El marco normativo de ciberresiliencia que debes conocer
CRA, NIS2, Cybersecurity Act, Executive Order 14028. Plazos, requisitos, sanciones y cómo prepararte.
Plazos clave
Las fechas que no puedes ignorar
NIS2 ya en vigor
Las obligaciones de gestión de riesgos y reporte de incidentes ya son aplicables
Organismos notificados designados
Los organismos de certificación CRA estarán operativos
Obligaciones de reporte activas
Reporte de vulnerabilidades explotadas en 24h obligatorio
Aplicación completa del CRA
Todos los productos deben cumplir los requisitos esenciales
CRA
Cyber Resilience Act
¿Qué es el CRA?
El Cyber Resilience Act es el reglamento europeo que establece requisitos de ciberseguridad para todos los productos con elementos digitales. Aplica a fabricantes, importadores y distribuidores de hardware y software comercializado en la UE. El principio rector es 'cybersecurity by design': la seguridad debe incorporarse desde el diseño, no como un añadido posterior.
Requisitos principales
- Art. 10Requisitos esenciales de ciberseguridad
- Art. 11Gestión de vulnerabilidades
- Art. 12Actualizaciones de seguridad (mín. 5 años)
- Art. 14Reporte de vulnerabilidades explotadas (24h)
- Art. 28Declaración UE de Conformidad
- Art. 30Marcado CE obligatorio
- Art. 31Documentación técnica (retención 10 años)
Sanciones
Hasta 15M EUR o 2% facturación mundial
Por incumplimiento de requisitos esenciales, falta de cooperación o incumplimiento del reporte
Cómo ayuda EMETHRA
- Generación automática de SBOM (SPDX, CycloneDX)
- Documentación CRA Anexo VII lista para auditoría
- Alertas de vulnerabilidades para reporte 24h
- Declaración UE de conformidad automatizada
NIS2
Directiva de Seguridad de Redes e Información
¿Qué es NIS2?
La Directiva NIS2 amplía significativamente el ámbito de su predecesora, incluyendo nuevos sectores y estableciendo criterios más claros. El Art. 21 establece medidas de gestión de riesgos que las entidades cubiertas deben implementar y demostrar ante las autoridades competentes.
Medidas Art. 21
- Análisis de riesgosContinuo
- Gestión de incidentesContinuo
- Alerta temprana24h
- Notificación de incidente72h
- Informe final1 mes
Sanciones
Cybersecurity Act
Marco europeo de certificación
Nivel Básico
Autodeclaración del fabricante. Para productos de bajo riesgo.
Nivel Sustancial
Evaluación por Organismo Notificado. Para productos de riesgo medio.
Nivel Alto
Evaluación rigurosa + testing. Para productos críticos.
Normativa USA
Executive Order 14028 + NIST SP 800-218
Executive Order 14028
La orden ejecutiva de mayo 2021 establece que los proveedores de software al gobierno federal deben proporcionar SBOM. Marca un precedente que está siendo adoptado por el sector privado americano.
NIST SP 800-218 (SSDF)
El Secure Software Development Framework establece prácticas para producir software seguro. Incluye requisitos de gestión de dependencias, análisis de código y respuesta a vulnerabilidades.
¿Por qué importa si soy empresa europea?
Si vendes software a empresas americanas, especialmente a través de canales federales o a empresas que trabajan con el gobierno, necesitas cumplir estos requisitos. Además, muchas empresas privadas están adoptando estos estándares como referencia.
Comparativa de normativas
| Normativa | Región | Plazo clave | Sanción máx. |
|---|---|---|---|
| Cyber Resilience Act | UE | Sept 2026 | 15M / 2% |
| NIS2 Directive | UE | Activa | 10M / 2% |
| Cybersecurity Act | UE | Progresivo | Perdida cert. |
| EO 14028 + NIST | USA | Activo | Exclusion |
¿Necesitas ayuda para cumplir?
EMETHRA automatiza la generación de documentación y te alerta de los plazos críticos.
Solicitar Product Snapshot