CRA introduce un nuevo marco regulatorio que transforma cómo los fabricantes y distribuidores deben abordar la seguridad y la resiliencia de sus productos digitales a largo plazo.
🛡️ Si fabricáis, importáis o distribuís productos con componentes digitales… CRA (Cyber Resilience Act) os cambia el juego.
Tras su aprobación en 2024, entrará plenamente en aplicación en 2027, y uno de sus focos más críticos será la solidez criptográfica a largo plazo. Sí: la criptografía post-cuántica ya está en el radar regulatorio.
CRA afecta a un ecosistema enorme: fabricantes de hardware con software embebido, desarrolladores de aplicaciones comerciales, proveedores de IoT, compañías de dispositivos médicos, automoción conectada y sistemas industriales. En términos simples: si tu producto tiene código, CRA te afecta.
Los requisitos criptográficos del CRA no son negociables. Los productos deberán incorporar criptografía conforme a estándares, mantenerse actualizados frente a nuevas amenazas y gestionar vulnerabilidades durante toda su vida útil. Y aquí aparece el elefante en la habitación: la amenaza cuántica.
CRA exige que los productos sean seguros durante todo su ciclo de vida esperado. Si un dispositivo médico IoT debe operar durante 10, 12 o 15 años… ¿seguirá siendo segura la criptografía clásica en 2035 o 2040? Probablemente no. A menos que sea post-cuántica, no podrá cumplir los requisitos de resiliencia futura.
Las implicaciones comerciales son enormes: multas de hasta 15 millones de euros o el 2,5% de la facturación global, prohibición de comercializar productos no conformes y, en última instancia, la pérdida del acceso al mercado europeo. Para muchos fabricantes, esto no será un matiz técnico: será un riesgo existencial.
Por eso la pregunta clave para los equipos de producto es directa: ¿Incluye vuestro roadmap una migración realista hacia criptografía post-cuántica?
Si un producto se lanza en 2027 con criptografía clásica y debe seguir operativo hasta 2037, ¿cómo vais a demostrar conformidad cuando los ordenadores cuánticos sean una realidad práctica?
CRA cambia el cálculo de riesgo por completo. La protección criptográfica cuántica deja de ser “buena práctica” para convertirse en un “requisito regulatorio de acceso al mercado”.
La cuestión ya no es si debéis adoptar PQC, sino si vuestros productos podrán venderse legalmente sin ella.
¿Está vuestra organización preparada?
Explora otros análisis y publicaciones vinculadas a nuestras soluciones avanzadas aquí.