¿Qué es la Ley de Resiliencia Cibernética de la UE?
La Ley de Resiliencia Cibernética de la UE (CRA) es una normativa que establece requisitos obligatorios de ciberseguridad para productos con elementos digitales vendidos en la Unión Europea. Se adoptó formalmente a finales de 2024 y se vuelve plenamente exigible en diciembre de 2027.
A diferencia del RGPD, que se centra en el tratamiento de datos personales, el CRA se centra en la seguridad del propio producto — cómo se construye, cómo se divulgan las vulnerabilidades y cómo se gestionan las actualizaciones de software durante la vida del producto.
Si vendes plugins de WordPress, temas, productos SaaS, o cualquier producto digital conectado a clientes de la UE, esta normativa probablemente te aplica.
¿A quién afecta el CRA?
La normativa se dirige a "fabricantes" y "distribuidores" de productos con elementos digitales. En la práctica, esto incluye:
Desarrolladores de plugins y temas de WordPress que venden productos de pago en el mercado de la UE. Si tu plugin procesa datos, se conecta a servicios externos, o forma parte de un ecosistema de software más amplio, está dentro del alcance.
Proveedores SaaS que ofrecen herramientas basadas en suscripción a empresas o consumidores de la UE.
Agencias y freelancers que desarrollan software personalizado o aplicaciones web entregadas a clientes de la UE. Si entregas un producto basado en WordPress a un cliente en Alemania, Francia, Italia o cualquier otro país de la UE, podrías ser considerado "fabricante" bajo el CRA.
Propietarios de sitios de comercio electrónico que venden sus propios productos digitales a clientes de la UE.
Cabe destacar que el software de código abierto desarrollado y distribuido sin fines comerciales está en gran medida exento. Pero si monetizas un plugin de WordPress — incluso parcialmente, incluso mediante un modelo freemium — probablemente estés dentro del alcance.
Requisitos clave bajo el CRA
El CRA introduce varias obligaciones específicas. Estas son las más relevantes para los operadores de WordPress:
1. Política de Divulgación de Vulnerabilidades (VDP)
Debes tener una política accesible públicamente que explique cómo los investigadores de seguridad pueden reportar vulnerabilidades en tu producto. Esto se llama Política de Divulgación de Vulnerabilidades o VDP.
La VDP debe estar disponible en una ubicación predecible (tu sitio web), escrita en lenguaje sencillo, y especificar:
- Cómo enviar un informe de vulnerabilidad
- Qué información incluir
- Cuánto tiempo te tomará confirmar la recepción
- Si operas un proceso de divulgación coordinada
2. Archivo security.txt (RFC 9116)
La ubicación estándar para la información de contacto de seguridad es /.well-known/security.txt en tu dominio. Este archivo legible por máquina dirige a los investigadores de seguridad hacia tu información de contacto y tu VDP.
El CRA efectivamente convierte esto en un requisito para los productos dentro del alcance. El formato está definido en la RFC 9116 y se ve así:
Contact: mailto:security@tusitio.com
Expires: 2027-12-31T23:59:59.000Z
Policy: https://tusitio.com/vulnerability-disclosure-policy
3. Lista de Materiales de Software (SBOM)
Una SBOM es una lista formal de todos los componentes de software en tu producto — esencialmente una lista de ingredientes para el software.
Para un plugin de WordPress, esto significa documentar:
- Tu propio plugin (nombre, versión, licencia)
- Cualquier biblioteca o dependencia de terceros que use
- El núcleo de WordPress como dependencia
Las SBOM deben estar disponibles para las autoridades competentes a solicitud y, para productos de mayor riesgo, pueden necesitar ser accesibles públicamente.
4. Gestión activa de vulnerabilidades
El CRA exige que los fabricantes:
- Supervisen sus productos en busca de vulnerabilidades conocidas
- Publiquen actualizaciones de seguridad de manera oportuna
- Notifiquen a los usuarios sobre las actualizaciones de seguridad
- Proporcionen actualizaciones de seguridad sin coste durante un período de soporte definido
Para los plugins de WordPress, esto significa que no puedes simplemente lanzar una versión y abandonarla. Si se descubre una CVE que afecta a tu plugin, estás obligado a publicar una solución.
5. Evaluación de conformidad y marcado CE
La mayoría de los productos digitales "estándar" (Categoría I bajo el CRA) deben someterse a una autoevaluación frente a los requisitos de la normativa y colocar el marcado CE en su producto. La evaluación debe documentarse.
Los productos de mayor riesgo (Categoría II) requieren evaluación por un tercero a través de un organismo notificado — similar a cómo se prueban los dispositivos médicos o los juguetes.
La mayoría de los plugins de WordPress caen en la Categoría I y pueden autocertificarse.
¿Qué pasa con el RGPD y NIS2?
El CRA no reemplaza al RGPD ni a NIS2 — operan en paralelo entre sí.
El RGPD cubre el tratamiento de datos personales. Si tu sitio WordPress o plugin maneja datos personales de residentes de la UE, el RGPD aplica independientemente del CRA.
NIS2 (la Directiva sobre la Seguridad de las Redes y Sistemas de Información 2) impone requisitos de seguridad a entidades "esenciales" e "importantes" — principalmente empresas más grandes en sectores como energía, salud, finanzas e infraestructura digital. Si tu negocio o el de tu cliente cae en una de estas categorías, las obligaciones de NIS2 aplican además del CRA.
Para la mayoría de las pequeñas empresas de WordPress y freelancers, el RGPD y el CRA son las principales preocupaciones. NIS2 aplica a un conjunto más reducido de entidades más grandes.
El cronograma — qué debe suceder y cuándo
| Fecha | Obligación |
|---|---|
| Ahora | Comienza la evaluación de brechas: identifica lo que necesitas hacer |
| Septiembre 2026 | Comienzan las obligaciones de reporte del CRA (notificar a las autoridades sobre vulnerabilidades explotadas activamente dentro de 24 horas) |
| Diciembre 2027 | Aplican los requisitos completos del CRA: VDP, SBOM, security.txt, evaluación de conformidad, marcado CE |
La obligación de reporte de septiembre de 2026 a menudo se pasa por alto. Aunque el cumplimiento total no se requiere hasta diciembre de 2027, necesitarás poder reportar vulnerabilidades explotadas activamente a ENISA dentro de 24 horas — y eso requiere tener procesos de monitoreo establecidos antes de esa fecha.
Cómo comprobar tu situación actual
Si no estás seguro de dónde te encuentras, comienza con estas preguntas:
- ¿Tienes un contacto de seguridad? ¿Existe una forma para que los investigadores o usuarios reporten un problema de seguridad en tu producto?
- ¿Existe un archivo security.txt en
/.well-known/security.txten tu dominio? - ¿Puedes enumerar todos los componentes de software en tu producto? ¿Sabes qué bibliotecas de terceros usan tus plugins y sus versiones actuales?
- ¿Tienes un proceso para rastrear vulnerabilidades en las dependencias de tu producto?
- ¿Has documentado tus prácticas de seguridad? ¿Podrías presentar evidencia de una evaluación de conformidad si un regulador lo solicita?
Si respondiste no a la mayoría de estas preguntas, tienes trabajo por hacer — pero es manejable con una lista de verificación clara.
Usar un plugin para automatizar la lista de verificación
En lugar de trabajar manualmente con estos requisitos, Erdo CRA Compliance automatiza la evaluación de brechas y ayuda a generar la documentación requerida directamente desde tu panel de WordPress.
El plugin:
Escanea tu sitio contra los controles del CRA, RGPD y NIS2 y produce un panel de cumplimiento codificado por colores — verde (aprobado), ámbar (necesita atención), rojo (fallido).
Genera tu archivo security.txt en el formato correcto de RFC 9116 y lo hospeda automáticamente en /.well-known/security.txt. Sin FTP, sin configuración de servidor.
Crea una plantilla de Política de Divulgación de Vulnerabilidades basada en los detalles de tu sitio, lista para publicar como página en tu sitio.
Produce una SBOM que enumera todos los plugins activos, sus versiones y su información de licencia — el núcleo de lo que requiere una lista de materiales de software para un producto basado en WordPress.
Exporta informes de auditoría en PDF que documentan tu estado de cumplimiento, adecuados para compartir con clientes, auditores, o como registros para una evaluación de conformidad.
Genera una plantilla de declaración de conformidad — el documento de autoevaluación requerido para productos de Categoría I bajo el CRA.
Nada de esto garantiza el cumplimiento legal — eso depende de tu producto específico, de cómo se usa, y de tu contexto legal. Pero te da un punto de partida estructurado y asegura que los requisitos técnicos básicos estén en su lugar.
Consejos prácticos para diferentes audiencias
Si eres desarrollador de plugins de WordPress: Comienza documentando las dependencias de tu plugin (revisa tu composer.json o cualquier biblioteca de terceros que hayas incluido). Configura un correo de contacto de seguridad. Publica una VDP simple. Estos tres pasos cubren la mayoría de las obligaciones básicas y toman unas horas, no semanas.
Si eres freelancer entregando proyectos de WordPress: Comprueba si tus clientes están ubicados en la UE y si los sitios que construyes para ellos están dentro del alcance. Considera incluir la documentación de cumplimiento del CRA como un entregable en tus contratos.
Si eres una agencia: Incorpora una lista de verificación de cumplimiento del CRA en tu proceso de entrega de proyectos. Los clientes que reciben productos digitales en el mercado de la UE necesitarán cada vez más documentación de que has considerado estos requisitos.
Si gestionas un sitio de comercio electrónico orientado a la UE que vende productos digitales: Trata la fecha límite de diciembre de 2027 igual que las empresas trataron la fecha límite de mayo de 2018 del RGPD — pero empieza antes esta vez.
Para terminar
La Ley de Resiliencia Cibernética de la UE es el mayor cambio en los requisitos de cumplimiento de software desde el RGPD. A diferencia del RGPD, que la mayoría de los propietarios de sitios ignoraron en gran medida hasta el último momento, el CRA tiene requisitos técnicos específicos que no pueden abordarse solo con una actualización de política — requieren una implementación real.
La buena noticia: si usas WordPress, las herramientas para abordar la mayoría de los requisitos del CRA están disponibles ahora. Comenzar la evaluación en 2026 te da un año completo para trabajar en la lista de verificación antes de la fecha límite de diciembre de 2027.
Descarga Erdo CRA Compliance gratis desde WordPress.org y ejecuta tu primer escaneo de cumplimiento hoy.