Una nueva encuesta muestra que los desarrolladores y organizaciones de código abierto siguen en gran medida sin estar preparados para la Ley de Ciberresiliencia de la Unión Europea a pesar de un año de esfuerzos de concienciación. El Informe de Concienciación y Preparación para la CRA de 2026 reveló que el desconocimiento de la normativa aumentó al 66 por ciento, frente al 62 por ciento de 2025.
El informe, publicado a principios de junio por LF Research, OpenSSF, Balena, Ericsson y Revanite, encuestó a un grupo más amplio que incluía a más participantes de Estados Unidos y Canadá. En esa región, el 72 por ciento afirmó no estar familiarizado con las normas que se aplicarán a los productos vendidos en el mercado de la UE.
Persisten lagunas clave entre quienes conocen la CRA. Aproximadamente el 40 por ciento no ha determinado si la normativa se aplica a su trabajo. Solo el 34 por ciento identificó correctamente diciembre de 2027 como la fecha límite de cumplimiento total. Solo el 41 por ciento de los fabricantes espera cumplir ese plazo, mientras que el 39 por ciento sigue sin estar seguro.
Otros indicadores se mantuvieron estables o empeoraron. El porcentaje de encuestados que elaboran una Lista de Materiales de Software (SBOM) para todos sus productos se mantuvo en el 32 por ciento. La dependencia de proyectos upstream para las correcciones aumentó al 51 por ciento. El informe también señaló un incremento interanual del 394 por ciento en las CVE publicadas en más de 14.000 proyectos durante el primer trimestre de 2026.