Cumplimiento normativo de dispositivos médicos de la CRA: ¿qué está realmente exento?

Publicado el por

La mayoría de los fabricantes de dispositivos médicos creen que el cumplimiento normativo de la CRA no les afecta. En parte tienen razón. Y ahí radica el peligro.

Exención de dispositivos médicos de la CRA: la exposición que genera

Los dispositivos médicos regulados por el MDR y el IVDR están explícitamente excluidos del CRA. El software integrado en su dispositivo, la parte que se considera un dispositivo médico, sigue estando sujeto a la norma IEC 62304, el anexo I del MDR y los requisitos de ciberseguridad relacionados.

Pero tu dispositivo no funciona solo.

Se conecta a una aplicación complementaria. Se comunica con un panel de control en la nube. Recibe actualizaciones de firmware a través de un servidor de actualizaciones. Transmite datos a través de WiFi o Bluetooth.

Cada uno de esos componentes puede estar sujeto a una normativa diferente. Y la mayoría de ellos no están exentos.

CRA, MDR y RED: tres reglamentos para un solo dispositivo médico

El MDR/IVDR regula el propio producto sanitario.

La Directiva sobre equipos radioeléctricos (RED) regula los equipos radioeléctricos conectados a Internet: los requisitos de ciberseguridad establecidos en los artículos 3.3(d), (e) y (f) entraron en vigor el 1 de agosto de 2025.

La Ley de Resiliencia Cibernética (CRA) regula los productos con elementos digitales, incluidas las aplicaciones complementarias, los servicios en la nube y la infraestructura de actualización que no están clasificados como dispositivos médicos.

Tu dispositivo puede estar exento. Tu ecosistema no lo está.

Excepción importante: incluso bajo la exención actual de la CRA , los dispositivos médicos portátiles (dispositivos que se llevan puestos) deben cumplir los requisitos de la CRA. La exención es más restrictiva de lo que muchos fabricantes suponen.

11 de septiembre de 2026: la fecha límite para la que nadie se está preparando

La aplicación plena de la CRA comenzará el 11 de diciembre de 2027. Sin embargo, las obligaciones de notificación de vulnerabilidades previstas en el artículo 14 entrarán en vigor el 11 de septiembre de 2026.

A partir de esa fecha, los fabricantes de productos incluidos en el ámbito de aplicación deberán:

  • Enviar una alerta temprana a la ENISA y a los CSIRTnacionales en un plazo de 24 horas desde el momento en que se tenga conocimiento de una vulnerabilidad que se está explotando activamente.
  • Proporcionar una notificación detallada de la vulnerabilidad en un plazo de 72 horas.
  • Presentar un informe final a más tardar 14 días después de que la medida correctiva esté disponible.

No se trata de un ejercicio de documentación. Es una capacidad operativa que se tiene o no se tiene.

Nota para las pymes: la CRA establece que las microempresas y las pequeñas empresas no pueden ser multadas por incumplir el plazo de 24 horas para la notificación. Sin embargo, la obligación de notificación sigue siendo aplicable, y debe seguir existiendo la infraestructura operativa necesaria para detectar y evaluar las vulnerabilidades.

Un escenario que puede ocurrir

Una vulnerabilidad crítica de OpenSSL está siendo explotada activamente en Internet.

Tu panel de control en la nube ejecuta OpenSSL 1.1.1. Tu aplicación complementaria utiliza una biblioteca compartida que depende de él. Tu servidor de actualizaciones OTA no ha sido auditado en 18 meses.

¿Puedes responder a estas preguntas ahora mismo?

  • ¿Qué productos implementados se ven afectados?
  • ¿Es posible explotar la vulnerabilidad en su configuración específica?
  • ¿Puede notificarlo a las autoridades en un plazo de 24 horas?
  • ¿Puede implementar un parche seguro en toda su base instalada?

Si no es así, no estás preparado para septiembre de 2026.

La exención puede no durar

En diciembre de 2025, la Comisión Europea publicó una propuesta para modificar el MDR y el IVDR que eliminaría por completo la exención del CRA para los productos sanitarios. Según esta propuesta, la ciberseguridad se añadiría explícitamente a los requisitos generales de seguridad y rendimiento (GSPR) del anexo I del MDR y el IVDR, y los productos sanitarios ya no estarían excluidos del CRA.

La propuesta también introduce nuevas obligaciones para los fabricantes de dispositivos médicos de notificar las vulnerabilidades explotadas activamente y los incidentes cibernéticos graves a los CSIRT nacionales y a la ENISA, reflejando los requisitos del artículo 14 del CRA.

Se trata de una propuesta de la Comisión, aún no adoptada. Requiere la aprobación del Parlamento Europeo y del Consejo, lo que suele llevar entre 12 y 24 meses. Pero la dirección es clara: las obligaciones en materia de ciberseguridad para los fabricantes de dispositivos médicos se están ampliando, no reduciendo.

Independientemente de si la exención se mantiene o se elimina, la infraestructura de ingeniería que necesita es la misma: SBOM, supervisión de CVE, actualizaciones OTA y capacidad de respuesta ante incidentes.

Qué significa el cumplimiento de la CRA para su equipo de ingeniería

En MDR, RED y CRA, los reguladores coinciden en un principio: los fabricantes deben saber qué contiene su software, supervisarlo continuamente y corregirlo rápidamente.

Esto no se resuelve contratando a un consultor regulador durante dos semanas. Requiere infraestructura de ingeniería:

  • Una lista de materiales de software (SBOM) derivada de la compilación, no una hoja de cálculo, sino un artefacto activo de su canalización de compilación real.
  • Supervisión continua de CVE comprobada con sus binarios implementados
  • Capacidad de actualización segura por aire (OTA)
  • Documentación lista para auditorías que conecta su SBOM con su análisis de riesgos.
  • Proveedores cualificados según la norma ISO 13485 para componentes de software críticos.

El cumplimiento de la normativa de ciberseguridad es ahora una decisión arquitectónica, no una cuestión normativa secundaria.

La verdadera pregunta

La cuestión no es si la CRA se aplica a su dispositivo médico en la actualidad.

La pregunta es si todo el ecosistema de su producto ( el sistema operativo del dispositivo, la aplicación complementaria, el backend en la nube y la infraestructura de actualización ) podrá resistir el escrutinio regulatorio después de septiembre de 2026. Y si estará preparado cuando la exención se reduzca aún más o desaparezca por completo.

La fecha límite para informar sobre vulnerabilidades a la CRA es el 11 de septiembre de 2026. Cuente hacia atrás a partir de ahí: ese es el tiempo que tiene.

Marco normativo descrito a fecha de febrero de 2026.

¿Estás preparado para CRA? Descúbrelo en 5 minutos.

Hemos publicado un informe técnico detallado con una lista de verificación para la autoevaluación que abarca las tres normativas (MDR, RED, CRA), una guía de clasificación de componentes, los importes de las sanciones y un plan de acción de 90 días para alcanzar la preparación operativa antes de septiembre de 2026.

<p> DOWNLOAD THE WHITEPAPER </p>


¿No puedes esperar 90 días?

Proporcionamos la capa del sistema operativo en la que se basa el cumplimiento de la CRA.

SBOM · Supervisión de CVE · Actualizaciones OTA · Documentación IEC 62304: en 30 días.

RESERVAR UNA LLAMADA DE EVALUACIÓN →

Certificado ISO 13485 (desarrollo de software y ciberseguridad) · l4b-software.com

**Este artículo se proporciona únicamente con fines informativos generales y no constituye asesoramiento legal ni normativo.