¿Se aplica el CRA a mi producto? / Firmware / embebido
Cumplimiento del CRA para firmware y software embebido
El firmware suministrado comercialmente — en tu propio dispositivo o licenciado a OEMs — es software con elementos digitales. Como proveedor eres fabricante de componentes: el cumplimiento CRA de tus clientes depende del tuyo, y sus departamentos de compras ya lo saben.
Qué significa esto en concreto para ti
- ▸Los clientes OEM exigirán por contrato: SBOMs CycloneDX/SPDX por release, vigilancia de CVEs, declaraciones VEX y SLAs de corrección garantizados — el CRA baja por la cadena de suministro vía contratos.
- ▸Imágenes Yocto/Buildroot: usa la generación de SBOM nativa de los sistemas de build; las listas de componentes mantenidas a mano no sobreviven a una auditoría.
- ▸Microcontroladores/microprocesadores resistentes a manipulación y chips de seguridad son anexo III clase II o anexo IV — no asumas la clase por defecto sin comprobar.
- ▸Coordina las divulgaciones con tus OEMs: tu política CVD debe manejar el escenario «un hallazgo, cuarenta productos afectados».
La trampa en la que caen la mayoría de los equipos
Los blobs binarios de los fabricantes de silicio que redistribuyes sin poder parchear. Cartografíalos, consigue compromisos de soporte aguas arriba y documenta el riesgo residual.
Los plazos
2026-09-11
Inicio de las obligaciones de notificación: las vulnerabilidades explotadas activamente y los incidentes graves deben notificarse en 24 h / 72 h a través de la plataforma única de la ENISA.
2027-12-11
Aplicación plena: requisitos esenciales, documentación técnica, declaración UE de conformidad y marcado CE serán obligatorios para vender en la UE.
¿Dónde está tu producto exactamente?
El Risk Check gratuito (en inglés) te da en 3 minutos tu veredicto de ámbito, la clase de riesgo, una puntuación de preparación y una lista de acciones priorizada. Sin registro.
O deja que CRAdar se encargue de forma continua — te avisamos en el lanzamiento:
Otros tipos de producto
Guía editorial sobre el Reglamento (UE) 2024/2847 — no es asesoramiento jurídico.