La CRA es el primer reglamento horizontal de la Unión Europea que establece requisitos de ciberseguridad obligatorios para productos con elementos digitales. Su objetivo es garantizar que los dispositivos sean seguros desde el diseño hasta su retirada del mercado.
La CRA no es un mero trámite administrativo; es una transformación en el ciclo de vida del producto. Exige que el fabricante asuma la responsabilidad de la seguridad desde el diseño hasta 5 años después de su puesta en el mercado.
La CRA clasifica los productos según su riesgo:
Default (90% de los casos): Autoevaluación de conformidad.
Clase I (Importantes): Requieren cumplir con estándares específicos o evaluación externa (ej. navegadores, gestores de contraseñas).
Clase II (Críticos): Requieren certificación por un organismo notificado (ej. microprocesadores, sistemas operativos industriales).
La CRA impone la obligación de notificar cualquier vulnerabilidad explotada activamente en un plazo de 24 horas. Ayudamos a establecer los procesos internos para cumplir con esta exigencia operativa.
Con la entrada en vigor de los actos delegados de la directiva, cualquier dispositivo que use el espectro radioeléctrico debe garantizar tres pilares fundamentales que auditamos mediante la serie EN 18031
Prevención de daños a las redes de comunicación y sus recursos. Evitamos que el dispositivo actúe como vector de ataque contra infraestructuras.
Prevención de daños a las redes de comunicación y sus recursos. Evitamos que el dispositivo actúe como vector de ataque contra infraestructuras.
Requisitos técnicos para minimizar el riesgo de fraude en transacciones financieras realizadas a través del equipo.
No inventamos criterios; aplicamos las metodologías que los laboratorios acreditados exigirán en la auditoría final:
ETSI EN 303 645: El estándar 'de oro' para IoT de consumo. Auditamos los 13 requisitos, centrándonos en el fin de contraseñas por defecto y la transparencia en la política de actualizaciones.
IEC 62443: Para entornos industriales (IACS). Aplicamos los niveles de seguridad (SL) adecuados a la criticidad de su componente o sistema.
EN 18031-1/2/3: La base técnica para la presunción de conformidad en RED. Cubre la seguridad de datos, la gestión de activos y la resiliencia del stack de radio.
Los plazos de adecuación son finos y la saturación de los organismos notificados es un riesgo real para su time-to-market.
En vigor desde el 1 de agosto de 2025. Cualquier equipo radioeléctrico que no cuente con las evidencias técnicas de ciberseguridad (según la serie EN 18031) se encuentra en situación de riesgo administrativo y legal.
Revisión del expediente técnico actual para evitar sanciones o retiradas de producto por falta de conformidad.
El reglamento ya ha sido adoptado. Los requisitos de gobernanza y reporte de incidentes están en marcha. Cualquier desarrollo de producto actual debe nacer bajo los estándares de la CRA para evitar su obsolescencia legal inmediata.
Implementación de procesos de gestión de vulnerabilidades y generación de SBOM para los nuevos lanzamientos.
Con la RED en vigor, la demanda de certificación técnica es máxima. Los laboratorios acreditados tienen listas de espera que pueden comprometer sus lanzamientos de 2026 y 2027.
La adecuación previa de la documentación con NORBIAN reduce drásticamente los tiempos de evaluación, asegurando que su producto "pase a la primera".
Generación de SBOM: Inventario trazable de componentes de software.
Análisis de Riesgos: Documentación de amenazas y mitigaciones aplicadas.
Pruebas de Pentesting: Evidencias técnicas de resistencia ante ataques conocidos.
Procedimientos de Actualización: Garantías de integridad en firmware (firmado de código y rollback seguro).