Identifica tu rol
Fabricante, importador o distribuidor de un producto con elementos digitales, según las definiciones del art. 3 del Reglamento (UE) 2024/2847 — cada rol tiene obligaciones distintas.
Responde según tu rol, tu categoría de producto y si es software libre no comercial, y calcula tus obligaciones y fechas límite del Cyber Resilience Act — el Reglamento (UE) 2024/2847.
En una frase: el Cyber Resilience Act no depende de tu sector, sino de si fabricas, importas o distribuyes un producto (hardware o software) con conexión a un dispositivo o red dentro de la UE. Esta herramienta identifica tu rol, comprueba si tu software libre queda exento por no ser actividad comercial, clasifica tu producto (por defecto, «importante» del Anexo III o «crítico» del Anexo IV) y te da las fechas límite y el checklist de lo que exige tu caso.
Aviso: esta herramienta es orientativa y no constituye asesoramiento profesional. Verifica tu caso concreto con nuestro servicio de desarrollo y seguridad de producto o con un profesional antes de tomar decisiones. Si buscas la lectura legal completa del Reglamento, consulta el servicio de Cyber Resilience Act de Summum Consultoría.
Fabricante, importador o distribuidor de un producto con elementos digitales, según las definiciones del art. 3 del Reglamento (UE) 2024/2847 — cada rol tiene obligaciones distintas.
Si tu software libre no se ofrece como actividad comercial (art. 2 y guía oficial de la Comisión Europea sobre el CRA y el open source), queda fuera del ámbito del Reglamento.
Por defecto, «importante» (Anexo III, Clase I o II) o «crítico» (Anexo IV) — la categoría determina si vale la autoevaluación o si necesitas un organismo notificado o un certificado europeo de ciberseguridad.
Notificación de vulnerabilidades desde el 11-sep-2026 (art. 14), notificación de organismos desde el 11-jun-2026 y aplicación plena desde el 11-dic-2027 (art. 71), con el checklist de lo que exige tu rol y categoría.
Casos no cubiertos por esta herramienta — productos ya regulados por normativa sectorial que los excluye del CRA (dispositivos médicos, productos sanitarios in vitro, vehículos de motor, aviación civil, equipos marítimos), productos exclusivamente militares o de seguridad nacional, situaciones de «steward» de software libre con soporte comercial sostenido a terceros, o cualquier duda sobre si tu producto encaja en el Anexo III o IV: selecciona «No lo sé» y consulta con un profesional.
El Reglamento (UE) 2024/2847 fija requisitos de ciberseguridad para «productos con elementos digitales» (hardware o software con conexión lógica o física a un dispositivo o red) que se comercializan en la UE. Obliga a fabricantes, importadores y distribuidores de esos productos, con obligaciones distintas para cada rol.
Desde el 11 de septiembre de 2026. A partir de esa fecha, el fabricante debe enviar un aviso temprano en un máximo de 24 horas desde que tiene conocimiento de una vulnerabilidad explotada activamente, y una notificación completa en un máximo de 72 horas, al CSIRT designado y a ENISA (artículo 14 del Reglamento).
De forma general, desde el 11 de diciembre de 2027 (36 meses desde la entrada en vigor, el 10 de diciembre de 2024). La notificación de los organismos de evaluación de la conformidad se exige antes, desde el 11 de junio de 2026.
Solo si no lo ofreces como actividad comercial: la Comisión Europea considera que el software libre no monetizado por quien lo desarrolla no es una actividad comercial y queda fuera del Reglamento. Si tu software libre sí se distribuye con fines comerciales, o si eres un «steward» que da soporte sostenido con fines comerciales a un proyecto de software libre (artículo 24), sí tienes obligaciones, aunque más ligeras y sin sanciones económicas.
La mayoría de productos siguen el procedimiento de evaluación de la conformidad por defecto (autoevaluación posible). Los productos «importantes» del Anexo III (Clase I: navegadores, gestores de contraseñas, VPN, sistemas operativos, routers...; Clase II: hipervisores, firewalls, microprocesadores resistentes a manipulaciones...) necesitan normas armonizadas o la intervención de un organismo notificado, siendo obligatoria en Clase II. Los productos «críticos» del Anexo IV (módulos de seguridad hardware, tarjetas inteligentes, pasarelas de contadores inteligentes) necesitan un certificado europeo de ciberseguridad o evaluación de un tercero.
No. Es orientativa: identifica tu rol y categoría probable y las fechas y obligaciones generales que le corresponden, pero no sustituye una revisión concreta de tu producto y tu documentación técnica con un profesional.