Las organizaciones han dedicado años a centrarse en su propia seguridad. Pero ante la inminente entrada en vigor de la Ley de Resiliencia Cibernética (CRA, por sus siglas en inglés), la atención se centra ahora en los productos de los que dependen y en las cadenas de suministro que los respaldan.
Durante el año pasado, la aplicación de la Directiva NIS2 Dominaron las salas de juntas de toda Europa. Las organizaciones se apresuraron a evaluar la exposición al riesgo, reforzar sus controles de acceso y garantizar que su resiliencia operativa interna cumpliera con los estándares.
Pero proteger su organización es solo la mitad de la batalla, ya que las herramientas de terceros que operan dentro de ella pueden introducir sus propias vulnerabilidades.
Ahora, el enfoque regulatorio se está expandiendo de los compradores de tecnología a los constructores de la misma. Con la La Ley de Resiliencia Cibernética de la UE (CRA) entró en vigor. Con la entrada en vigor a finales de 2024, la era de la "organización segura" está evolucionando rápidamente hacia la era del "producto seguro".
Para los responsables de seguridad, esto significa que la gobernanza de la cadena de suministro se volverá mucho más estricta. Se acabaron los tiempos de confiar ciegamente en los proveedores y de utilizar cuestionarios estáticos. He aquí por qué la CRA está cambiando las reglas del juego y por qué el hito de septiembre de 2026 es la llamada de atención que necesita el sector.
El hito de septiembre de 2026 provoca una revisión de la realidad de 24 horas.
Si bien la totalidad de los requisitos integrales de la CRA en materia de "seguridad desde el diseño" y marcado CE no entrarán en vigor hasta el 11 de diciembre de 2027, el primer cambio operativo importante se producirá mucho antes.
A partir del 11 de septiembre de 2026, el artículo 14 de la Ley de Reclamaciones por Agravios (CRA) introduce la notificación obligatoria de vulnerabilidades en función de los eventos detectados. Los fabricantes de productos con componentes digitales, tanto de hardware como de software, deben notificar las vulnerabilidades que se estén explotando activamente a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y a su Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT).
El plazo es ajustado, lo que exige una notificación temprana sin demoras indebidas (a menudo interpretada como dentro de las 24 horas), seguida de informes más detallados a medida que avanzan las investigaciones.
Como Chase Snyder de Eclypsium reconoce En un análisis reciente, "la CRA también contiene numerosas cláusulas que exigen notificación, divulgación y remediación 'oportunas' en torno a las vulnerabilidades", y la aplicación de la ley se intensificará para septiembre de 2026.
Fundamentalmente, esta obligación se aplica a los productos que ya están en el mercado de la UE y que aún reciben soporte o mantenimiento, no solo a las nuevas versiones de software.
Para los compradores empresariales, esto genera un importante efecto dominó en el riesgo de la cadena de suministro. Si sus proveedores dependen de componentes de código abierto obsoletos y carecen de la gobernanza interna necesaria para su seguimiento, su incumplimiento normativo se convierte rápidamente en una vulnerabilidad operativa para la empresa.
Superando la brecha: NIS2 se encuentra con la CRA
Para comprender el futuro de la gobernanza de la cadena de suministro, es necesario analizar cómo se relacionan NIS2 y la CRA. No son marcos que compitan entre sí, sino dimensiones complementarias del mismo modelo integral de resiliencia.
NIS2 está centrado en la organización. Requiere que las entidades esenciales e importantes gestionen los riesgos en todas sus operaciones, incluidas las dependencias de terceros de nivel profundo. Pregunta: "¿Son sus operaciones resilientes a las interrupciones, incluido el fallo de los proveedores?
CRA se centra en el producto. Regula el hardware y el software que fluyen a través de esa cadena de suministro. Exige seguridad desde el diseño, actualizaciones continuas del ciclo de vida y un manejo riguroso de las vulnerabilidades. Pregunta: "¿Son fundamentalmente seguras las herramientas que está implementando?" Como destaca Meticulous Research en su Análisis del mercado de OT/ICS“El requisito SBOM de CRA… crea un impulsor estructural para las herramientas de gestión de vulnerabilidades” en todos los ámbitos de NIS2 y CRA.
Los propietarios de activos, en el marco de la NIS2, no son participantes pasivos en este cambio. Siguen siendo responsables de evaluar y gestionar el riesgo de los proveedores, pero dependerán cada vez más del cumplimiento de la CRA por parte de estos como parte de ese modelo de garantía.
El fin de la confianza “estática”
Históricamente, la gobernanza de la cadena de suministro se basaba en documentación estática. Un proveedor completaba un cuestionario de seguridad anual, entregaba un informe SOC 2 y se establecía la confianza, al menos sobre el papel.
Según la CRA, la confianza estática ya no es suficiente.
La normativa introduce la gestión continua del ciclo de vida. Cuando un proveedor se ve obligado a mantener una lista de materiales de software (SBOM) dinámica e informar activamente sobre los fallos dentro de un plazo determinado, el comprador debe contar con los mecanismos necesarios para recibir, procesar y actuar en función de esos datos en tiempo real.
“La CRA extiende su responsabilidad a lo más profundo de las cadenas de suministro”, explica la Joe Hughes, vicepresidente de Gestión de Riesgos de la Cadena de Suministro de Fortress Information Security: “Los contratos ahora deben describir claramente las obligaciones de los proveedores, incluidas las listas de materiales de suministro”.
Además, lo que está en juego comercialmente nunca ha sido tan importante. Si un proveedor de software crítico no cumple con los requisitos de seguridad de productos de la CRA antes de la fecha límite de diciembre de 2027, su producto perderá el marcado CE. Sin el marcado CE, no podrá venderse ni utilizarse legalmente en el mercado de la UE.
Para los equipos de compras, esto convierte el cumplimiento de la CRA (Ley de Reinversión Comunitaria) de un detalle técnico a un requisito comercial fundamental. Si su proveedor no cumple con la normativa, es posible que se vea obligado legalmente a reemplazar su software, lo que generaría problemas operativos.
Desarrollar una estrategia activa para la cadena de suministro
Este cambio normativo representa una gran oportunidad para que los CISO con visión de futuro pasen de un cumplimiento defensivo y meramente formal a una gobernanza activa que proteja los ingresos. Para prepararse para los plazos de la CRA de 2026 y 2027, junto con las obligaciones vigentes de la NIS2, los líderes deben actuar ahora:
Exigir transparencia desde el principioNo espere hasta septiembre de 2026 para preguntar a sus proveedores cómo planean cumplir con los requisitos de presentación de informes de ENISA. Incorpore la preparación para la CRA en sus contratos de adquisición y evaluaciones de proveedores desde hoy mismo.
Mapea las dependencias “invisibles”Aproveche el impulso legislativo a favor de las SBOM para obtener una visión clara de los riesgos de cuarta y quinta parte. Comprenda qué marcos de código abierto se encuentran ocultos dentro de los productos comerciales estándar (COTS) que utiliza.
Unifique su visión del riesgoGestionar el riesgo de los proveedores en NIS2, DORA y la CRA mediante hojas de cálculo fragmentadas es una receta para el incumplimiento de plazos y la falta de visibilidad. Transición a plataformas de gobernanza dinámicas y unificadas que vinculen los perfiles de los proveedores, los registros de incidentes y el estado de cumplimiento directamente con su registro central de riesgos.
“Los líderes pueden usar la CRA como catalizador para construir cadenas de suministro más fuertes, más transparentes y más resilientes”, según OPSWAT. hoja de ruta sobre el cumplimiento del software.
La resiliencia ya no es un ejercicio aislado.
El panorama regulatorio transmite un mensaje claro: la resiliencia ya no es un ejercicio interno aislado. A medida que la atención se desplaza de la seguridad de las organizaciones a la seguridad de los productos, la gobernanza de la cadena de suministro se está convirtiendo en la capa de verificación definitiva para la estabilidad empresarial.
Al adoptar este cambio ahora, no solo se está preparando para cumplir con un plazo regulatorio, sino que está construyendo una cadena de suministro sólida y verificada que protege la disponibilidad operativa y acelera su crecimiento en un mundo digital cada vez más volátil.
