Reglamento sobre Ciberresiliencia

Reg. (UE) 2024/2847

Establece requisitos de ciberseguridad por diseño para todo producto con elementos digitales comercializado en la UE: gestión de vulnerabilidades, lista de componentes (SBOM), actualizaciones de seguridad. Notificación de incidentes desde 09/2026; aplicación plena 12/2027.

Estado en ÆGIS: activo. Flujo completo: evaluación guiada que detecta tus obligaciones, plantillas de documento listas para producir, y el agente razonando con citación literal verificada. Disponible desde el plan Pro.

Datos clave

A QUIÉN OBLIGA: Fabricantes, importadores y distribuidores de productos con elementos digitales (hardware o software conectable). Categorías: por defecto, importante (Anexo III) y crítico (Anexo IV).
SANCIÓN MÁXIMA: 15 M€ o 2,5 % de la facturación anual mundial
EN VIGOR DESDE: 10/12/2024
AUTORIDAD: Autoridades nacionales de vigilancia del mercado
FUENTE OFICIAL: https://eur-lex.europa.eu/eli/reg/2024/2847/oj

Fechas clave

Obligaciones de notificación · 11/09/2026
Aplicación plena · 11/12/2027

Obligaciones y artículos clave

El agente razona y cita literalmente sobre estos puntos. 7 referencias cargadas en el motor — muestra de 4.

CRA · Ámbito

Productos con elementos digitales — qué entra

Cualquier producto de software o hardware y sus soluciones de procesamiento de datos a distancia, incluyendo componentes de software o hardware introducidos por separado en el mercado. Quedan FUERA del ámbito: SaaS no estrechamente vinculado a producto, productos cubiertos por regulación sectorial específica (dispositivos médicos, vehículos, aviación).

CRA · Requisitos esenciales

Requisitos esenciales de ciberseguridad

Anexo I del CRA: el producto debe diseñarse, desarrollarse y producirse de manera que garantice un nivel adecuado de ciberseguridad basado en los riesgos; entregarse sin vulnerabilidades explotables conocidas; ofrecer configuración segura por defecto; proteger frente a accesos no autorizados; proteger confidencialidad e integridad de los datos; permitir registro y monitorización de actividades; ofrecer actualizaciones de seguridad por defecto y de manera automática; permitir desinstalación permanente y segura de los datos del usuario.

CRA · Notificación vulnerabilidades

Notificación obligatoria al CSIRT en 24/72h

Los fabricantes notifican al CSIRT designado y a ENISA: (a) alerta temprana de una vulnerabilidad explotada en un plazo máximo de 24 horas desde el conocimiento, (b) notificación inicial en plazo máximo de 72 horas, (c) informe final en plazo máximo de 14 días tras la implementación de una solución, o de un mes desde la alerta inicial. Plazos paralelos al régimen NIS2 Art. 23.

CRA Art. 1 y 71 · Objeto y fechas de aplicación

Ciberseguridad por diseño para todo producto con elementos digitales

El Reglamento (UE) 2024/2847 se aplica a los productos con elementos digitales —hardware y software— cuyo uso previsto incluye una conexión de datos directa o indirecta a un dispositivo o red. Entró en vigor el 10 de diciembre de 2024. Las obligaciones de notificación de vulnerabilidades e incidentes son exigibles desde el 11 de septiembre de 2026, y el conjunto principal de obligaciones (requisitos esenciales, evaluación de conformidad, marcado CE) desde el 11 de diciembre de 2027. Quedan excluidos los productos ya cubiertos por regímenes sectoriales equivalentes (p. ej., dispositivos médicos, automoción, aviación).

Qué puedes hacer con este marco en ÆGIS

EVALUACIÓN INTERACTIVA

Árbol de decisión guiado

Un cuestionario adaptativo determina qué obligaciones de CRA aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.

Iniciar evaluación →

DOCUMENTOS QUE GENERA · 1

Plantillas legales listas para producir