¿Se aplica el CRA a mi producto? / App iOS
¿Se aplica el Cyber Resilience Act a las apps iOS?
Sí. Las aplicaciones móviles están citadas expresamente por la Comisión Europea entre los productos con elementos digitales. Si tu app iOS está disponible para usuarios de la UE en el App Store en el marco de una actividad comercial — de pago, freemium, financiada con publicidad o como app compañera de un servicio de pago —, eres «fabricante» a efectos del Reglamento (UE) 2024/2847.
Qué significa esto en concreto para ti
- ▸La revisión del App Store no te cubre: las obligaciones del CRA recaen en el desarrollador (fabricante), no en el distribuidor. Apple, como distribuidor, te pedirá cada vez más pruebas de conformidad — no al revés.
- ▸Tu SBOM debe cubrir las dependencias SwiftPM/CocoaPods y los frameworks embebidos — como mínimo las dependencias de primer nivel, en CycloneDX o SPDX.
- ▸Las betas de TestFlight para testers de la UE ya pueden contar como comercialización: la conformidad empieza con la primera distribución en la UE, no con la versión 1.0.
- ▸El periodo de soporte esperado (como regla general, mínimo 5 años) se aplica por producto, no por versión — define una política de fin de vida para versiones antiguas.
La trampa en la que caen la mayoría de los equipos
Asumir que «Apple se encarga de la seguridad». El marcado CE, el expediente técnico, la declaración UE de conformidad y las obligaciones de notificación a la ENISA son solo tuyos.
Los plazos
2026-09-11
Inicio de las obligaciones de notificación: las vulnerabilidades explotadas activamente y los incidentes graves deben notificarse en 24 h / 72 h a través de la plataforma única de la ENISA.
2027-12-11
Aplicación plena: requisitos esenciales, documentación técnica, declaración UE de conformidad y marcado CE serán obligatorios para vender en la UE.
¿Dónde está tu producto exactamente?
El Risk Check gratuito (en inglés) te da en 3 minutos tu veredicto de ámbito, la clase de riesgo, una puntuación de preparación y una lista de acciones priorizada. Sin registro.
O deja que CRAdar se encargue de forma continua — te avisamos en el lanzamiento:
Otros tipos de producto
Guía editorial sobre el Reglamento (UE) 2024/2847 — no es asesoramiento jurídico.