REGULACIÓN · 2026-06-06 · lectura de ~8 min

El Reglamento de Ciberresiliencia de la UE alcanza a los sensores de seguridad en 2027 — ¿cuándo es una cortina de luz un “producto con elementos digitales”?

El Reglamento (UE) 2024/2847 introduce la ciberseguridad dentro del marcado CE. Desde el 11 de diciembre de 2027 se aplica a los “productos con elementos digitales” — una categoría que puede arrastrar a los sensores de seguridad inteligentes, IO-Link y conectados en red, dejando los dispositivos cableados más sencillos en el extremo de menor riesgo. Aquí le explicamos cómo averiguar dónde se sitúan sus componentes.

El CRA no cambia la seguridad funcional — añade una capa de ciberseguridad a cualquier dispositivo de seguridad que tenga elementos digitales dentro del ámbito.

Respuesta rápida

El Reglamento de Ciberresiliencia de la UE, Reglamento (UE) 2024/2847, se aplica desde el 11 de diciembre de 2027 (las obligaciones de notificación de vulnerabilidades e incidentes empiezan antes, desde el 11 de septiembre de 2026). Cubre los productos con elementos digitales — hardware o software cuyo uso previsto incluye una conexión de datos a un dispositivo o a una red.

Un sensor de seguridad entra en el ámbito en función de su propio diseño, no de su categoría. Una cortina de luz de seguridad o un escáner láser configurable o conectado en red, con firmware actualizable o una interfaz de parametrización, probablemente esté dentro del ámbito; una cortina de Type 4 sencilla y cableada que solo conmuta salidas OSSD dobles se sitúa en el extremo de menor riesgo. Cuando un dispositivo está dentro del ámbito, el marcado CE también tendrá que demostrar la ciberseguridad — evalúe cada modelo frente al reglamento en lugar de suponer que todo el tipo de producto está dentro o fuera.

Durante veinte años, la ciberseguridad de un dispositivo de seguridad industrial fue problema de otro — del equipo de red, del departamento de TI, del integrador de sistemas. El Reglamento de Ciberresiliencia de la UE cambia eso. Impone obligaciones de seguridad al propio producto y las hace cumplir a través del mismo marcado CE que ya lleva la seguridad funcional. Si introduce máquinas o componentes de seguridad en el mercado de la UE, el CRA forma ahora parte de su panorama de conformidad.

La buena noticia es que el hardware de seguridad más sencillo apenas se ve afectado. La complicación está en el terreno intermedio — los sensores inteligentes, los escáneres configurables y los dispositivos IO-Link a los que la industria ha dedicado una década añadiéndoles inteligencia. Esta es una guía para averiguar dónde se sitúa un dispositivo dado, escrita para el ingeniero que tiene que tomar la decisión, no para el abogado que la firma.

Las fechas que importan

El Reglamento de Ciberresiliencia es el Reglamento (UE) 2024/2847. Entró en vigor en 2024 y, como la mayoría de los reglamentos de productos de la UE, no se activa de golpe. Las obligaciones llegan por fases. Las obligaciones de notificación — el deber de notificar a las autoridades las vulnerabilidades explotadas activamente y los incidentes de seguridad graves — empiezan a aplicarse desde el 11 de septiembre de 2026. El cuerpo principal de obligaciones, incluidos los requisitos esenciales de ciberseguridad y el marcado CE que cubre la ciberseguridad, se aplica desde el 11 de diciembre de 2027.

Trate diciembre de 2027 como la fecha límite firme para la conformidad del producto, y aproveche el plazo previo igual que haría para cualquier transición CE: evalúe el ámbito, hable con sus proveedores y cree los procesos sobre los que será auditado. La maquinaria de notificación llega un poco antes, lo cual conviene conocer si es usted el fabricante del componente y no solo un integrador de este.

Qué significa «productos con elementos digitales»

El CRA no enumera los productos por su nombre. Define una clase: productos con elementos digitales. La definición abreviada es un producto de hardware o software cuyo uso previsto incluye una conexión de datos lógica o física, directa o indirecta, a un dispositivo o a una red. Esa definición es deliberadamente amplia, y es la bisagra sobre la que gira el ámbito para los sensores de seguridad.

Léala con atención y se desprenden dos cosas. Primera, el detonante es la conexión de datos y el contenido digital — firmware, parámetros configurables, una interfaz de comunicación — no la función de seguridad como tal. Segunda, el ámbito es una propiedad del modelo concreto, no de la categoría «cortina de luz» o «escáner láser». Dos dispositivos que realizan el mismo trabajo de protección pueden caer a lados opuestos de la línea si uno es una unidad sellada y cableada y el otro lleva firmware actualizable y un puerto Ethernet.

Dónde es probable que caigan los dispositivos de seguridad habituales

Con esa definición en la mano, puede clasificar una lista de materiales de seguridad típica en niveles aproximados. Esto es juicio de ingeniería para orientar una evaluación formal — no es una clasificación jurídica, y el texto oficial es el que prevalece.

Extremo de menor riesgo: dispositivos OSSD sencillos y cableados. Una cortina de luz de Type 2 o Type 4 que solo conmuta salidas de seguridad OSSD dobles, sin interfaz de red y sin firmware actualizable expuesto al exterior, tiene poco de la superficie digital a la que apunta el CRA. Un sensor de proximidad básico o un relé de seguridad cableado como el DA31 de DAIDISIKE, conectado a un circuito de seguridad, está en el mismo grupo.
Terreno intermedio: dispositivos configurables e IO-Link. Una cortina de luz de seguridad o un interruptor de seguridad con una interfaz de parametrización, una herramienta de configuración de muting o blanking, o comunicación IO-Link / IO-Link Safety tiene elementos digitales y una conexión de datos. Son los dispositivos que con más probabilidad necesitarán una evaluación CRA.
Lo más probable dentro del ámbito: sensores inteligentes conectados en red. Un escáner láser de seguridad / LiDAR como una unidad de la serie DLD de DAIDISIKE, con configuración de campos, firmware embebido que puede actualizarse y una interfaz de comunicación, lleva la mayor superficie digital, y es la categoría que conviene evaluar primero.
A menudo es el controlador, no el sensor, el que lleva la red. En nuestros dispositivos, la integración de bus de campo o de protocolo la gestiona un controlador de seguridad externo en lugar de pilas de protocolo nativas dentro del sensor. Eso importa para el ámbito: el controlador es con frecuencia el producto con los elementos digitales más ricos, y merece su propia evaluación junto a los sensores que lee.

Los requisitos esenciales de ciberseguridad, en términos sencillos

Cuando un dispositivo está dentro del ámbito, el CRA espera que sea seguro por diseño. Los requisitos detallados se encuentran en los anexos del reglamento, y debería elaborar un expediente de conformidad a partir de ese texto oficial y no de un resumen — pero a nivel conceptual las expectativas resultan reconocibles para cualquiera que haya hecho trabajo de seguridad industrial:

introducido en el mercado sin vulnerabilidades explotables conocidas;
una configuración segura por defecto, con la opción de restablecer ese estado por defecto;
protección de la confidencialidad y la integridad de los datos y comandos almacenados y transmitidos — en un dispositivo de seguridad, la integridad de la configuración y de la ruta de comandos de seguridad es la parte que más importa;
una superficie de ataque reducida y protección contra el acceso no autorizado;
la capacidad de entregar actualizaciones de seguridad, cuando el producto está diseñado para recibirlas.

Nada de esto entra en conflicto con la seguridad funcional; corre en paralelo con ella. El requisito de integridad, en particular, es el punto de encuentro natural — una configuración corrupta que debilita silenciosamente una función de protección es a la vez un fallo de seguridad informática y un fallo de seguridad funcional.

Gestión de vulnerabilidades y divulgación coordinada

Una gran parte del CRA no trata del producto tal como se entrega, sino de lo que el fabricante hace después. A lo largo del periodo de soporte, se espera que el fabricante identifique y documente las vulnerabilidades, proporcione actualizaciones que las aborden y opere un proceso de divulgación coordinada de vulnerabilidades para que un investigador que encuentre un fallo tenga una vía definida para notificarlo. Las obligaciones de notificación separadas — notificar a las autoridades las vulnerabilidades explotadas activamente y los incidentes graves — se suman a eso, y son la parte que comienza desde septiembre de 2026.

Para un comprador, esto se convierte en una cuestión de aprovisionamiento más que de diseño. No está auditando el código fuente del proveedor; está preguntando si el proceso existe: ¿hay un contacto de seguridad, un periodo de soporte definido, un mecanismo de actualización y una política de divulgación? Un proveedor que pueda responder a eso con claridad es un proveedor cuyos componentes no se convertirán en su brecha de cumplimiento en 2027.

CRA, IEC 62443 y el Reglamento de Máquinas: tres capas

Es fácil confundir estos tres porque todos tocan la seguridad informática y la seguridad funcional. Se sitúan en niveles diferentes, y ver la distinción simplifica el cumplimiento, no lo complica.

El Reglamento de Ciberresiliencia es la ley para el producto. Establece requisitos obligatorios de acceso al mercado para los productos con elementos digitales y los hace cumplir a través del marcado CE. No puede excluirse de él para un producto dentro del ámbito vendido en la UE.
La IEC 62443 es el conjunto de herramientas de ingeniería. Es una serie de normas internacionales voluntarias para la seguridad de los sistemas de automatización y control industrial — niveles de seguridad, zonas y conductos, prácticas de desarrollo seguro. No es la ley, pero es el método en el que puede apoyarse para demostrar que ha cumplido un objetivo legal.
El Reglamento de Máquinas es el dueño de la función de seguridad. El Reglamento (UE) 2023/1230 rige la seguridad de las máquinas y aborda la ciberseguridad en la medida en que un ataque pudiera anular una función de seguridad. Su preocupación es la máquina y sus funciones de protección; la preocupación del CRA es la seguridad propia del producto digital.

En un proyecto real los tres se apilan en lugar de chocar: el Reglamento de Máquinas pregunta si la función de seguridad puede ser anulada, el CRA pregunta si el producto digital puede ser comprometido, y la IEC 62443 le da el vocabulario y los métodos para responder a ambas. Para una cobertura más profunda de ese solapamiento, vea nuestro artículo complementario sobre la IEC 62443 encontrándose con la ISO 13849.

Una lista de verificación del comprador para el abastecimiento de componentes de seguridad

Si es usted un OEM o integrador que pone máquinas en el mercado de la UE, el CRA le alcanza sobre todo a través de los componentes que compra. Para cada dispositivo de seguridad inteligente o conectado en red, plantee estas preguntas al proveedor:

¿Este modelo concreto está evaluado como un producto con elementos digitales según el CRA?
¿Llevará marcado CE que cubra la ciberseguridad para cuando yo introduzca mi máquina en el mercado?
¿Cómo se entregan las actualizaciones de seguridad, y durante cuánto tiempo — cuál es el periodo de soporte?
¿Existe un proceso de divulgación coordinada de vulnerabilidades y un contacto de seguridad?
¿Podría un dispositivo OSSD sencillo y cableado hacer este trabajo en su lugar, manteniendo la conectividad — y el ámbito de ciberseguridad — fuera del diseño allí donde no aporta valor?

Ese último punto es la lección de diseño silenciosa del CRA. La conectividad ya no es gratis; conlleva un coste de cumplimiento. Cuando una función de seguridad se beneficia realmente de la configuración o de la conexión en red, ese coste vale la pena. Cuando no, un dispositivo OSSD sencillo y cableado mantiene tanto su expediente de seguridad como su expediente de ciberseguridad más reducidos y más fáciles de defender.

AutorEngineer Cai

Revisado porIngeniero de aplicaciones sénior · especialidad IEC 61496 / ISO 13855 / ISO 10218

Foshan DAIDISIKE Optoelectronics Technology Co., Ltd.

Preguntas frecuentes

¿Cuándo se aplica el Reglamento de Ciberresiliencia de la UE?

El Reglamento de Ciberresiliencia es el Reglamento (UE) 2024/2847. Entró en vigor en 2024. Las obligaciones se aplican por fases: las obligaciones de notificación de vulnerabilidades explotadas activamente e incidentes graves empiezan a aplicarse a partir del 11 de septiembre de 2026, y el conjunto principal de obligaciones —incluidos los requisitos esenciales de ciberseguridad y el marcado CE que cubre la ciberseguridad— se aplica a partir del 11 de diciembre de 2027. Los fabricantes que introduzcan productos con elementos digitales en el mercado de la UE deberían tratar diciembre de 2027 como la fecha límite firme y aprovechar el tiempo previo para evaluar el ámbito y crear los procesos requeridos.

¿Es una cortina de luz de seguridad un «producto con elementos digitales» según el CRA?

Depende del dispositivo, no de la categoría de producto. El Reglamento de Ciberresiliencia se aplica a los productos con elementos digitales: hardware o software cuyo uso previsto incluye una conexión de datos lógica o física, directa o indirecta, a un dispositivo o a una red. Una cortina de luz de seguridad de Type 4 sencilla y cableada que solo conmuta salidas de seguridad OSSD dobles, sin interfaz de red ni firmware actualizable por el usuario expuesto a una conexión de datos, se sitúa en el extremo de menor riesgo y puede quedar fuera del ámbito principal. Una cortina o escáner configurable con una interfaz de parametrización, firmware embebido que puede actualizarse o una conexión de red tiene más probabilidades de estar dentro del ámbito. El enfoque correcto es evaluar cada modelo concreto frente a la definición del reglamento en lugar de suponer que toda la categoría está dentro o fuera.

¿Cuáles son los requisitos esenciales de ciberseguridad que impone el CRA?

A nivel conceptual, el CRA exige que los productos con elementos digitales se diseñen, desarrollen y produzcan para ser seguros, y que se introduzcan en el mercado sin vulnerabilidades explotables conocidas. Espera una configuración segura por defecto, la protección de la confidencialidad y la integridad de los datos y los comandos, la capacidad de recibir actualizaciones de seguridad y una superficie de ataque reducida. Junto a los requisitos del producto, el fabricante debe gestionar las vulnerabilidades durante todo el periodo de soporte: identificarlas y documentarlas, proporcionar actualizaciones y operar un proceso de divulgación coordinada de vulnerabilidades. Los requisitos exactos se establecen en los anexos del reglamento: trabaje a partir del texto oficial y no de un resumen cuando elabore su expediente de conformidad.

¿En qué se diferencia el CRA de la IEC 62443 y del Reglamento de Máquinas?

Operan a niveles diferentes. El Reglamento de Ciberresiliencia es legislación de la UE que establece requisitos obligatorios de acceso al mercado para los productos con elementos digitales, aplicados a través del marcado CE. La IEC 62443 es una serie de normas internacionales voluntarias para la seguridad de los sistemas de automatización y control industrial; proporciona los métodos de ingeniería y los niveles de seguridad que puede utilizar para cumplir un objetivo regulatorio, pero no es la ley en sí misma. El Reglamento de Máquinas (UE) 2023/1230 rige la seguridad de las máquinas y aborda la ciberseguridad en la medida en que un ciberataque pudiera anular una función de seguridad. En la práctica los tres son complementarios: el Reglamento de Máquinas se ocupa de la función de seguridad, el CRA se ocupa de la seguridad propia del producto digital, y la IEC 62443 aporta el marco técnico que ayuda a demostrar ambas.

¿Qué significa el CRA para un OEM que abastece componentes de seguridad?

Si fabrica máquinas para el mercado de la UE, los componentes digitales que integra pasan a formar parte de su panorama de cumplimiento. Para cada componente de seguridad inteligente o conectado en red, pregunte al proveedor si el modelo concreto está dentro del ámbito del CRA, si llevará marcado CE que cubra la ciberseguridad para cuando usted introduzca su máquina en el mercado, cómo se entregan las actualizaciones de seguridad, cuánto dura el periodo de soporte y si el proveedor opera un proceso de divulgación coordinada de vulnerabilidades. Prefiera dispositivos OSSD sencillos y cableados cuando la función de seguridad no necesite conectividad, y reserve los dispositivos conectados en red o configurables para los casos en que sus prestaciones aporten verdadero valor: así mantendrá más reducidos tanto su expediente de seguridad como su expediente de ciberseguridad.

¿Sustituye el CRA a normas de seguridad funcional como la IEC 61496?

No. El Reglamento de Ciberresiliencia añade una dimensión de ciberseguridad; no cambia la seguridad funcional. Una cortina de luz de seguridad ESPE de Type 4 sigue teniendo que cumplir la IEC 61496-1 y la IEC 61496-2, la distancia de seguridad sigue fijándose mediante la ISO 13855, y el nivel de prestaciones (PL) o SIL requerido sigue decidiéndose conforme a la ISO 13849-1 o la IEC 62061. El CRA se sitúa junto a esas normas, abordando si el producto digital puede verse comprometido. Un dispositivo puede ser perfectamente conforme en seguridad funcional y aun así necesitar una consideración separada para la ciberseguridad si tiene elementos digitales dentro del ámbito.

Referencias y reglamentos citados

Reglamento (UE) 2024/2847 — Reglamento de Ciberresiliencia — El reglamento horizontal de ciberseguridad de la UE para productos con elementos digitales, en EUR-Lex.
Reglamento (UE) 2023/1230 — Reglamento de Máquinas — Reglamento de seguridad de máquinas de la UE que aborda la ciberseguridad de las funciones de seguridad.
Serie IEC 62443 — Seguridad de los sistemas de automatización y control industrial — Marco normativo voluntario para la ciberseguridad de los IACS.
IEC 61496-1 — Equipos de protección electrosensibles — Norma de ensayo de tipo para cortinas de luz de seguridad (ESPE).

Acerca de DAIDISIKE: Foshan DAIDISIKE Optoelectronics Technology Co., Ltd. es un fabricante de sensores de seguridad industriales con una larga trayectoria. Las familias de cortinas de luz de seguridad DQA, DQC, DQE, DQO, DQT4, MK y JER, los escáneres láser de seguridad de la serie DLD, el relé de seguridad DA31 y los sensores de proximidad están fabricados conforme a la IEC 61496 y se suministran a OEM de los sectores de automoción, electrónica, baterías, embalaje y manipulación de materiales. ¿Está abasteciendo componentes de seguridad para el mercado de la UE? Hable con nuestro equipo de ingeniería o explore la gama completa de cortinas de luz de seguridad DAIDISIKE.

Este artículo es información general, no asesoramiento jurídico ni de conformidad. Las obligaciones detalladas del Reglamento de Ciberresiliencia se establecen en el Reglamento (UE) 2024/2847 y sus anexos; para una evaluación vinculante de si un producto concreto está dentro del ámbito, consulte el texto oficial y a un profesional de cumplimiento cualificado. Las fechas y referencias regulatorias están vigentes a la fecha de publicación indicada arriba.

in X f r WA ✉︎P TG