Ley de Resiliencia Cibernética (CRA) transformará los desarrollos electrónicos en la UE

Publicado el: Friday, July 3, 2026 | Categoría: Tecnologia oem

El 11 de septiembre de 2026 entra en vigor la Ley de Resiliencia Cibernética (CRA) de la Unión Europea, la cual exige reportar vulnerabilidades en 24 horas. Dicho reporte será totalmente obligatorio en diciembre de 2027. Esta normativa afecta a cualquier producto con elementos digitales, desde software hasta electrodomésticos y maquinaria. Será obligatorio incluir una SBOM (Software Bill of Materials) la cual tendrá como fin auditar la seguridad de forma continua.

Para dar respuesta a esta exigencia global, gigantes tecnológicos como Nordic Semiconductor están integrando escaneo automático de vulnerabilidades en la nube (nRF Cloud) que permite resolver vulnerabilidades mediante actualizaciones FOTA, facilitando el cumplimiento de la norma.

Otros fabricantes delegan estas tareas y utilizan plataformas de Análisis de Composición de Software (SCA) o seguridad de firmware como OneKey o FOSSA, las cuales escanean el binario final generado por el SDK para construir la lista de materiales (en formatos estándar como CycloneDX o SPDX).

En cuanto a las tecnologías anteriores a la ley (productos legacy), la normativa exime de la SBOM a dispositivos ya en el mercado, siempre y cuando no sufran una modificación sustancial. Sin embargo, la obligación de reportar brechas de seguridad también les aplica, y si reciben una actualización mayor, perderán su inmunidad y serán tratados como un desarrollo nuevo.

Para más detalles, consulta la información sobre la Ley de Resiliencia Cibernética (CRA) de la Unión Europea.