o con un profesional antes de tomar decisiones. Si buscas la lectura legal completa del Reglamento, consulta el servicio de Cyber Resilience Act de Summum Consultoría.

1. ¿Cuál es tu papel respecto al producto en el mercado de la UE?
2. ¿Es software libre (FOSS) que no ofreces como actividad comercial (no lo monetizas ni vendes soporte de pago sobre él)?
3. ¿En qué categoría del Reglamento encaja tu producto?

Cómo calcula tus obligaciones.

Metodología · cuatro pasos
01

Identifica tu rol

Fabricante, importador o distribuidor de un producto con elementos digitales, según las definiciones del art. 3 del Reglamento (UE) 2024/2847 — cada rol tiene obligaciones distintas.

02

Comprueba la exención de software libre

Si tu software libre no se ofrece como actividad comercial (art. 2 y guía oficial de la Comisión Europea sobre el CRA y el open source), queda fuera del ámbito del Reglamento.

03

Clasifica tu producto

Por defecto, «importante» (Anexo III, Clase I o II) o «crítico» (Anexo IV) — la categoría determina si vale la autoevaluación o si necesitas un organismo notificado o un certificado europeo de ciberseguridad.

04

Aplica fechas y checklist

Notificación de vulnerabilidades desde el 11-sep-2026 (art. 14), notificación de organismos desde el 11-jun-2026 y aplicación plena desde el 11-dic-2027 (art. 71), con el checklist de lo que exige tu rol y categoría.

Fuentes

  • Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, sobre requisitos horizontales de ciberseguridad para productos con elementos digitales (Cyber Resilience Act) — DOUE L, 2024/2847, 20-11-2024, en vigor desde el 10-12-2024: eur-lex.europa.eu/eli/reg/2024/2847/oj/eng (consultado 16-07-2026).
  • Comisión Europea — resumen oficial del Reglamento (fechas de aplicación del art. 71: notificación de organismos desde 11-jun-2026, obligaciones de información de fabricantes desde 11-sep-2026, aplicación general desde 11-dic-2027): digital-strategy.ec.europa.eu/en/policies/cra-summary (consultado 16-07-2026).
  • Comisión Europea — página oficial sobre software libre y de código abierto en el CRA: «la provisión de productos con elementos digitales que califican como software libre y de código abierto que no son monetizados por sus fabricantes no debe considerarse actividad comercial»; obligaciones ligeras de los «stewards» de software libre (art. 24) sin sanciones económicas (art. 64.10): digital-strategy.ec.europa.eu/en/policies/cra-open-source (consultado 16-07-2026).
  • INCIBE — «Entra en vigor la Ley de Ciberresiliencia europea»: confirma en castellano el 10-12-2024 (entrada en vigor), el 11-06-2026 (organismos de evaluación), el 11-09-2026 (obligaciones de información de fabricantes, notificación 24h/72h) y el 11-12-2027 (aplicación general): incibe.es/empresas/blog/la-ley-de-ciberresiliencia-europea-se-publica-en-su-version-en-castellano (consultado 16-07-2026).
  • Anexo III — Clase I y Clase II de productos «importantes» con elementos digitales (texto reproducido del Reglamento): cyber-resilience-act.com/annexes/annex-iii (consultado 16-07-2026).
  • Summum Consultoría — servicio Cyber Resilience Act (lectura legal completa del Reglamento, requisitos esenciales del anexo I, coordinación con NIS2/DORA y otros marcados CE): summumconsultoria.es/servicios/cyber-resilience-act (consultado 16-07-2026).

Casos no cubiertos por esta herramienta — productos ya regulados por normativa sectorial que los excluye del CRA (dispositivos médicos, productos sanitarios in vitro, vehículos de motor, aviación civil, equipos marítimos), productos exclusivamente militares o de seguridad nacional, situaciones de «steward» de software libre con soporte comercial sostenido a terceros, o cualquier duda sobre si tu producto encaja en el Anexo III o IV: selecciona «No lo sé» y consulta con un profesional.

Preguntas frecuentes sobre el checker CRA.

¿Qué es el Cyber Resilience Act y a quién obliga?

El Reglamento (UE) 2024/2847 fija requisitos de ciberseguridad para «productos con elementos digitales» (hardware o software con conexión lógica o física a un dispositivo o red) que se comercializan en la UE. Obliga a fabricantes, importadores y distribuidores de esos productos, con obligaciones distintas para cada rol.

¿Desde cuándo hay que notificar vulnerabilidades explotadas activamente?

Desde el 11 de septiembre de 2026. A partir de esa fecha, el fabricante debe enviar un aviso temprano en un máximo de 24 horas desde que tiene conocimiento de una vulnerabilidad explotada activamente, y una notificación completa en un máximo de 72 horas, al CSIRT designado y a ENISA (artículo 14 del Reglamento).

¿Cuándo se aplica el Reglamento al completo, con marcado CE incluido?

De forma general, desde el 11 de diciembre de 2027 (36 meses desde la entrada en vigor, el 10 de diciembre de 2024). La notificación de los organismos de evaluación de la conformidad se exige antes, desde el 11 de junio de 2026.

¿Mi software libre está exento?

Solo si no lo ofreces como actividad comercial: la Comisión Europea considera que el software libre no monetizado por quien lo desarrolla no es una actividad comercial y queda fuera del Reglamento. Si tu software libre sí se distribuye con fines comerciales, o si eres un «steward» que da soporte sostenido con fines comerciales a un proyecto de software libre (artículo 24), sí tienes obligaciones, aunque más ligeras y sin sanciones económicas.

¿Qué diferencia hay entre producto por defecto, Anexo III y Anexo IV?

La mayoría de productos siguen el procedimiento de evaluación de la conformidad por defecto (autoevaluación posible). Los productos «importantes» del Anexo III (Clase I: navegadores, gestores de contraseñas, VPN, sistemas operativos, routers...; Clase II: hipervisores, firewalls, microprocesadores resistentes a manipulaciones...) necesitan normas armonizadas o la intervención de un organismo notificado, siendo obligatoria en Clase II. Los productos «críticos» del Anexo IV (módulos de seguridad hardware, tarjetas inteligentes, pasarelas de contadores inteligentes) necesitan un certificado europeo de ciberseguridad o evaluación de un tercero.

¿Esta herramienta sustituye el asesoramiento de un profesional?

No. Es orientativa: identifica tu rol y categoría probable y las fechas y obligaciones generales que le corresponden, pero no sustituye una revisión concreta de tu producto y tu documentación técnica con un profesional.