La Comisión Europea publica un documento de preguntas frecuentes sobre el reglamento de ciberresiliencia

19-01-2026 — AR/2026/005

Estas preguntas y respuestas aclaran aspectos relevantes del reglamento de ciberresiliencia y sirven de guía técnica para ayudar a las partes interesadas a comprenderlo e implantarlo.

La Comisión Europea ha publicado, el 3-12-2025, un documento de preguntas frecuentes sobre el Reglamento (UE) 2024/2847,1 más conocido como reglamento de ciberrresiliencia (o Cyber Resilience Act).

El documento:

  • detalla el alcance de este reglamento,
  • define qué se considera un producto con elementos digitales y cómo se aplica a los productos del mercado,
  • explica las obligaciones de los fabricantes, la interacción con otras legislaciones de la Unión Europea, y
  • orienta sobre la evaluación de la conformidad y el período de transición.

Aunque este documento no es vinculante, sí recoge un criterio interpretativo relevante.

A continuación, detallamos los aspectos más interesantes.

Ámbito de aplicación

Productos con elementos digitales

El documento publicado confirma una interpretación muy amplia del ámbito de aplicación del reglamento, pues considera productos con elementos digitales no solo los dispositivos físicos conectados, sino también:

  • software independiente que puede descargarse e instalarse en un dispositivo (una aplicación descargada desde una tienda de aplicaciones para móviles o desde una web);
  • programas internos del dispositivo (firmware y software integrado);
  • componentes básicos de hardware (circuitos integrados, placas base, sensores); dispositivos de consumo como teléfonos inteligentes, ordenadores portátiles, frigoríficos inteligentes, y dispositivos complejos (dispositivos industriales del «internet de las cosas», maquinaria);
  • soluciones de procesamiento remoto de datos cuando son esenciales para el funcionamiento del producto.

Es suficiente con una conexión lógica o indirecta a una red o dispositivo para que el producto quede dentro del ámbito del reglamento. Esto incluye software que se ejecuta en sistemas conectados, aunque no inicie directamente la comunicación.

Productos fuera del ámbito de aplicación

El documento considera que quedan fuera del ámbito de aplicación del reglamento:

  1. los productos fabricados solo para uso propio;
  2. los desarrollados o modificados solo con fines de seguridad nacional o defensa, y
  3. los específicamente diseñados para el tratamiento de información clasificada.

Fecha de aplicación

El reglamento de ciberresiliencia será aplicable por completo desde el 11-12-2027, pero:

  1. no se aplica a los productos puestos en el mercado antes de esa fecha, salvo que se modifiquen sustancialmente después;
  2. las obligaciones de notificación de vulnerabilidades explotadas activamente y de incidentes graves se aplicarán también a productos anteriores desde el 11-9-2026.

Interacción con otras normativas

Destacamos las más relevantes.

  1. Con el reglamento general de protección de datos:2 según el documento publicado:
    • el reglamento de ciberresiliencia no sustituye ni condiciona el cumplimiento de la normativa de protección de datos. sino que los requisitos de ciberseguridad ayudan a proteger los datos personales, y
    • cumplir estos requisitos no afecta formalmente a las herramientas que los responsables o encargados usan para demostrar el cumplimiento de la protección de datos.
  2. Con la directiva de responsabilidad por daños en productos defectuosos:3 el cumplimiento del reglamento de ciberresiliencia será un elemento relevante —según indica el documento— para valorar la seguridad esperable del producto desde la perspectiva de esta norma.
  3. Con el reglamento de seguridad de los productos:4 este reglamento determina requisitos de seguridad para los productos, por tanto, un producto con elementos digitales puede tener que cumplir con este y con el de ciberresiliencia.
  4. Con el reglamento de datos (o Data Act):5
    • en ciertos supuestos, ambas normas pueden aplicarse al mismo producto, por ejemplo, los dispositivos que integran hardware y software, que su funcionalidad depende de internet y que puedan recopilar y transmitir datos sobre su uso, y
    • el fabricante deberá tener en cuenta en la evaluación de riesgos de ciberresiliencia, las obligaciones del reglamento de datos sobre el acceso a los datos por usuarios u otras personas.

Productos importantes y críticos

Aclara el documento de preguntas frecuentes que:

  • la calificación de un producto como importante o crítico depende de su funcionalidad principal según las categorías de la normativa de desarrollo de ciberresiliencia;
  • la integración de un componente así calificado no convierte automáticamente al producto final en un producto sujeto a los procedimientos reforzados de evaluación de la conformidad;
  • la clasificación como producto importante o crítico no exime al fabricante de evaluar los riesgos, como es obligatorio para todos los productos con elementos digitales, con independencia de su categoría.

Obligaciones de los fabricantes

Evaluación de riesgos

Sobre este aspecto, aclara que:

  • el fabricante ha de evaluar los riesgos de ciberseguridad de todo el ciclo de vida del producto;
  • la evaluación de riesgos ha de tener en cuenta el uso previsto, el uso razonablemente previsible, el posible uso indebido razonablemente previsible y la duración esperada del uso del producto;
  • el reglamento no impone un método específico, pero exige que la evaluación sea adecuada, documentada y justifique cómo se han aplicado los requisitos esenciales de ciberseguridad, y
  • no todos los requisitos esenciales son aplicables a todos los productos, pero cualquier exclusión ha de justificarse en la documentación técnica.

Productos tailormade

El documento indica que el reglamento permite a los fabricantes apartarse de determinados requisitos esenciales en productos con elementos digitales calificados como tailor-made, es decir, diseñados para un propósito específico (entornos muy controlados, por ejemplo) y para un usuario empresarial concreto, siempre que haya un acuerdo contractual expreso entre el fabricante y ese usuario.

Esta posibilidad se limita solo a dos obligaciones concretas:

  1. la exigencia de que el producto se ponga en el mercado con una configuración segura por defecto, y
  2. la obligación de proporcionar actualizaciones de seguridad de forma gratuita.

Quedan excluidos del concepto de producto tailor-made los productos estándares que solo admitan personalizaciones menores y que sean esencialmente el mismo para todos los clientes.

Obligaciones de notificación

Las vulnerabilidades recién descubiertas (conocidas también como de tipo “zero-day” solo están sujetas a notificación cuando exista evidencia fiable de explotación maliciosa.

Por otro lado, cuando una vulnerabilidad explotada activamente tenga su origen en un componente de otra entidad integrado en el producto, el fabricante del producto final sigue estando obligado a notificarla, siempre que dicha vulnerabilidad sea explotable en su producto.

Evaluación de conformidad

El documento describe los distintos módulos de evaluación de la conformidad previstos en el reglamento de ciberresiliencia, sus características y aplicación, y detalla:

  1. los procedimientos de:
    • autoevaluación,
    • evaluación con intervención de organismos notificados, y
    • evaluación basada en sistemas de calidad, y
  2. los requisitos del marcado CE, la declaración de conformidad y la documentación técnica.

La evaluación de la conformidad se aplica a los productos individuales puestos en el mercado.

Los productos fabricados basándose en tipos no conformes no pueden seguir comercializándose tras la fecha de aplicación del reglamento de ciberresiliencia.

1 Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.º 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828.
2 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
3 Directiva (UE) 2024/2853 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, sobre responsabilidad por los daños causados por productos defectuosos y por la que se deroga la Directiva 85/374/CEE del Consejo.
4 Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo, de 10 de mayo de 2023, relativo a la seguridad general de los productos, por el que se modifican el Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo y la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2001/95/CE del Parlamento Europeo y del Consejo y la Directiva 87/357/CEE del Consejo.
5 Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información