¿Qué es el Reglamento de Ciberresiliencia (CRA)?

El REGLAMENTO (UE) 2024/2847 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de octubre de 2024 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, más conocido como Ley de Ciberresiliencia (Cyber Resilience Act), en adelante CRA, es el primer reglamento europeo que impone requisitos obligatorios de ciberseguridad para todos los productos que contienen elementos digitales, tanto hardware como software. Su objetivo es proteger a consumidores y empresas, asegurando altos estándares de seguridad en el diseño, desarrollo y mantenimiento durante todo el ciclo de vida de los dispositivos y aplicaciones digitales.

Este reglamento responsabiliza a fabricantes, desarrolladores y distribuidores, de dotar a sus productos de mecanismos para resistir ataques cibernéticos, mantener actualizaciones regulares y notificar vulnerabilidades emergentes. Los productos que cumplen con la CRA deben llevar el marcado CE, símbolo de seguridad verificada en el entorno europeo.

¿Qué productos se verán afectados?

Aquellos productos con elementos digitales los cuales abarcan una amplia gama de dispositivos y programas, incluyendo tanto software como hardware, ya sea integrado en un producto o comercializado de forma independiente. Esta definición se aplica a todos los productos que se conectan, de manera directa o indirecta, a otros dispositivos o redes, con excepción de los casos excluidos por el reglamento, como el software de código abierto o aquellos servicios regulados por otras normativas, como los dispositivos médicos de seguimiento, la aviación civil o los vehículos. Estos productos se clasifican:

¿A quién afecta la CRA?

La CRA tiene un alcance muy amplio, impactando a todo el ecosistema digital:

• Fabricantes de productos digitales: Tanto dentro de la Unión Europea como fuera de ella, si comercializan sus productos en el mercado europeo.
• Desarrolladores de software: Responsables de garantizar la ciberseguridad de sus aplicaciones.
• Distribuidores e importadores: Incluidos los intermediarios que operen en territorio UE.
• Proveedores de servicios digitales: Empresas de SaaS, plataformas en la nube, etc.

Obligaciones principales

1. Para los fabricantes

• Diseñar, desarrollar y producir sus productos garantizando la conformidad con requisitos esenciales de ciberseguridad desde el inicio, ejerciendo la debida diligencia al integrar componentes procedentes de terceros para que no comprometan la seguridad del producto final.
• Realizar una evaluación de riesgos de ciberseguridad asociados al producto.
• Garantizar un período mínimo de soporte de al menos 5 años (salvo excepciones justificadas).
• Divulgar las vulnerabilidades del producto.
• Proporcionar actualizaciones de seguridad gratuitas accesibles a los usuarios durante al menos 10 años (o todo el periodo de soporte, lo que sea más largo).
• Designar un punto de contacto único que permita a los usuarios comunicarse directa y rápidamente con ellos, y también facilitar la notificación de cualquier vulnerabilidad detectada en el producto.
• Notificar vulnerabilidades activamente explotadas e incidentes graves a las autoridades (CSIRT y ENISA).
• Elaborar y mantener la documentación técnica y la declaración UE de conformidad.
• Colocar el marcado CE en los productos conformes.

2. Para importadores y distribuidores

• Verificar que los productos cumplen con los requisitos de ciberseguridad antes de su comercialización.
• Informar a las autoridades si detectan riesgos significativos.
• Cooperar en la retirada o recuperación de productos no conformes.

3. Para administradores de software libre y de código abierto

• Establecer políticas de ciberseguridad.
• Cooperar con las autoridades de vigilancia del mercado.
• Pueden acogerse a certificaciones voluntarias.

¿Por qué es importante cumplir con la CRA?

Cumplir con la CRA supone grandes ventajas y evita sanciones importantes:

• Reducción de riesgos de ciberataques: Productos y servicios digitales más protegidos, menores riesgos de incidentes y fugas de información.
• Transparencia y confianza: El marcado CE permitirá a consumidores y empresas identificar productos comprobados y seguros, elevando la confianza en tu marca.
• Innovación competitiva: Obliga a diseñar productos con la seguridad “by design”, acelerando la transformación digital responsable y diferenciando a los actores más seguros.
• Evitar multas: El incumplimiento puede acarrear sanciones financieras graves, además de la retirada de productos inseguros.
• Mejor reputación: Las empresas que apuestan por la ciberresiliencia son elegidas por clientes más exigentes, mejorando su reputación y posicionamiento.
• Obligaciones legales y de mercado: El cumplimiento es un requisito indispensable para comercializar productos digitales en Europa. Aunque la aplicación completa del reglamento no será efectiva hasta diciembre de 2027, algunas obligaciones comenzarán a aplicarse antes, concretamente en 2026:
  • Desde el 11 de diciembre de 2027: entrada en vigor general del reglamento.
  • Desde el 11 de septiembre de 2026: comienzan a aplicarse las obligaciones de notificación por parte de los fabricantes.

Desde el 11 de junio de 2026: se activa la obligación de notificar a los organismos de evaluación de la conformidad.

¿Te preocupan las nuevas obligaciones de la CRA? ¡No te quedes atrás!

¿Fabricas, desarrollas o comercializas productos digitales? Adáptate ya y convierte la ciberseguridad en tu mejor argumento de venta.

• Implanta una metodología de desarrollo seguro.
• Establece procedimientos para la gestión de vulnerabilidades.
• Pon a prueba tus productos realizando un análisis de seguridad.
• Analiza los riesgos de tus productos con una metodología reconocida.
• Forma y protege a tu equipo.

Descubre nuestras soluciones u aporta valor añadido a tus clientes ofreciendo garantías de seguridad en tus productos.

Contacta hoy y anticipa tu cumplimiento. La confianza digital será la clave de tu crecimiento en Europa