
El Cyber Resilience Act (CRA), Reglamento (UE) 2024/2847, fija requisitos de ciberseguridad para productos con elementos digitales que se comercializan en la Unión Europea y exige requisitos y obligaciones a lo largo del periodo de soporte del producto. El marco define cómo deben notificarse las vulnerabilidades explotadas y los incidentes graves que afecten a la seguridad del producto, con un procedimiento de notificación definido.
Cuando un producto digital llega al mercado, lo que se compra no es solo que funcione en el momento de la venta, sino también que pueda seguir funcionando de forma segura con el paso del tiempo, sin abrir grietas cuando aparecen fallos, se publican vulnerabilidades o cambian las condiciones de uso.
No hace falta un incidente espectacular para que el riesgo se materialice. Bastan retrasos en parches de seguridad, configuraciones poco seguras que se acaban aceptando como normales, dependencias externas que cambian sin que el usuario tenga forma realista de seguirlas o un soporte que pierde intensidad cuando el producto ya está desplegado.
La Unión Europea resume el problema con dos ideas principales. Muchos productos muestran un nivel insuficiente de ciberseguridad y no siempre reciben correcciones de seguridad a tiempo. A la vez, compradores y usuarios no siempre pueden saber qué productos son realmente ciberseguros ni configurarlos bien sin conocimientos especializados. Con esa combinación, incluso organizaciones que quieren hacerlo bien se encuentran con una dificultad práctica, porque evaluar y exigir seguridad de forma consistente no es sencillo.








