¿Se aplica el CRA a mi producto? / Dispositivo IoT / conectado
Cumplimiento del CRA para IoT y hardware conectado
El hardware conectado es el objetivo original del CRA. Todo dispositivo con elementos digitales vendido en la UE está en el ámbito — y el hardware carga con lo más pesado: SBOMs de firmware, arranque seguro, infraestructura de actualización y, en ciertas categorías, evaluación por organismo notificado.
Qué significa esto en concreto para ti
- ▸Revisa con lupa los anexos III/IV: productos de hogar inteligente con función de seguridad (cerraduras, cámaras, vigilabebés, alarmas), routers/módems, chips de seguridad y pasarelas de contadores inteligentes caen en clases superiores — con organismo notificado.
- ▸Las SBOMs de firmware (capas de Linux embebido, componentes RTOS, bibliotecas C copiadas) son mucho más costosas que las de apps — presupuesta ingeniería real, no una casilla.
- ▸Necesitas OTA con protección de integridad durante la vida útil realista del dispositivo; un dispositivo no parcheable es casi invendible bajo el CRA.
- ▸Las contraseñas por defecto quedan prohibidas de facto (seguridad por defecto) — credenciales por dispositivo o configuración forzada en el primer arranque.
La trampa en la que caen la mayoría de los equipos
La economía del periodo de soporte: los márgenes de hardware rara vez incluyen 5+ años de ingeniería de seguridad. Méntelo en el precio ahora — o la obligación se comerá el margen después.
Los plazos
2026-09-11
Inicio de las obligaciones de notificación: las vulnerabilidades explotadas activamente y los incidentes graves deben notificarse en 24 h / 72 h a través de la plataforma única de la ENISA.
2027-12-11
Aplicación plena: requisitos esenciales, documentación técnica, declaración UE de conformidad y marcado CE serán obligatorios para vender en la UE.
¿Dónde está tu producto exactamente?
El Risk Check gratuito (en inglés) te da en 3 minutos tu veredicto de ámbito, la clase de riesgo, una puntuación de preparación y una lista de acciones priorizada. Sin registro.
O deja que CRAdar se encargue de forma continua — te avisamos en el lanzamiento:
Otros tipos de producto
Guía editorial sobre el Reglamento (UE) 2024/2847 — no es asesoramiento jurídico.