¿Se aplica el CRA a mi producto? / Biblioteca open source
Open source y el CRA: cuándo están exentos los maintainers
El software libre desarrollado o suministrado fuera de una actividad comercial está excluido — el texto final del CRA protege expresamente a maintainers aficionados y comunitarios. La frontera es de comportamiento, no de licencia: monetiza el suministro y puedes cruzar al ámbito.
Qué significa esto en concreto para ti
- ▸Seguro: donaciones, que te paguen por contribuir a un proyecto que no monetizas, proyectos comunitarios bajo fundaciones (los «stewards» tienen un régimen ligero).
- ▸Arriesgado: doble licencia, soporte u hosting de pago del software, open core con funciones de pago, sponsorware — parece suministro comercial.
- ▸Las empresas que integran tu biblioteca en sus productos cargan con las obligaciones de sus productos — y te pedirán SBOM, contacto de seguridad y SLAs de corrección. La presión del ecosistema llega sea cual sea tu estatus legal.
- ▸Si además vendes un producto construido sobre tu propio open source, el producto está en el ámbito aunque la biblioteca sola no lo esté.
La trampa en la que caen la mayoría de los equipos
Dar la exención por permanente. El día que lances funciones «Pro» o hosting cloud de pago, tu reloj de cumplimiento arranca — reequipar SBOMs y procesos de divulgación bajo presión duele mucho más que montarlos ahora sin prisa.
Los plazos
2026-09-11
Inicio de las obligaciones de notificación: las vulnerabilidades explotadas activamente y los incidentes graves deben notificarse en 24 h / 72 h a través de la plataforma única de la ENISA.
2027-12-11
Aplicación plena: requisitos esenciales, documentación técnica, declaración UE de conformidad y marcado CE serán obligatorios para vender en la UE.
¿Dónde está tu producto exactamente?
El Risk Check gratuito (en inglés) te da en 3 minutos tu veredicto de ámbito, la clase de riesgo, una puntuación de preparación y una lista de acciones priorizada. Sin registro.
O deja que CRAdar se encargue de forma continua — te avisamos en el lanzamiento:
Otros tipos de producto
Guía editorial sobre el Reglamento (UE) 2024/2847 — no es asesoramiento jurídico.