Qué cambia realmente el 11 de septiembre de 2026

La Ley de Ciberresiliencia de la UE establece una obligación firme de notificación que comienza el 11 de septiembre de 2026. Una vez que un fabricante tiene un grado razonable de certeza de que una vulnerabilidad en uno de sus productos está siendo explotada activamente, o de que un incidente grave ha afectado a la seguridad de ese producto, el reloj se pone en marcha. Una alerta temprana debe llegar a la agencia de ciberseguridad de la UE, ENISA, y al CSIRT nacional correspondiente en un plazo de 24 horas, canalizada a través de una única plataforma de notificación que informa a ambos a la vez.

La alerta de 24 horas no es el final del asunto. Una notificación más completa debe presentarse en 72 horas, y un informe final en 14 días una vez que se disponga de una medida correctiva o mitigadora. El detonante no es una prueba forense completa. Una investigación en curso no detiene el reloj, así que la pregunta práctica para un propietario es sencilla: podría su equipo detectar la señal, decidir que cumple los criterios y presentarla dentro de una jornada laboral?

Por qué esto alcanza a productos que ya vendió

El punto que sorprende a muchos operadores es el alcance. La obligación no se limita a los productos lanzados después de la fecha límite. Mientras un producto con elementos digitales permanezca en el mercado de la UE el 11 de septiembre de 2026 o después, sus vulnerabilidades e incidentes graves entran dentro del deber de notificación, incluidas las unidades heredadas y las líneas más antiguas que todavía se venden. Un sensor conectado, un controlador de máquina o un componente de software distribuido hace años puede arrastrarle a una notificación de 24 horas.

Aquí es donde reside la exposición para un fabricante típico del Mittelstand. La ingeniería se aprobó hace mucho tiempo, el producto es maduro y nadie es responsable de un manual de notificación en 24 horas para él. La orientación actual de la Comisión, de marzo de 2026, es la lectura más autorizada disponible, pero sigue siendo un borrador y no ha sido adoptada formalmente, así que algún detalle puede cambiar. Los plazos centrales y el alcance sobre los productos existentes ya están lo bastante claros como para planificar con ellos.

Qué puede revisar sensatamente un propietario ahora

Empiece con un mapa honesto de lo que realmente vende que tenga elementos digitales, incluidos el software embebido y las funciones conectadas en líneas más antiguas. Después pregunte quién dentro de la empresa se enteraría primero de que uno de esos productos está siendo explotado, y cómo llega eso a un responsable de decisión que pueda autorizar una notificación. Si la respuesta honesta es que el mensaje se quedaría en una bandeja de entrada durante un fin de semana, ha encontrado la brecha. Un responsable con nombre, una ruta definida y un simulacro ensayado de 24 horas importan aquí más que un documento de política extenso.

Nada de esto es asesoramiento jurídico, y la forma final de la orientación aún no está fijada. Pero la dirección está marcada y la fecha límite está cerca. Tratar el deber de notificación como una cuestión de preparación operativa ahora, en lugar de un memorando de cumplimiento más adelante, es lo que separa a las empresas que presentan con calma de las que van a las carreras. El trabajo es sobre todo de proceso y responsabilidad, no de nueva tecnología.