La Cyber Resilience Act (CRA) es una propuesta de ley de la Unión Europea que establece requisitos de ciberseguridad para los productos con elementos digitales. Su objetivo es mejorar la seguridad de los productos de hardware y software que se venden en el mercado de la UE, asegurando que sean diseñados, desarrollados y fabricados de forma segura desde el principio. Esta ley busca proteger a los consumidores y empresas de los riesgos cibernéticos, como el robo de datos y los ataques de ransomware. En esencia, la CRA transfiere la responsabilidad de la ciberseguridad del usuario final a los fabricantes, obligándolos a garantizar la seguridad de sus productos a lo largo de todo su ciclo de vida.Las empresas deberán tener todos sus dispositivos adaptados a la normativa a partir del 1 de agosto de 2027. A partir de esta fecha, los fabricantes, importadores y distribuidores estarán obligados a garantizar que sus productos cumplan con los nuevos requisitos de ciberseguridad antes de poder ser comercializados en el mercado de la UE.
¿A qué dispositivos afecta el CRA? 
La CRA afecta a una amplia gama de productos con componentes digitales, desde dispositivos de consumo hasta equipos industriales. En general, la ley aplica a cualquier producto que tenga capacidad de conectarse a una red, ya sea de forma directa o indirecta. Algunos ejemplos específicos son:
- Dispositivos domésticos inteligentes: neveras, termostatos, sistemas de iluminación.
- Dispositivos de entretenimiento: consolas de videojuegos, smart TVs, altavoces inteligentes.
- Hardware de computadoras: routers, módems, impresoras, discos duros externos.
- Software: sistemas operativos, aplicaciones móviles, software de seguridad.
- Dispositivos industriales: sistemas de control industrial (ICS), robots de fábrica, sensores.
- Dispositivos de salud conectados: monitores de glucosa, marcapasos, dispositivos de telemedicina.
La ley no afecta a productos que ya estén cubiertos por otras regulaciones sectoriales más específicas, como dispositivos médicos o vehículos.
¿Qué tipos de empresas se verán afectados? 
La Cyber Resilience Act tendrá un impacto significativo en varios tipos de empresas, principalmente aquellas que diseñan, fabrican o venden productos con componentes digitales en el mercado de la UE. Estas empresas incluyen:
- Fabricantes de hardware: Empresas que producen ordenadores, smartphones, dispositivos IoT y equipos industriales.
- Desarrolladores de software: Compañías que crean sistemas operativos, aplicaciones, y software en general.
- Importadores y distribuidores: Empresas que traen productos digitales de fuera de la UE y los distribuyen dentro de la misma.
- Proveedores de servicios en la nube: Aunque la ley se centra en los productos, los servicios en la nube a menudo están ligados a dispositivos de hardware y software y pueden tener que cumplir con ciertos requisitos.
La ley impone a estas empresas la obligación de realizar evaluaciones de riesgo, mantener la documentación técnica, notificar incidentes graves y garantizar que sus productos reciban actualizaciones de seguridad de forma regular y por un periodo de tiempo determinado.
Scud: Cumplimiento de la CRA desde la red 
En Scud Security, entendemos la complejidad de cumplir con normativas como el Cyber Resilience Act.
Para ayudar a nuestros clientes a navegar por este nuevo panorama, desde septiembre de 2025, los dispositivos de Scud incorporan una tecnología innovadora que permite reportar de manera automática qué dispositivos conectados a la red no cumplen con los requisitos de la CRA.
Nuestra solución analiza continuamente la red y los dispositivos conectados, identificando aquellos que no tienen las actualizaciones de seguridad más recientes, que utilizan configuraciones por defecto inseguras, o que presentan otras vulnerabilidades que los harían no conformes con la normativa. Este sistema de alerta temprana le proporciona a las empresas la visibilidad y el control necesarios para mitigar riesgos, tomar medidas correctivas y demostrar el cumplimiento normativo. Con Scud, las empresas pueden adelantarse a los requisitos del CRA, mejorando su postura de ciberseguridad y evitando posibles sanciones.
Además, desde ScudCompliance.com, también ofrecemos servicios de consultoría y acompañamiento para que las empresas puedan acreditarse en normativas de ciberseguridad tan relevantes como la propia CRA, la ISO 27001 o el Esquema Nacional de Seguridad (ENS) de INCIBE. Nuestro equipo de expertos te guiará en todo el proceso para asegurar que tu empresa cumpla con los más altos estándares de seguridad y compliance.