La Cyber Resilience Act (CRA) és una proposta de llei de la Unió Europea que estableix requisits de ciberseguretat per als productes amb elements digitals. El seu objectiu és millorar la seguretat dels productes de maquinari i programari que es venen al mercat de la UE, assegurant que siguin dissenyats, desenvolupats i fabricats de forma segura des del principi. Aquesta llei busca protegir els consumidors i empreses dels riscos cibernètics, com el robatori de dades i els atacs de ransomware. En essència, la CRA transfereix la responsabilitat de la ciberseguretat de l’usuari final als fabricants, obligant-los a garantir la seguretat dels seus productes al llarg de tot el seu cicle de vida. Les empreses hauran de tenir tots els dispositius adaptats a la normativa a partir de l’1 d’agost de 2027 A partir d’aquesta data, els fabricants, importadors i distribuïdors estaran obligats a garantir que els seus productes compleixin els nous requisits de ciberseguretat abans de poder ser comercialitzats al mercat de la UE.
A quins dispositius afecta el CRA? 
La CRA afecta una àmplia gamma de productes amb components digitals, des de dispositius de consum fins a equips industrials . En general, la llei aplica a qualsevol producte que tingui capacitat de connectar-se a una xarxa, ja sigui directament o indirectament. Alguns exemples específics són:
- Dispositius domèstics intel·ligents : neveres, termòstats, sistemes d’il·luminació.
- Dispositius d’entreteniment : consoles de videojocs, smart TVs, altaveus intel·ligents.
- Ets aquí : Maquinari d’ordinadors : routers, mòdems, impressores, discos durs externs.
- Programari : sistemes operatius, aplicacions mòbils, programari de seguretat.
- Dispositius industrials : sistemes de control industrial (ICS), robots de fàbrica, sensors.
- Dispositius de salut connectats : monitors de glucosa, marcapassos, dispositius de telemedicina.
La llei no afecta productes que ja estiguin coberts per altres regulacions sectorials més específiques, com ara dispositius mèdics o vehicles.
Quins tipus d’empreses se’n veuran afectats? 
La Cyber Resilience Act tindrà un impacte significatiu en diversos tipus d’empreses, principalment aquelles que dissenyen, fabriquen o venen productes amb components digitals al mercat de la UE. Aquestes empreses inclouen:
- Fabricants de maquinari : Empreses que produeixen ordinadors, smartphones, dispositius IoT i equips industrials.
- Desenvolupadors de programari : Companyies que creen sistemes operatius, aplicacions, i programari en general.
- Importadors i distribuïdors : Empreses que porten productes digitals de fora de la UE i els distribueixen dins de la mateixa.
- Proveïdors de serveis al núvol : Encara que la llei se centra en els productes, els serveis al núvol sovint estan lligats a dispositius de maquinari i programari i poden haver de complir amb certs requisits.
La llei imposa a aquestes empreses l’obligació de fer avaluacions de risc, mantenir la documentació tècnica, notificar incidents greus i garantir que els seus productes rebin actualitzacions de seguretat de forma regular i per un període de temps determinat.
Scud: Compliment de la CRA des de la xarxa 
A Scud Security, entenem la complexitat de complir amb normatives com el Cyber Resilience Act .
Per ajudar els nostres clients a navegar per aquest nou panorama, des del setembre del 2025 , els dispositius de Scud incorporen una tecnologia innovadora que permet reportar de manera automàtica quins dispositius connectats a la xarxa no compleixen amb els requisits de la CRA.
La nostra solució analitza contínuament la xarxa i els dispositius connectats, identificant els que no tenen les actualitzacions de seguretat més recents, que utilitzen configuracions per defecte insegures, o que presenten altres vulnerabilitats que els farien no conformes amb la normativa. Aquest sistema d’alerta primerenca proporciona a les empreses la visibilitat i el control necessaris per mitigar riscos, prendre mesures correctives i demostrar el compliment normatiu. Amb Scud, les empreses es poden avançar als requisits del CRA, millorant la seva postura de ciberseguretat i evitant possibles sancions .
A més, des de ScudCompliance.com també oferim serveis de consultoria i acompanyament perquè les empreses puguin acreditar-se en normatives de ciberseguretat tan rellevants com la pròpia CRA, la ISO 27001 o l’ Esquema Nacional de Seguretat (ENS) d’INCIBE. El nostre equip d’experts us guiarà en tot el procés per assegurar que la vostra empresa compleixi amb els més alts estàndards de seguretat i compliance.