La palabra fabricante ahora se refiere a ti
La Cyber Resilience Act de la UE entró en vigor en diciembre de 2024, y su definición de fabricante es más amplia de lo que asumen la mayoría de los consejos de administración. Abarca cualquier producto con elementos digitales que se introduzca en el mercado europeo: una máquina conectada, un controlador industrial, un dispositivo médico, un aparato de consumo o una pieza de software independiente. Si tu producto se comunica con una red, queda dentro del ámbito de aplicación, y también lo hacen los importadores y distribuidores que lo introducen en el mercado.
Para un family office o un propietario del Mittelstand, la parte incómoda es la reclasificación. Una empresa que ha fabricado máquinas de precisión durante tres generaciones, y que nunca se ha considerado un negocio de software, es ahora un proveedor de software regulado a los ojos de la ley de la UE. La norma también va más allá del bloque. Un fabricante con sede en cualquier parte del mundo que venda en el mercado europeo asume los mismos deberes que uno con sede en Frankfurt.
Un reloj de 24 horas que no controlas
El primer plazo firme está cerca. Desde el 11 de septiembre de 2026, una vulnerabilidad explotada de forma activa o un incidente de seguridad grave pone en marcha una cascada de notificación fija a través de una única plataforma europea. Una alerta temprana debe presentarse en 24 horas, una notificación más completa en 72 horas y un informe final en los 14 días siguientes a la publicación de una corrección o solución provisional. El reloj no espera a tu revisión jurídica ni a tu plan de comunicación.
Ese ritmo es el verdadero golpe operativo. La ventana de 24 horas se abre en el peor momento de un incidente, cuando la información es incompleta y el instinto es no decir nada hasta que los hechos estén claros. La ley elimina esa opción. Una organización que no sea capaz de detectar, clasificar y notificar un fallo en un día incumplirá el plazo, no por falta de buena voluntad, sino porque nunca construyó la maquinaria para moverse tan rápido.
El marcado CE y una multa a la medida de tu facturación
Las obligaciones más amplias llegan el 11 de diciembre de 2027. A partir de esa fecha, un producto con elementos digitales necesita un marcado CE que certifique que se construyó con seguridad desde el diseño, que se entrega sin defectos explotables conocidos y que recibirá actualizaciones de seguridad durante un periodo de soporte definido. El cumplimiento no es una prueba única antes del lanzamiento, es un deber que se extiende durante toda la vida útil soportada de cada unidad que hayas vendido.
La aplicación tiene peso. Las autoridades nacionales de vigilancia del mercado supervisan las normas, y Alemania ya ha publicado un primer borrador de la ley para designar a su autoridad competente. Las sanciones por incumplir los requisitos fundamentales alcanzan los 15 millones de euros o el 2,5 por ciento de la facturación anual mundial, la cifra que sea mayor. Para un fabricante mediano y rentable, la cifra de facturación es la que debería concentrar la atención de la sala.
Leer a continuación: ¿Está su ciberdefensa preparada para los ataques a velocidad de máquina? · Tu cifrado tiene fecha de caducidad