Hay algo que no pasa muy a menudo: la Comisión Europea te pide tu opinión sobre cómo debe funcionar una ley antes de que sus detalles queden cerrados. Pues bien, eso es exactamente lo que está pasando ahora con la normativa de ciberresiliencia, y el plazo cierra el 31 de marzo. Este martes.
De qué va la ley de ciberresiliencia
La Ley de Ciberresiliencia de la UE, conocida como CRA, lleva en vigor desde diciembre de 2024. Su objetivo es claro: cualquier producto con componentes digitales que se venda en la Unión Europea deberá cumplir unos requisitos mínimos de seguridad, y los fabricantes estarán obligados a notificar las vulnerabilidades graves en plazos muy concretos.
La Comisión ha publicado ahora una guía de aplicación y ha abierto una consulta para que empresas, asociaciones y cualquier parte interesada pueda opinar sobre cómo se interpreta y se pone en práctica esa normativa. No es una consulta simbólica. Es una oportunidad real, y bastante poco habitual, de influir en cómo se concreta la ley.
¿A quién afecta realmente?
Aquí está el matiz que más nos parece importante aclarar: la CRA no es solo cosa de grandes fabricantes tecnológicos. Aplica a cualquier empresa que venda, importe o distribuya en la UE productos que incluyan software o elementos digitales. Eso abarca un espectro mucho más amplio de lo que parece: desde una empresa que vende equipos con firmware propio hasta una tienda que importa dispositivos conectados de fuera de Europa.
Si tu negocio desarrolla apps, comercializa hardware con algún tipo de conectividad o distribuye productos tecnológicos de terceros en el mercado europeo, conviene que te vayas familiarizando con lo que esta ley va a exigir.
Las fechas que importan
La normativa completa no entra en vigor hasta diciembre de 2027, pero hay una fecha anterior que no conviene perder de vista: el 11 de septiembre de 2026. Desde ese día, cualquier fabricante con producto en la UE deberá notificar en un plazo de 24 horas las vulnerabilidades activamente explotadas que detecte, con un informe completo en 72 horas.
La verdad es que septiembre de 2026 queda aparentemente lejos, pero prepararse para ese tipo de obligación —tener un proceso claro para detectar y comunicar incidentes— requiere más tiempo del que parece. No es algo que se pueda montar en dos semanas cuando llegue la presión.
Qué puedes hacer ahora mismo
Si quieres participar en la consulta pública, tienes hasta el 31 de marzo a través del portal oficial de la Comisión Europea. No hace falta ser una multinacional para dejar tu opinión: las pymes tienen voz en este proceso, y de hecho la guía publicada está pensada específicamente para empresas más pequeñas.
Si lo de la consulta no es tu caso, hay algo más inmediato y útil: revisar si los productos o servicios que ofreces entran dentro del ámbito de aplicación de la CRA. La Agencia Europea de Ciberseguridad, ENISA, ha publicado una guía gratuita de doce pasos para pymes que es un punto de partida muy práctico para saber dónde te encuentras y qué tendrás que preparar.
Desde Infoexpo seguiremos de cerca cómo avanza esta normativa y os iremos contando lo que vaya siendo relevante para negocios como el vuestro.