Lo que fabricantes y empresas necesitan saber
El Cyber Resilience Act, o CRA, introduce un cambio estructural relevante en cómo Europa maneja la ciberseguridad de productos que incluyen elementos digitales. Según el CRA, un “producto con elementos digitales” es cualquier software o hardware, incluido su componente remoto, que esté diseñado para conectarse directa o indirectamente a una red o que dependa de dicha conectividad para funcionar.
El objetivo principal de este cambio consiste en asegurar que el hardware, el software y las infraestructuras conectadas funcionen de forma segura a lo largo de todo su ciclo de vida. Esta normativa impacta directamente a los fabricantes, distribuidores y proveedores de servicios tecnológicos que buscan vender en el mercado europeo. Por eso, entender bien la clasificación de productos y los distintos niveles de evaluación es clave para lograr el cumplimiento antes de 2027.
CRA agrupa los productos en tres categorías principales:
- Estándar: suelen tener riesgos bajos y no requieren evaluación por una tercera parte independiente, también conocido como que el fabricante puede realizar una autodeclaración.
- Importantes: se dividen en dos clases en los que para la Clase I es opcional la intervención de un Organismo Notificado cuando han aplicado norma armonizada mientras que la Clase II siempre requiere la evaluación de un Organismo Notificado.
- Críticos: están obligados a obtener el certificado europeo de ciberseguridad (EUCC).
Relevancia del CRA en el sector de la seguridad física.
Recientemente la Comisión Europea ha publicado el Reglamento de Ejecución (UE) 2025/2392 sobre la descripción técnica de categorías de productos importantes y críticos en los que incluye en la Clase I de productos Importantes, a aquellos utilizados en la protección de la seguridad física de los consumidores en un entorno residencial, como los sistemas de alarma y cámaras de seguridad. Así mismo, también se declaran en la misma categoría de Importante – Clase I a los sistemas de control de acceso incluyendo lectores de autenticación, lectores biométricos y sus programas de gestión.
Esto quiere decir que los métodos de evaluación disponibles para los productos de intrusión y control de acceso son:
Procedimiento de control interno (autodeclaración) bajo una de las dos condiciones siguientes:
- Aplicación completa de normas armonizadas existentes, o
- Certificación EUCC con al menos nivel de garantía “sustancial”
Certificación Examen UE de Tipo por un Organismo Notificado seguido control interno de la producción
Aseguramiento total de la calidad evaluada por un Organismo Notificado
Prepararse con tiempo es algo esencial.
Implementar el CRA significa ajustar los procesos de diseño, la documentación técnica, las pruebas de ciberseguridad y la gestión de vulnerabilidades. Iniciar ahora ayuda a evitar atascos, a reducir trabajos repetidos y a que los ciclos de certificación no retrasen el lanzamiento al mercado. Un producto que no cumpla podría enfrentar multas, retiros del mercado o incluso la prohibición de venta en la Unión Europea, lo que resalta la importancia de seguir los requisitos desde el inicio del desarrollo.
Independientemente de la clasificación del producto o del procedimiento de evaluación de la conformidad que el fabricante decida seguir, ALTER está preparado y dispone de los recursos necesarios para evaluar el cumplimiento de cualquier producto.
Clasificación.
Para clasificar bien un producto, es necesario analizar su conectividad, su rol/función dentro del sistema, su posible exposición a amenazas y el impacto de un fallo. Muchas empresas optan contar con expertos externos para agilizar este proceso y asegurar que la ruta de conformidad seleccionada sea la adecuada.
Anticiparse al CRA no solo reduce riesgos, sino que también aporta ventajas competitivas claras. Disminuye los costes de certificación, refuerza la ciberseguridad del producto, agiliza el acceso al mercado y fortalece la confianza de clientes y socios. En un sector donde la seguridad y el cumplimiento marcan la diferencia, prepararse con antelación se convierte en una estrategia que aporta un valor real al negocio.
Definiciones.
Producto con elementos digitales: producto compuesto por programas o equipos informáticos, así como por sus soluciones de procesamiento de datos remoto. Incluye también los componentes basados en software o hardware que se comercialicen de forma independiente.
Programa informático: componente de un sistema electrónico de información constituido por un código informático.
Equipo informático: sistema electrónico de información físico, o partes de este, capaz de procesar, almacenar o transmitir datos digitales.