Dispoñible en castelán a Cyber Resilience Act da Unión Europea

Cyber Resilience Act
Empresas
Cidadanía
Lexislación

A Lei de ciberresiliencia (CRA) da Unión Europea establece requisitos obrigatorios para a seguridade de produtos dixitais, incluíndo hardware e software, distribuídos dentro do mercado único europeo. O seu obxectivo principal é garantir a protección de usuarios e organizacións contra a ameaza crecente dos riscos cibernéticos, promovendo a seguridade desde o deseño e esixindo o seu mantemento ao longo do ciclo de vida dos productos.

Alcance e obxectivos principais

A CRA abrangue dispositivos e software conectados, desde infraestruturas críticas ata produtos de consumo como dispositivos IoT. Os seus obxectivos inclúen:

  • Garantir seguridade end to-end, aplicable a todas as etapas do ciclo de vida do produto.
  • Establecer un marco coherente para o cumprimento normativo, con sancións claras en caso de incumprimento.
  • Mellorar a transparencia sobre as características de seguridade dos productos dixitais.
  • Facilitar un uso máis seguro de produtos con elementos dixitais tanto para consumidores como para empresas.

Obrigas clave

  1. Deseño seguro: Os fabricantes deben implementar estándares de ciberseguridade desde a etapa de desenvolvemento.
  2. Avaliacións de conformidade: Os produtos deben pasar probas para verificar o cumprimento dos estándares.
  3. Notificación de vulnerabilidades: As vulnerabilidades detectadas débense reportar nun prazo máximo de 24 horas.
  4. Actualizacións de seguridade: Os fabricantes deberán garantir un tempo mínimo de soporte para actualizacións de seguridade, aliñado coa vida útil esperada do produto.

Implicacións para as empresas

A CRA representa un cambio significativo para empresas que fabrican ou importan produtos dixitais en Europa. Os fabricantes deberanse adaptar a estes estándares, enfrontando sancións económicas por incumprimento. Ademais, as organizacións deberán axustar as súas estratexias de desenvolvemento e mercado para cumprir coa nova regulación.

A lei, ademais, complementa á directiva NIS2, mellorando a protección das cadeas de subministración e a notificación de incidentes críticos.

Publicación e prazos:

O texto legal foi publicado o 20 de novembro de 2024. Este paso marca o inicio da súa vixencia formal, coa lei entrando en vigor 20 días despois da súa publicación, é dicir, a partir do 11 de decembro de 2024.

As disposicións comezarán a aplicarse segundo os prazos establecidos, ata un límite máximo do 11 de decembro de 2027. Non obstante, o artigo 14 (Obrigas de información dos fabricantes) será aplicable a partir do 11 de setembro de 2026 e o capítulo IV (artigos 35 a 51) será aplicable a partir do 11 de xuño de 2026.

Información relacionada

Máis información
Regulamento - 2024/2847 - EN - EUR-Lex
Cyber Resilience Act Portal