What is the Cyber Resilience Act (CRA)?

The Cyber Resilience Act (Regulation 2024/2847) is the EU's regulation establishing cybersecurity requirements for products with digital elements. It covers hardware and software products placed on the EU market and requires manufacturers, importers, and distributors to ensure products are secure by design throughout their lifecycle.

When does the CRA apply?

The CRA entered into force on December 10, 2024. Reporting obligations for actively exploited vulnerabilities apply from September 11, 2026. The main obligations for manufacturers, importers, and distributors apply from December 11, 2027.

Who is affected by the CRA?

The CRA applies to manufacturers, importers, and distributors of products with digital elements placed on the EU market. This includes IoT devices, software applications, operating systems, network equipment, smart home devices, industrial control systems, firmware, and SaaS components. Open-source software stewards also have specific obligations.

How is the CRA different from NIS2?

NIS2 focuses on the cybersecurity of organisations (essential and important entities in 18 sectors), while the CRA focuses on the cybersecurity of products with digital elements. NIS2 requires organisations to implement security measures; the CRA requires product manufacturers to build security into their products. Both regulations complement each other as part of the EU's cybersecurity framework.

How does SiteGuardian help with CRA compliance?

SiteGuardian continuously monitors security properties required by the CRA: HTTPS/TLS enforcement, deprecated protocol detection, weak cipher identification, certificate expiry monitoring, security.txt (RFC 9116) for vulnerability disclosure, encryption in transit, and security header validation. It maps findings directly to CRA articles and Annex I requirements.

Reglamento UE 2024/2847

Cyber Resilience Act.
¿Está listo su producto?

El CRA exige que todos los productos con elementos digitales en el mercado de la UE cumplan los requisitos de ciberseguridad — o se enfrenten a multas de hasta 15 M€. El reloj está corriendo.

---

Días

Horas

Minutos

Segundos

hasta el 11 de diciembre de 2027

Las obligaciones de notificación se aplican a partir del 11 de septiembre de 2026

Analice su producto ahora Ver planes de cumplimiento

¿Se le aplica el CRA?

El CRA se aplica a fabricantes, importadores y distribuidores de productos con elementos digitales comercializados en el mercado de la UE. Si su producto contiene software o se conecta a una red, probablemente está dentro del alcance.

Dispositivos IoT

Predeterminado / Crítico

Productos de software

Predeterminado / Crítico

Equipos de red

Crítico

Smart Home

Predeterminado / Crítico

Sistemas de control industrial

Crítico

Aplicaciones móviles

Predeterminado

Servicios en la nube

Predeterminado / Crítico

Open Source

Con obligaciones

El costo del incumplimiento

Requisitos esenciales

€15M

o el 2,5 % de la facturación anual global

el que sea más alto

Otras obligaciones

€10M

o el 2 % de la facturación anual global

el que sea más alto

Información engañosa

€5M

o el 1 % de la facturación anual global

el que sea más alto

Las autoridades de vigilancia del mercado pueden retirar del mercado de la UE los productos no conformes.

Lo que el CRA exige — y lo que SiteGuardian monitorea

El CRA define requisitos esenciales de ciberseguridad para productos con elementos digitales. SiteGuardian monitorea continuamente los técnicos.

Art. 6 / Annex I

Seguro por defecto

Monitorizados

SiteGuardian monitoriza la aplicación de HTTPS, cabeceras HSTS, indicadores de cookies seguras y detecta credenciales por defecto o configuraciones inseguras expuestas a la red. Los productos deben entregarse con configuraciones seguras por defecto.

Art. 10(1)

Sin vulnerabilidades conocidas

Monitorizados

SiteGuardian valida las versiones de TLS, detecta protocolos obsoletos (SSLv3, TLS 1.0/1.1), identifica suites de cifrado débiles y señala configuraciones de seguridad incorrectas conocidas. Los productos deben entregarse sin vulnerabilidades explotables conocidas.

Art. 10(6)

Actualizaciones de seguridad

Monitorizados

SiteGuardian monitoriza las fechas de expiración de certificados SSL, rastrea los cambios en la postura de seguridad a lo largo del tiempo y alerta sobre regresiones de configuración. Los fabricantes deben proporcionar actualizaciones de seguridad oportunas durante el período de soporte del producto.

Art. 10(9)

Lista de materiales de software (SBOM)

Los fabricantes deben identificar y documentar los componentes contenidos en sus productos, incluida una lista de materiales de software. Esta es una medida organizativa que requiere herramientas y procesos internos.

Art. 10(10)

Divulgación coordinada de vulnerabilidades

Monitorizados

SiteGuardian detecta archivos security.txt (RFC 9116), verifica la disponibilidad de la política de divulgación de vulnerabilidades y comprueba la información de contacto adecuada. Los fabricantes deben establecer una política de divulgación coordinada de vulnerabilidades.

Art. 11

Obligaciones de notificación

Monitorizados

A partir de septiembre de 2026, los fabricantes deben notificar las vulnerabilidades explotadas activamente a ENISA en un plazo de 24 horas. SiteGuardian proporciona detección de incidentes, clasificación y seguimiento de los plazos de notificación para el cumplimiento normativo.

Art. 13

Evaluación de conformidad

Los productos deben someterse a una evaluación de conformidad antes de comercializarse en el mercado de la UE. Los productos de categoría predeterminada pueden autoevaluarse; los productos críticos requieren auditorías de terceros. Esta es una medida organizativa.

Annex I.2

Propiedades de seguridad

Monitorizados

SiteGuardian verifica el cifrado en tránsito (TLS 1.2+), valida los mecanismos de control de acceso, comprueba la integridad de los datos mediante configuraciones seguras de cabeceras y monitoriza la exposición no autorizada de datos. Los productos deben proteger la confidencialidad, integridad y disponibilidad.

Comience a prepararse hoy

Analice la interfaz web de su producto para ver dónde se encuentra. SiteGuardian asigna cada hallazgo a artículos del CRA — para que sepa exactamente qué corregir.

Escaneo de seguridad gratuito Ver planes de cumplimiento

Gratis para siempre para 1 monitor. No se requiere tarjeta de crédito.

Preguntas frecuentes

¿Qué es el Cyber Resilience Act (CRA)?

El CRA (Reglamento 2024/2847) es el reglamento de la UE que establece requisitos horizontales de ciberseguridad para productos con elementos digitales. Abarca tanto productos de hardware como de software comercializados en el mercado de la UE y exige a los fabricantes garantizar que los productos sean seguros por diseño durante todo su ciclo de vida.

¿Cuándo se aplica el CRA?

El CRA entró en vigor el 10 de diciembre de 2024. Las obligaciones de notificación de vulnerabilidades explotadas activamente e incidentes graves se aplican a partir del 11 de septiembre de 2026. Las obligaciones principales para fabricantes, importadores y distribuidores — incluida la evaluación de conformidad y el marcado CE — se aplican a partir del 11 de diciembre de 2027.

¿A quién afecta el CRA?

El CRA se aplica a fabricantes, importadores y distribuidores de productos con elementos digitales comercializados en el mercado de la UE. Esto incluye dispositivos IoT, aplicaciones de software, sistemas operativos, equipos de red, dispositivos smart home, sistemas de control industrial, aplicaciones móviles y componentes de servicios en la nube. Los administradores de software open source tienen obligaciones específicas pero más ligeras.

¿En qué se diferencia el CRA de NIS2?

NIS2 se centra en la ciberseguridad de las organizaciones — las entidades esenciales e importantes de 18 sectores deben implementar medidas de seguridad. El CRA se centra en la ciberseguridad de los productos — los fabricantes deben integrar la seguridad en sus productos antes de comercializarlos en el mercado de la UE. Ambos reglamentos son complementarios: NIS2 protege a los operadores, el CRA protege los productos que utilizan.

¿Cómo ayuda SiteGuardian con el cumplimiento del CRA?

SiteGuardian monitorea continuamente las propiedades técnicas de seguridad requeridas por el CRA: aplicación de HTTPS/TLS, detección de protocolos obsoletos, identificación de cifrados débiles, monitorización de expiración de certificados, security.txt para divulgación de vulnerabilidades, cifrado en tránsito y validación de cabeceras de seguridad. Todos los hallazgos se asignan a artículos del CRA y requisitos del Anexo I, proporcionándole una visión clara del cumplimiento.

Cyber Resilience Act. ¿Está listo su producto?

¿Se le aplica el CRA?

El costo del incumplimiento

Lo que el CRA exige — y lo que SiteGuardian monitorea

Seguro por defecto

Sin vulnerabilidades conocidas

Actualizaciones de seguridad

Lista de materiales de software (SBOM)

Divulgación coordinada de vulnerabilidades

Obligaciones de notificación

Evaluación de conformidad

Propiedades de seguridad

Comience a prepararse hoy

Preguntas frecuentes

¿Esta seguro?

Cyber Resilience Act.
¿Está listo su producto?