¿Se aplica el CRA a mi producto? / App Android
¿Se aplica el Cyber Resilience Act a las apps Android?
Sí. Una app Android que llega a usuarios de la UE vía Google Play, F-Droid, sideloading o descarga directa de APK es un producto con elementos digitales. La «actividad comercial» se interpreta en sentido amplio: publicidad, compras in-app, monetización de datos o el empaquetado con un servicio de pago bastan.
Qué significa esto en concreto para ti
- ▸Dependencias de Gradle, bibliotecas nativas (.so) y SDKs de terceros embebidos (analítica, publicidad, crash reporting) van a la SBOM — los SDKs publicitarios son justo donde los auditores esperan encontrar vulnerabilidades.
- ▸Quien distribuye fuera de Google Play (APK en su web) asume también las obligaciones del canal: actualizaciones firmadas, integridad de la descarga.
- ▸Las políticas de Google Play (target API level, formulario Data Safety) no tienen relación con los requisitos esenciales del CRA y no los satisfacen.
- ▸Clase por defecto: autoevaluación y marcado CE autoemitido permitidos — sin organismo notificado.
La trampa en la que caen la mayoría de los equipos
Olvidar los SDKs de terceros en la SBOM. Un SDK publicitario obsoleto con una CVE conocida es exactamente lo que el anexo I parte II obliga a corregir «sin demora».
Los plazos
2026-09-11
Inicio de las obligaciones de notificación: las vulnerabilidades explotadas activamente y los incidentes graves deben notificarse en 24 h / 72 h a través de la plataforma única de la ENISA.
2027-12-11
Aplicación plena: requisitos esenciales, documentación técnica, declaración UE de conformidad y marcado CE serán obligatorios para vender en la UE.
¿Dónde está tu producto exactamente?
El Risk Check gratuito (en inglés) te da en 3 minutos tu veredicto de ámbito, la clase de riesgo, una puntuación de preparación y una lista de acciones priorizada. Sin registro.
O deja que CRAdar se encargue de forma continua — te avisamos en el lanzamiento:
Otros tipos de producto
Guía editorial sobre el Reglamento (UE) 2024/2847 — no es asesoramiento jurídico.