Guía independiente del Reglamento (UE) 2024/2847 · Estado: en vigor
Esta página es una traducción automática (mediante IA) y no ha sido revisada por una persona.
Orientación · Fuentes oficiales

Orientación de la Comisión Europea sobre el CRA

Una visión general, en lenguaje sencillo, de la orientación que la Comisión Europea ha publicado para ayudar a interpretar el Reglamento (UE) 2024/2847; qué abarca y dónde aclara las obligaciones del texto legal.

01Qué es esto

El Reglamento establece las obligaciones; las orientaciones de la Comisión explican cómo aplicarlas en la práctica. Las orientaciones no son vinculantes y no modifican la ley, pero las autoridades de vigilancia del mercado y los organismos notificados las toman como referencia para una interpretación coherente, por lo que son el complemento natural del Art. 1 texto.

Cómo utilizarlo

Lea la orientación junto al artículo que interpreta. Cuando la orientación y su propia lectura difieran, la referencia vinculante es siempre el texto del Reglamento y, en última instancia, los tribunales.

02Las preguntas frecuentes de la Comisión

La Comisión mantiene un documento de preguntas frecuentes que recopila las cuestiones de interpretación más habituales: casos límite del ámbito de aplicación, el tratamiento de las piezas de repuesto y los componentes, y la forma en que el calendario se aplica a los productos que ya están en el mercado. Publicado por primera vez en diciembre de 2025, es un «documento vivo» que se actualiza a medida que surgen nuevas preguntas.

Fuente oficial

Lea las preguntas frecuentes de la Comisión sobre la aplicación del CRA: Aplicación del Reglamento de Ciberresiliencia: preguntas frecuentes ↗

03Aclaraciones sobre el ámbito de aplicación

Gran parte de la orientación aborda ámbito de aplicación, el ámbito sobre el que más se pregunta. Aclara qué se considera un «producto con elementos digitales», cómo se tratan las soluciones de tratamiento de datos a distancia y dónde se sitúa el límite con la legislación sectorial. Art. 2

  • Conexión de datos; basta una conexión lógica o física, directa o indirecta, para que un producto entre dentro del ámbito de aplicación.
  • Sectores excluidos; los productos sanitarios, los vehículos de motor y la aviación civil siguen rigiéndose por sus propios marcos.
  • SaaS; los servicios autónomos quedan, por lo general, fuera del CRA, pero el tratamiento necesario para que un producto funcione se considera parte del producto. Art. 3

04Software de código abierto

La orientación explica el régimen específico y más ligero para el código abierto. El software de código abierto no comercial desarrollado al margen de una actividad comercial queda, en gran medida, fuera del ámbito de aplicación; los «administradores de software de código abierto» tienen un conjunto de obligaciones definido y proporcionado.

Distinción clave

El factor determinante es la actividad comercial. Un componente suministrado de forma gratuita pero en el marco de una actividad comercial puede entrar igualmente en el ámbito de aplicación.

05Período de soporte y actualizaciones

La orientación indica cómo establecer un período defendible período de soporte: debe reflejar durante cuánto tiempo cabe razonablemente esperar que el producto esté en uso, y por lo general debería ser de al menos cinco años, salvo que el uso previsto sea más breve. Las actualizaciones de seguridad deben ser gratuitas y facilitarse de forma separada de las actualizaciones de funcionalidades. Art. 13

06Notificación y ENISA

La notificación se realiza a través de la plataforma única de notificación que ENISA está estableciendo en virtud de Art. 16. Al tener conocimiento de una vulnerabilidad explotada activamente, o de un incidente grave que afecte a la seguridad del producto, el fabricante notifica a ENISA y al CSIRT nacional a través de esa plataforma en un plazo de 24 horas / 72 horas / 14 días. La orientación establece qué debe contener cada uno: la alerta temprana, la notificación y el informe final. Art. 14

Se aplica a partir del 11 de septiembre de 2026

Las obligaciones de notificación pasan a ser exigibles el 11 de septiembre de 2026, y se prevé que la plataforma única de notificación de ENISA esté operativa para esa fecha.

07Normas armonizadas

Los requisitos esenciales del Anexo I se expresan en términos de resultados. Las normas armonizadas, una vez citadas en el Diario Oficial, otorgan una presunción de conformidad a los productos que las cumplen.

La solicitud de normalización de la Comisión M/606 fue aceptado por CEN, CENELEC y ETSI en 2025 y abarca alrededor de 41 normas: aproximadamente 15 horizontales (independientes del producto) y el resto verticales (específicas de cada producto). Se espera que las dos normas horizontales fundamentales, sobre el desarrollo seguro y sobre el tratamiento de vulnerabilidades, estén disponibles antes del 30 de agosto de 2026; las normas verticales, antes del 30 de octubre de 2026; y las normas horizontales restantes, antes del 30 de octubre de 2027, alrededor de un año antes de la plena aplicación.

Por qué es importante

Hasta que se citen normas, la conformidad debe demostrarse directamente frente a los requisitos del Anexo I. Una vez que se cita una norma pertinente, seguirla es la vía más sencilla para obtener una presunción de conformidad.