La Ley de Ciberresiliencia (CRA) de la UE 2024/2847 introduce requisitos obligatorios de ciberseguridad para productos con elementos digitales comercializados en la UE. Las obligaciones de notificación de vulnerabilidades entran en vigor el 11 de septiembre de 2026, y la conformidad completa del producto será obligatoria a partir del 11 de diciembre de 2027. Si bien los productos sanitarios bajo el MDR están exentos de los requisitos de producto del CRA, muchos componentes digitales del ecosistema sanitario no lo están.
La exención para productos sanitarios y sus límites
El Artículo 2(2) del CRA exime a los productos ya cubiertos por legislación de armonización sectorial de la UE que imponga requisitos de ciberseguridad equivalentes. Los productos sanitarios regulados bajo el MDR 2017/745 y los productos sanitarios para diagnóstico in vitro bajo el IVDR 2017/746 entran dentro de esta exención.
Sin embargo, la exención se aplica únicamente al producto sanitario en sí. Los productos digitales que interactúan con un producto sanitario, lo respaldan o se conectan a él, pero que no están clasificados como productos sanitarios, están plenamente sujetos al CRA:
| Producto | ¿Se aplica el CRA? | Justificación |
|---|---|---|
| SaMD clasificado bajo el MDR | No | Cubierto por los requisitos de ciberseguridad del MDR |
| Sistema de información hospitalaria que interactúa con productos | Sí | No es un producto sanitario bajo el MDR |
| Aplicación móvil clasificada como accesorio de Clase I | No | Cubierta por el MDR |
| Plataforma en la nube que aloja datos del producto (no clasificada como SaMD) | Sí | No es un producto sanitario |
| Herramienta de actualización de firmware para un producto sanitario (no forma parte del producto en sí) | Sí | Producto digital independiente |
| Sistema operativo de uso general ejecutándose en un producto sanitario | Sí | No está cubierto por el MDR como producto independiente |
Si usted fabrica tanto productos regulados bajo el MDR como productos digitales no sanitarios en el mismo ecosistema, puede que necesite cumplir con el MDR (para el producto) y con el CRA (para el software complementario).
Notificación de vulnerabilidades: 11 de septiembre de 2026
Las obligaciones de notificación de vulnerabilidades del CRA conforme al Artículo 14 se aplican a partir del 11 de septiembre de 2026. Los fabricantes de productos dentro del ámbito de aplicación deben notificar las vulnerabilidades activamente explotadas y los incidentes de seguridad significativos a su equipo nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT) y a ENISA a través de una plataforma de notificación única.
El calendario de notificación es estricto:
| Etapa | Plazo | Contenido requerido |
|---|---|---|
| Alerta temprana | Dentro de las 24 horas desde el conocimiento | Notificación de que se está explotando activamente una vulnerabilidad o de que se ha producido un incidente significativo |
| Notificación de vulnerabilidad | Dentro de las 72 horas | Información detallada sobre la vulnerabilidad, la actividad de explotación y las medidas correctivas tomadas o planificadas |
| Informe final | Dentro de los 14 días posteriores a la mitigación | Descripción completa de la vulnerabilidad, análisis de causa raíz y acciones correctivas aplicadas |
Estos plazos de notificación se aplican incluso si una solución completa aún no está disponible. El propósito es permitir una respuesta coordinada en toda la UE.
Requisitos de conformidad del producto: 11 de diciembre de 2027
Las obligaciones completas de conformidad del producto del CRA entran en vigor el 11 de diciembre de 2027. Para los productos dentro del ámbito de aplicación, esto significa:
Seguridad desde el diseño (Anexo I del CRA, Parte I): Los productos deben diseñarse, desarrollarse y fabricarse para garantizar un nivel adecuado de ciberseguridad. Esto incluye configuraciones seguras por defecto, protección contra el acceso no autorizado, y confidencialidad e integridad de los datos.
Gestión de vulnerabilidades (Anexo I del CRA, Parte II): Los fabricantes deben identificar y documentar vulnerabilidades, proporcionar actualizaciones de seguridad durante la vida útil esperada del producto (mínimo 5 años) y operar una política de divulgación coordinada de vulnerabilidades.
Lista de materiales de software (SBOM): Los fabricantes deben producir y mantener un SBOM que enumere todos los componentes, incluidas bibliotecas de código abierto y dependencias de terceros. El SBOM forma parte de la documentación técnica y debe ponerse a disposición de las autoridades de supervisión del mercado cuando lo soliciten.
Evaluación de la conformidad: La mayoría de los productos siguen una ruta de autoevaluación basada en el control interno (Anexo VI del CRA). Los productos importantes y críticos (según se definen en los Anexos III y IV del CRA) requieren evaluación por terceros.
Interacción con los requisitos de ciberseguridad del MDR
El MDR ya exige a los fabricantes abordar la ciberseguridad en su documentación técnica. El Anexo I del MDR, Sección 17.4 requiere que los productos que incorporen software o que sean sistemas electrónicos programables estén diseñados para garantizar la repetibilidad, fiabilidad y rendimiento. La guía MDCG 2019-16 proporciona orientación sobre ciberseguridad para productos sanitarios.
Para los fabricantes con productos que se encuentran bajo ambas regulaciones, el enfoque práctico es:
- Aplicar los requisitos de ciberseguridad del MDR al producto sanitario en sí
- Aplicar los requisitos del CRA a cualquier producto digital no sanitario del ecosistema
- Utilizar un marco común de gestión de riesgos de ciberseguridad (como la IEC 81001-5-1) para ambos
Plazos clave
| Fecha | Requisito |
|---|---|
| 11 de septiembre de 2026 | Comienzan las obligaciones de notificación de vulnerabilidades para productos dentro del ámbito del CRA |
| 11 de diciembre de 2027 | Conformidad completa del producto requerida para productos dentro del ámbito del CRA |
| Continuo | Las actualizaciones de seguridad deben proporcionarse durante la vida útil esperada del producto (mínimo 5 años) |
¿Busca la herramienta de inteligencia regulatoria adecuada? Lea nuestra guía para evaluar plataformas de inteligencia regulatoria.
Conclusiones clave
- Los productos sanitarios bajo el MDR están exentos de los requisitos de producto del CRA, pero muchos productos digitales asociados no lo están
- La notificación de vulnerabilidades comienza el 11 de septiembre de 2026: notificación inicial en 24 horas, informe detallado en 72 horas, informe final en 14 días
- La conformidad completa del producto (seguridad desde el diseño, SBOM, gestión de vulnerabilidades) se requiere para el 11 de diciembre de 2027
- Los fabricantes con carteras de productos mixtas necesitan determinar qué productos están bajo el MDR y cuáles bajo el CRA
- El CRA requiere un SBOM para todos los productos dentro del ámbito de aplicación, mantenido a lo largo del ciclo de vida del producto
- La divulgación coordinada de vulnerabilidades y los procesos de actualización de seguridad son obligatorios
Cómo ayuda RegAid
RegAid cubre los requisitos de ciberseguridad del MDR, incluido el Anexo I Sección 17.4 y todas las guías MDCG sobre ciberseguridad para productos sanitarios. Pregunte "¿Qué documentación de ciberseguridad necesito para mi producto sanitario conectado?" y obtenga respuestas con citas que vinculan los requisitos del MDR con la MDCG 2019-16 y las normas armonizadas aplicables.