Cyber Resilience Act NIS-2: guía obligaciones 2027

El Cyber Resilience Act y NIS-2 son dos marcos normativos con un punto de intersección común: el contrato con proveedores del operador. Quien acuda en 2027 a una auditoría del BSI sin conformidad CRA documentada de sus proveedores se expone a sanciones de ambos regímenes en paralelo. Esta guía separa las obligaciones con precisión y muestra qué debe estar operativo a finales de 2026.

Cyber Resilience Act NIS-2: dos marcos, una línea de obligaciones

NIS-2 (Directiva UE 2022/2555) se dirige a operadores. El CRA se dirige a fabricantes. Ambos se cruzan donde una empresa KRITIS adquiere hardware o software.

NIS-2 obliga a entidades esenciales e importantes a gestionar riesgos a lo largo de la cadena de suministro TIC según el artículo 21 de la directiva. El CRA traslada parte de la carga probatoria a los fabricantes, pero no exime al operador de su deber de selección y control.

Para las empresas KRITIS, la carga documental se duplica. Cada decisión de compra desde 2027 debe responder a dos preguntas: ¿es el proveedor conforme al CRA? ¿He verificado y documentado yo, como operador, esa conformidad?

Los plazos transitorios están escalonados. Las obligaciones principales del CRA entran en vigor en diciembre de 2027. Las obligaciones de notificación de vulnerabilidades explotadas activamente arrancan ya en 2026. NIS-2 está transpuesta en Alemania mediante la NIS2UmsuCG, y el borrador del KRITIS-Dachgesetz complementa la dimensión de resiliencia física. El borrador del Bundestag 20/9262 concreta las obligaciones para operadores alemanes.

El marco sancionador del CRA llega hasta 15 millones de euros o el 2,5 % de la facturación mundial del grupo. Las sanciones NIS-2 se suman, no se sustituyen.

Siguiente paso: revisar los sectores KRITIS para comprobar si su instalación entra en el ámbito de aplicación.

Qué exige el CRA en concreto al hardware desplegado

El CRA define cinco obligaciones nucleares para todo producto con elementos digitales que se introduzca en el mercado de la UE.

Primera: Security-by-Design. Los productos no pueden contener vulnerabilidades conocidas explotables al ser entregados. Contraseñas estándar de fábrica y bibliotecas sin parchear son una prohibición de acceso al mercado.

Segunda: gestión de vulnerabilidades durante toda la vida útil esperada, mínimo cinco años. Los fabricantes deben proporcionar parches de forma gratuita, también tras el fin de la vida comercial.

Tercera: SBOM (Software Bill of Materials). Cada producto lleva un listado legible por máquina de sus componentes de software. Los operadores deben poder presentar este SBOM en auditoría, por lo que han de exigirlo ya en la fase de compra.

Cuarta: divulgación coordinada de vulnerabilidades. El fabricante notifica vulnerabilidades explotadas activamente a ENISA en un plazo de 24 horas, con informe detallado a las 72 horas.

Quinta: marcado CE redefinido. Sin declaración de conformidad CRA, no hay acceso al mercado a partir de diciembre de 2027. El hardware ya instalado en infraestructuras KRITIS no es automáticamente conforme al CRA; el fabricante debe demostrarlo.

Lo que funciona: formatos SBOM estandarizados (CycloneDX, SPDX) se evalúan de forma automatizada. Lo que no funciona: listas en PDF sin equivalente legible por máquina, que en auditoría cuestan tiempo.

Obligaciones NIS-2 en cadena de suministro: la palanca más dura para operadores

El artículo 21 NIS-2 exige gestión de riesgos a lo largo de toda la cadena de suministro TIC. Es la obligación operativamente más costosa del marco completo.

Las cláusulas contractuales sobre requisitos de seguridad son obligatorias. Un contrato de proveedor sin regulaciones claras sobre plazos de parcheo, obligaciones de notificación y derechos de auditoría es insuficiente según NIS-2, con independencia de si se produce un incidente.

Las auditorías a proveedores deben documentarse y repetirse periódicamente. Para proveedores críticos recomendamos auditorías anuales; para proveedores estándar, cada dos años. La profundidad de auditoría se rige por la contribución al riesgo, no por el volumen contractual.

Los subproveedores (Tier 2, Tier 3) entran en la obligación de auditoría cuando son relevantes para la seguridad. Quien utiliza un proveedor de nube que a su vez usa terceros para gestión de identidades, audita toda la cadena.

En caso de externalización a proveedores de nube o robótica, la responsabilidad del operador permanece. La transferencia contractual de la responsabilidad de seguridad no exime del deber de control. El BSI es el punto nacional de notificación de incidentes de seguridad y gestiona la interfaz con ENISA, como aclara el Ministerio Federal del Interior.

Siguiente paso: revisar el cumplimiento NIS-2 en Quarero para conocer qué cláusulas contractuales ponemos a disposición de clientes KRITIS.

Robótica de patrulla como producto sujeto al CRA

Los robots de patrulla autónomos son productos con elementos digitales. El CRA aplica íntegramente, junto al Reglamento de Máquinas de la UE. El Reglamento de Máquinas 2023/1230 define requisitos de ciberseguridad para máquinas autónomas y complementa las obligaciones del CRA.

Los Quarero QR-2 y QR-3 se entregan con tres propiedades documentadas: SBOM legible por máquina, actualizaciones de firmware firmadas y declaración de conformidad CRA. El SBOM está en formato CycloneDX; las firmas de firmware se generan mediante una pipeline de build con soporte HSM.

Las vulnerabilidades se notifican a ENISA en un plazo de 24 horas. Los parches se despliegan OTA en 72 horas, con prioridad para valores CVSS desde 7.0. La pipeline de actualización es auditable; cada instalación deja una entrada firmada.

Los flujos de datos (vídeo, térmico, LiDAR) permanecen en centro de datos alemán. Sin transferencia a terceros países, sin SCC, sin debate Schrems II. Es una decisión arquitectónica, no una garantía contractual.

En el modelo RaaS, Quarero asume la carga del fabricante según el CRA y la carga operativa de mantenimiento. El operador conserva la carga NIS-2 del operador: documentar la selección de proveedor, ejercer los derechos de auditoría, notificar incidentes al BSI. Este reparto es limpio porque sitúa la responsabilidad donde está la capacidad de control.

Siguiente paso: QR-3 con LiDAR y detección de drones para patrulla conforme al CRA.

Obligaciones de notificación: 24-72-30 como nuevo ritmo

NIS-2 prescribe una cadena de notificación en tres fases. Alerta temprana al BSI en 24 horas desde el conocimiento. Evaluación en 72 horas con primer análisis y medidas. Informe final a los 30 días con análisis de causas.

El CRA exige en paralelo: el fabricante notifica vulnerabilidades explotadas activamente a ENISA en 24 horas. Es una cadena de notificación autónoma, no parte de la alerta temprana NIS-2.

Los operadores deben configurar las cadenas internas de notificación de modo que ambos plazos puedan correr en paralelo. Quien detecta un incidente en su proveedor informa al fabricante (para su notificación a ENISA) y al BSI (para su propia notificación NIS-2) simultáneamente. Una secuencia escalonada pierde el plazo de 24 horas.

La falta de notificación es un tipo sancionador autónomo, independiente del daño. Un incidente sin daño, pero sin notificación, es sancionable. Un incidente con daño, pero con notificación a tiempo, atenúa la sanción.

Ejercicio de la cadena de notificación al menos trimestral. El registro debe resistir auditoría: marca de tiempo, vía de escalado, personas involucradas, canal de comunicación. Una cadena de correos no basta; un sistema de tickets con entradas firmadas, sí.

Lo que funciona: ejercicios tabletop con contactos reales en el BSI, coordinados previamente. Lo que no funciona: descripciones teóricas de procesos no operables en caso real.

La responsabilidad del consejo se agrava con el CRA

NIS-2 ancla en el §38 BSIG-E la responsabilidad personal de la dirección por omisión de gestión de riesgos. No es responsabilidad societaria, sino individual.

El CRA amplía la responsabilidad con el deber de diligencia en la selección de proveedores. Quien emplea un proveedor sin declaración de conformidad CRA no ha documentado suficientemente la selección como dirección.

La cobertura de seguros (D&O) no cubre sanciones administrativas con regularidad. La mayoría de pólizas excluye expresamente multas y sanciones. Lo que la D&O cubre son reclamaciones de terceros y costes de defensa. Quien confía en la D&O como cobertura total no ha leído la póliza.

Inversión de la carga de la prueba: el consejo debe demostrar activamente que se implementaron procesos de diligencia. Es un endurecimiento procesal frente a la responsabilidad orgánica general del §93 AktG.

La obligación de formación de la dirección está explícitamente anclada en NIS-2. Una formación anual con asistencia documentada es el estándar mínimo. Briefings trimestrales del CISO son la norma operativa.

Siguiente paso: revisar en detalle la responsabilidad del consejo bajo NIS-2.

Plan de 14 semanas para cumplimiento combinado CRA-NIS-2

El siguiente plan ha sido probado en tres operadores KRITIS medianos (energía, agua, logística) entre 2024 y 2026.

Semanas 1-3: inventariado. Registrar todos los productos con elementos digitales, elaborar mapeo de proveedores, clasificar relevancia para seguridad (alta, media, baja). Resultado: registro de activos con referencia a proveedor.

Semanas 4-6: solicitud de SBOM. Enviar a todos los proveedores un formulario estandarizado de entrega de SBOM. Renegociar cláusulas contractuales sobre plazos de parcheo, obligaciones de notificación y derechos de auditoría. Quien no entrega, pasa a la lista de salida.

Semanas 7-9: cadena de notificación. Probar las interfaces con BSI y ENISA. Definir rutas internas de escalado, configurar sistema de tickets, designar responsables. Las vías de notificación deben funcionar en ≤2 horas desde el primer contacto hasta el CISO.

Semanas 10-12: ejercicio tabletop. Simulación de incidente, mínimo dos horas, con la dirección. Registro de la implicación del consejo. Cuellos de botella observados se trasladan a un catálogo de medidas.

Semanas 13-14: documentación apta para auditoría. Reunir todos los procesos, contratos y protocolos en un dossier de cumplimiento. Informe de riesgo residual a la dirección, firmado.

Lo que sostiene este plan: un director de proyecto dedicado con ≥60 % de capacidad. Lo que lo hace fracasar: gestionarlo en paralelo a través del CISO ya saturado.

Siguiente paso: utilizar la checklist KRITIS-Dachgesetz 2026 como plantilla operativa.

Qué decisiones debe tomar el operador ahora

Cinco decisiones pendientes hasta finales de 2026. Cada una tiene un lado de coste y un lado de responsabilidad.

Retirar del pool de compras a proveedores sin hoja de ruta CRA. Quien en 2026 no presente plan de conformidad CRA no podrá entregar en 2027. Es un riesgo de abastecimiento, no de cumplimiento.

Migrar a RaaS en hardware crítico para seguridad. Robótica, sensorización, sistemas de acceso: en el modelo RaaS el fabricante asume operativamente la carga CRA. El operador documenta la decisión de selección y el derecho de auditoría. El coste total de propiedad está documentado en la comparativa TCO del servicio de vigilancia frente a operación propia.

Probar los procesos de notificación con el BSI en producción antes de 2027. Una notificación real de prueba (declarada como ejercicio) muestra si la interfaz funciona. Por experiencia, el BSI es cooperativo cuando el operador consulta proactivamente.

Informar al consejo por escrito cada trimestre. Estado de cumplimiento, riesgos abiertos, ejercicios realizados. El formato escrito protege en caso de responsabilidad.

Instalación piloto con proveedor conforme al CRA. Una instalación de referencia en 2026 es más barata que una corrección de gran despliegue en 2028. Quien rebasa por poco los umbrales BSI-KritisV tiene mayor presión de actuación.

El modelo Robotics-as-a-Service y el cumplimiento NIS-2 en Quarero son las dos respuestas operativas al marco combinado CRA-NIS-2. Quien acuda en 2027 a la auditoría sin operación piloto documentada inicia la conversación de cumplimiento desde una posición de desventaja.

Conversación piloto y revisión de proveedores CRA: /nis-2. Tomamos la lista de proveedores, aclaramos el corredor de auditoría y priorizamos los componentes para los que en 2027 se exigirá al operador prueba de conformidad CRA. Es la única preparación que en doce meses resulta medible.