Cyber Resilience Act 2026: La guía definitiva para pymes que venden productos digitales
Si tienes una pyme o eres autónomo y vendes software, plugins, aplicaciones o cualquier producto digital en Europa, hay una fecha que debes tener marcada en rojo en tu calendario: el 11 de septiembre de 2026.
Ese día entra en vigor la primera obligación concreta del Cyber Resilience Act (CRA) — la nueva ley europea de ciberseguridad que va a cambiar las reglas del juego para miles de empresas en España, Alemania y toda la Unión Europea.
En este artículo te explicamos exactamente qué es, si te afecta, qué tienes que hacer y cuánto tiempo te queda. Y si prefieres tenerlo todo en papel, al final puedes descargar nuestra Guía CRA 2026 en PDF completamente gratis.
¿Qué es el Cyber Resilience Act y por qué existe?
El Reglamento (UE) 2024/2847, conocido como Cyber Resilience Act o CRA, fue publicado en el Diario Oficial de la Unión Europea el 20 de noviembre de 2024. Es la respuesta de Europa a un problema que lleva años creciendo sin control: los productos digitales se comercializan con niveles de seguridad muy dispares, y cuando fallan, las consecuencias las pagan los usuarios y las empresas que los usan.
Antes del CRA, un fabricante podía lanzar un plugin de WordPress, una app o un router conectado a internet sin demostrar formalmente que era seguro. Ahora eso cambia. El CRA obliga a todos los fabricantes y distribuidores de productos con elementos digitales a cumplir unos requisitos mínimos de ciberseguridad y a demostrarlo con documentación oficial.
La lógica es la misma que lleva décadas aplicándose a los productos físicos: igual que un juguete necesita el marcado CE para venderse en Europa, un producto digital también lo necesitará — y ese marcado CE ahora incluye la ciberseguridad.
Las fechas que tienes que conocer
El CRA no entra en vigor de golpe. Tiene un calendario de implementación progresiva:
11 de septiembre de 2026 — Primera obligación activa. Desde este día, todos los fabricantes deben tener un canal operativo para notificar vulnerabilidades activamente explotadas al INCIBE-CERT (en España) en un plazo máximo de 24 horas.
11 de diciembre de 2026 — Segunda fase. Obligación de notificar incidentes de seguridad significativos a la autoridad de vigilancia del mercado en un máximo de 72 horas.
11 de diciembre de 2027 — Fecha límite final. Todos los productos con elementos digitales que se comercialicen en la UE deben llevar el marcado CE de ciberseguridad, respaldado por la documentación técnica completa.
Esto significa que aunque la fecha más mediática es diciembre de 2027, ya estás dentro del plazo de actuación. Las empresas que empiecen ahora tendrán su proceso resuelto con tiempo y podrán usarlo como argumento comercial. Las que esperen al último momento se van a encontrar con colas, precios más altos y el riesgo real de no llegar.
¿A ti te afecta? La pregunta del millón
Esta es la duda que más nos llegan. La respuesta corta es: si vendes software o un producto digital propio en Europa, casi seguro que sí.
El CRA afecta a cualquier empresa o autónomo que fabrique, importe o distribuya en la UE un producto que incluya componentes de software. Eso incluye:
Sí te afecta si…
Desarrollas y vendes software propio: plugins, themes para WordPress, extensiones para navegadores, scripts, aplicaciones móviles o de escritorio, herramientas SaaS. Si tu empresa ha creado un software y lo vende o lo distribuye — aunque sea gratis — estás dentro del ámbito del CRA.
Ofreces servicios SaaS. Una plataforma de gestión de reservas, un CRM, un ERP online, una herramienta de facturación… Si tu negocio es «accede a nuestra plataforma y úsala», el CRA te aplica.
Vendes o distribuyes dispositivos IoT, routers, cámaras de seguridad, sensores o cualquier hardware que incluya software y se conecte a internet o a otros dispositivos.
Eres una agencia de desarrollo web que crea productos digitales — no solo proyectos a medida para un cliente, sino productos que reutilizas o comercializas con varios clientes.
Probablemente NO te afecta si…
Tu web es solo un escaparate de presentación sin funcionalidades propias. Si tienes una web en WordPress usando el tema y los plugins de otros sin modificarlos ni distribuirlos, no eres fabricante.
Solo usas software de terceros. Si tu negocio funciona con herramientas como Shopify, Wix, Google Workspace o similares sin crear ni distribuir nada propio, no entras en el ámbito del CRA.
¿Tienes dudas sobre tu caso concreto? Es normal — la norma es nueva y sus límites no siempre son evidentes. Puedes consultarnos sin compromiso y te decimos en 15 minutos si entras o no.
Las tres categorías del CRA: no todos los productos son iguales
El CRA no exige lo mismo a todos. Divide los productos en tres niveles de riesgo y cada uno tiene un proceso diferente.
Categoría Predeterminada es donde entra la gran mayoría de las pymes: software estándar, aplicaciones web, plugins, SaaS genérico. La buena noticia es que puedes hacer una autoevaluación interna — no necesitas contratar a un organismo externo. Esto es lo que hace que la certificación sea accesible para empresas pequeñas.
Categoría Importante incluye productos con más impacto en la seguridad: gestores de contraseñas, navegadores, software de vigilancia industrial, firewalls de consumo. Aquí puedes optar por autoevaluación o por auditoría externa voluntaria.
Categoría Crítica es para infraestructuras y componentes de alto impacto: sistemas operativos para servidores, hipervisores, microcontroladores de seguridad. Requiere evaluación obligatoria por un organismo notificado externo. Esta categoría afecta a un porcentaje muy pequeño de empresas.
Si vendes software de gestión, una app de reservas, un plugin de facturación o una herramienta SaaS para pymes, tu categoría es casi con toda seguridad la Predeterminada.
Los 5 documentos que tendrás que preparar
Independientemente del tamaño de tu empresa, el proceso de certificación CRA requiere preparar y mantener actualizada una serie de documentos. Estos son los cinco pilares:
1. Expediente Técnico. El documento central. Describe tu producto en detalle: arquitectura, componentes, funcionalidades, historial de versiones y cómo cumple cada requisito del CRA. Es el documento que demuestras ante cualquier autoridad que te pida cuentas.
2. SBOM (Software Bill of Materials). La lista completa de ingredientes de tu software. Todo componente, librería de terceros, dependencia y su versión. El SBOM es lo que te permite monitorizar si alguno de los componentes que usas tiene una vulnerabilidad conocida (CVE) publicada.
3. Evaluación de Riesgos de Ciberseguridad. Un análisis documentado de las amenazas relevantes para tu producto, las medidas que has implementado para mitigarlas y el riesgo residual que queda.
4. Declaración UE de Conformidad. El documento legal firmado por el representante legal de tu empresa en el que declaras formalmente que el producto cumple con el CRA. Es el equivalente a la firma que va junto al marcado CE.
5. Política de Divulgación de Vulnerabilidades. Una página pública en tu web — habitualmente en /security — donde explicas cómo pueden contactarte investigadores y usuarios si encuentran un problema de seguridad en tu producto, y qué harás con esa información.
Las multas: por qué no vale la pena esperar
El CRA establece uno de los regímenes sancionadores más severos de toda la legislación digital europea. Las multas pueden llegar a 15 millones de euros o el 2,5% del volumen de negocio mundial anual — y se aplica la cifra que sea más alta.
Pero más allá de las multas económicas, el riesgo real para una pyme es otro: la prohibición de comercializar el producto en toda la UE. Eso significa la pérdida inmediata de todos los mercados europeos, sin fecha de vuelta. Para una empresa que depende de sus ventas online, eso puede ser el fin del negocio.
Las autoridades competentes — el INCIBE en España, el BSI en Alemania — tienen potestad para realizar inspecciones, solicitar documentación y ordenar retiradas de mercado sin previo aviso.
La financiación que pocos conocen: el Programa SECURE
Aquí viene la parte que la mayoría de pymes aún no sabe: la UE ha habilitado el Programa SECURE para financiar exactamente estos costes de adaptación.
Cubre hasta el 50% de los gastos de implementación del CRA, con un máximo de 30.000 euros por empresa. Es accesible para pymes y autónomos con menos de 250 empleados. Solo necesitas presentar el presupuesto detallado y el plan de implementación.
En 365WebIT gestionamos la solicitud del Programa SECURE como parte de nuestros paquetes Business y Premium. La burocracia corre de nuestra cuenta.
De cero a CRA Compliant en 4 semanas
El proceso no tiene que ser un calvario. Con la metodología correcta y la documentación bien preparada, una pyme de la Categoría Predeterminada puede completar todo el proceso en aproximadamente cuatro semanas:
La primera semana es de análisis: identificamos exactamente qué productos entran en el ámbito, los clasificamos y diseñamos el plan de trabajo.
La segunda semana es de documentación técnica: redactamos el Expediente Técnico, generamos el SBOM y elaboramos la evaluación de riesgos.
La tercera semana es de auditoría de seguridad: escaneamos el producto en busca de vulnerabilidades, corregimos las críticas y publicamos la política de divulgación.
La cuarta semana es de cierre: firmamos la Declaración UE de Conformidad, aplicamos el marcado CE y publicamos el badge CRA Compliant en tu web.
Descarga la guía CRA 2026 en PDF — gratis
Si quieres tener todo esto a mano en un documento que puedas leer con calma, compartir con tu equipo o enviar a tu abogado, hemos preparado una Guía CRA 2026 completa en PDF.
Son más de 30 páginas que cubren en detalle: el reglamento, las categorías, los cinco documentos obligatorios, las fechas, las sanciones, el Programa SECURE y una tabla de herramientas gratuitas para empezar.
👉 [Descarga la Guía CRA 2026 en PDF — gratis]
No necesitas dejar tu email ni registrarte en nada. Descarga directa.
¿Por dónde empezar?
Si has llegado hasta aquí, probablemente ya tienes claro que el CRA te afecta y que el plazo se acerca. La pregunta ya no es si actuar, sino cuándo y cómo.
En 365WebIT somos la agencia que pasó por todo el proceso antes de ofrecérselo a sus clientes. Nosotros mismos somos CRA Compliant y estamos registrados en el Catálogo Oficial del INCIBE como empresa de servicios de ciberseguridad verificada.
Ofrecemos tres paquetes adaptados al tamaño de tu negocio, desde 490€ para autónomos con un único producto hasta soluciones completas para agencias con varios productos y presencia internacional.
La consulta inicial es gratuita y sin compromiso: en 30 minutos te decimos exactamente si el CRA te aplica, qué necesitas y cuánto te va a costar — antes de contratarnos nada.
👉 Solicitar consulta gratuita en 365WebIT.com/cra-servicios
Fuentes: Reglamento (UE) 2024/2847 publicado en el Diario Oficial de la UE (noviembre 2024), INCIBE-CERT, Comisión Europea — Cyber Resilience Act. Este artículo es orientativo y no constituye asesoramiento jurídico.
