Disponible en castellano a Cyber Resilience Act de la Unión Europea

La Ley de Ciberresiliencia (CRA) de la Unión Europea establece requisitos obligatorios para la seguridad de productos digitales, incluyendo hardware y software, distribuidos dentro del mercado único europeo. Su objetivo principal es garantizar la protección de usuarios y organizaciones contra la amenaza creciente de los riesgos cibernéticos, promoviendo la seguridad desde el diseño y exigiendo su mantenimiento a lo largo del ciclo de vida de los productos.

Alcance y objetivos principales

La CRA abarca dispositivos y software conectados, desde infraestructuras críticas hasta productos de consumo como dispositivos IoT. Sus objetivos incluyen:

• Garantizar seguridad end-to-end, aplicable a todas las etapas del ciclo de vida del producto.
• Establecer un marco coherente para el cumplimiento normativo, con sanciones claras en caso de incumplimiento.
• Mejorar la transparencia sobre las características de seguridad de los productos digitales.
• Facilitar un uso más seguro de productos con elementos digitales tanto para consumidores como para empresas.

Obligaciones clave

1. Diseño seguro: Los fabricantes deben implementar estándares de ciberseguridad desde la etapa de desarrollo.
2. Evaluaciones de conformidad: Los productos deben pasar pruebas para verificar el cumplimiento de los estándares.
3. Notificación de vulnerabilidades: Las vulnerabilidades detectadas deben reportarse en un plazo máximo de 24 horas.
4. Actualizaciones de seguridad: Los fabricantes deberán garantizar un tiempo mínimo de soporte para actualizaciones de seguridad, alineado con la vida útil esperada del producto.

Implicaciones para las empresas

La CRA representa un cambio significativo para empresas que fabrican o importan productos digitales en Europa. Los fabricantes deberán adaptarse a estos estándares, enfrentando sanciones económicas por incumplimiento. Además, las organizaciones deberán ajustar sus estrategias de desarrollo y mercado para cumplir con la nueva regulación.

La ley, además, complementa la Directiva NIS2, mejorando la protección de las cadenas de suministro y la notificación de incidentes críticos.

Publicación y plazos:

El texto legal fue publicado el 20 de noviembre de 2024. Este paso marca el inicio de su vigencia formal, con la ley entrando en vigor 20 días después de su publicación, es decir, a partir del 11 de diciembre de 2024.

Las disposiciones comenzarán a aplicarse según los plazos establecidos, hasta un límite máximo del 11 de diciembre de 2027. No obstante, el artículo 14 (Obligaciones de información de los fabricantes) será aplicable a partir del 11 de septiembre de 2026 y el capítulo IV (artículos 35 a 51) será aplicable a partir del 11 de junio de 2026.