El pasado del 10 de diciembre de 2024, entró en vigor el Reglamento de Ciberresiliencia de la Unión Europea (CRA, por sus siglas en inglés: Cyber Resilience Act), una nueva legislación clave destinada a mejorar la seguridad y resiliencia cibernética de los productos conectados a internet. Este reglamento establece un conjunto de normas para asegurar que los productos y servicios tecnológicos que se comercialicen en la UE cumplan con estrictos estándares de seguridad cibernética durante su ciclo de vida.

La mencionada normativa afecta principalmente a fabricantes de productos digitales, desarrolladores de software, distribuidores e importadores y otro tipo de actores incluyendo aquellos dedicados a la reventa de productos, siempre que participen en el suministro de productos afectados en el mercado europeo y supone:

 

1. Obligaciones de seguridad para productos y servicios conectados

• Diseño seguro: Los fabricantes deben garantizar que sus productos estén diseñados para resistir ataques cibernéticos y sean seguros desde su creación.
• Ciclo de vida completo: No solo deben ser seguros al momento de la venta, sino que también deben contar con actualizaciones de seguridad y mantenimiento a lo largo de su vida útil.

 

2. Gestión de riesgos

• Las empresas deben realizar una evaluación de riesgos cibernéticos antes de poner un producto en el mercado, identificando y mitigando las posibles vulnerabilidades.
• Deben aplicar medidas adecuadas para reducir los riesgos de ciberseguridad, estableciendo controles para minimizar las amenazas a la seguridad de los usuarios.

3. Actualizaciones de seguridad periódicas

• Los fabricantes tienen la obligación de proporcionar actualizaciones de seguridad para los productos que comercializan, asegurándose de que los usuarios puedan mantener sus dispositivos y servicios protegidos frente a nuevas vulnerabilidades.

 

4. Notificación de incidentes

• En caso de que se descubra una vulnerabilidad importante en sus productos, los proveedores deben notificar rápidamente a las autoridades y a los usuarios afectados. Esto permite una respuesta rápida ante posibles amenazas cibernéticas.

 

5. Transparencia hacia los consumidores

• Se requiere que las empresas informen de manera clara sobre las características de seguridad de sus productos, permitiendo a los consumidores tomar decisiones informadas sobre los productos que adquieren.
• También se incluye la obligación de informar sobre los riesgos asociados a los productos y las medidas que se han tomado para mitigar estos riesgos.

 

6. Supervisión y cumplimiento

• Los productos y servicios estarán sujetos a la supervisión de las autoridades nacionales y europeas. Las autoridades podrán realizar auditorías y verificar el cumplimiento de las normativas de seguridad.
• Se impondrán sanciones a aquellos fabricantes que no cumplan con las normas de ciberseguridad establecidas en la ley.

 

7. Ampliación de la responsabilidad de los proveedores

• No solo los fabricantes de hardware están sujetos a la ley, sino también los proveedores de servicios digitales, plataformas en línea y otros actores clave en el ecosistema digital. Todos deben garantizar que sus productos sean ciberseguro.

 

8. Nuevas normativas para dispositivos IoT

• La ley incluye disposiciones especiales para los dispositivos IoT (Internet de las Cosas), dada la creciente preocupación por las vulnerabilidades en estos dispositivos conectados. Estos dispositivos deben cumplir con requisitos de seguridad robustos y estar protegidos contra posibles ataques.

 

9. Fomento de la innovación y la competitividad

• A pesar de las estrictas regulaciones, el reglamento está diseñado para fomentar la innovación en el sector tecnológico, creando un entorno más seguro que aumente la confianza de los consumidores y usuarios en los productos tecnológicos.

 

10. Cooperación internacional

• La Ley de Ciberresiliencia también promueve la cooperación entre los estados miembros de la UE y con otros actores internacionales para fortalecer las normativas globales de seguridad cibernética, colaborando en la prevención y respuesta ante ciberamenazas.

 

En definitiva, el propósito de la ley es responsabilizar más a los vendedores y proveedores, obligándolos a brindar soporte de seguridad y actualizaciones de software para solucionar las vulnerabilidades identificadas a lo largo del ciclo de vida del producto y brindar a los consumidores más información sobre los productos en el mercado.

A pesar de entrar en vigor el 10/12/2024, no se llevará a cabo una aplicación plena, ya que no producirá sus efectos hasta diciembre de 2027, algunas disposiciones, como la notificación de vulnerabilidades, entrarán en vigor antes, a partir de 2026. Por lo tanto, el reglamento será aplicable:

• de forma general, desde el 11 de diciembre de 2027;
• desde el 11 septiembre de 2026, lo relativo a las obligaciones de información de los fabricantes;
• desde el 11 de junio de 2026, lo relativo a la notificación de los organismos de evaluación de la conformidad

Esto se debe a que los fabricantes dispondrán de un plazo de hasta 36 meses desde la entrada en vigor de la norma para adaptarse a su cumplimiento.

 

Publicado el 28 de Marzo de 2025
Por Alfredo Barroso
Departamento Jurídico