No te pierdas nuestros contenidos
SuscribirmeEl Reglamento (UE) 2024/2847, conocido como Reglamento de Ciberresiliencia (CRA, por sus siglas en inglés), marca un antes y un después en la regulación de la ciberseguridad en la Unión Europea, estableciendo un marco jurídico uniforme en materia de ciberseguridad para la introducción de productos con elementos digitales en el mercado de la Unión.
A menos de un año para la aplicación de algunas de sus disposiciones, todos los operadores implicados en la cadena de valor de productos con elementos digitales deben conocer y preparar el cumplimiento de sus obligaciones. Concretamente, su aplicación plena tendrá lugar a partir del 11 de diciembre de 2027, mientras que las obligaciones de notificación de vulnerabilidades serán ya aplicables desde el 11 de septiembre de 2026.
¿A quién afecta el Reglamento de Ciberresiliencia?
El CRA se aplica a todos los productos con elementos digitales (hardware y software) que se comercialicen en la UE y cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta. Esto abarca desde dispositivos IoT, sistemas operativos, aplicaciones, hasta soluciones de gestión de redes y plataformas de software. Quedan excluidos, entre otros, los productos regulados por normativa sectorial específica y aquellos desarrollados exclusivamente para fines militares o de seguridad nacional.
Obligaciones principales para los operadores económicos
El CRA establece obligaciones diferenciadas para fabricantes, importadores, distribuidores y representantes autorizados. A continuación, se resumen las principales obligaciones aplicables:
1. Fabricantes:
· Seguridad desde el diseño y cumplimiento de los requisitos esenciales: El CRA exige el cumplimiento de los denominados “requisitos esenciales de ciberseguridad”, recogidos en su Anexo I. Estos requisitos abarcan, entre otros aspectos, la obligación de comercializar los productos sin vulnerabilidades conocidas, garantizar una configuración segura por defecto, implementar mecanismos de control de acceso, proteger los datos personales y minimizar la exposición a riesgos mediante la reducción de la superficie de ataque. Además, los productos deben estar preparados para recibir actualizaciones de seguridad de forma eficaz y permitir la gestión y mitigación de vulnerabilidades durante todo su ciclo de vida.
· Evaluación y gestión de riesgos: Deben realizar evaluaciones rigurosas para identificar y mitigar riesgos de ciberseguridad, manteniendo registros detallados de las medidas adoptadas. Para la mayoría de los productos, el fabricante puede optar por un procedimiento de control interno. Sin embargo, para los productos clasificados como “importantes” (Anexo III) o “críticos” (Anexo IV), el CRA exige procedimientos más estrictos, que pueden requerir la intervención de organismos de control para verificar la conformidad con los requisitos esenciales de ciberseguridad.
· Documentación y marcado CE: Es obligatorio mantener la documentación técnica y la declaración de conformidad de la UE, así como asegurar que los productos lleven el marcado CE antes de su comercialización.
· Actualizaciones y gestión de vulnerabilidades: Los fabricantes deben establecer procesos para gestionar vulnerabilidades durante todo el ciclo de vida del producto, proporcionando actualizaciones de seguridad y parches cuando sea necesario.
· Notificación de incidentes: Están obligados a notificar vulnerabilidades explotadas e incidentes graves a ENISA y al CSIRT designado, siguiendo plazos estrictos (24 horas para advertencia temprana, 72 horas para informe intermedio y un mes para informe final). Esta obligación, concremente, será aplicable a partir del 11 de septiembre de 2026.
· Información al usuario: Deben proporcionar información e instrucciones claras a los usuarios y autoridades, accesibles durante al menos diez años o el periodo de soporte, lo que sea más largo.
2. Importadores y distribuidores:
· Verificación de conformidad y seguridad: Tanto importadores como distribuidores deben asegurarse de que los productos que introducen o comercializan en el mercado cumplen con los requisitos de ciberseguridad establecidos en el Reglamento, incluyendo la verificación del marcado CE y la documentación técnica.
· Supervisión y vigilancia continua: Deben mantener la vigilancia sobre posibles problemas de seguridad y tomar medidas correctivas si detectan que un producto no cumple con el Reglamento, incluyendo la retirada del producto del mercado si es necesario.
· Gestión de riesgos de terceros: Deben comprobar que los componentes de terceros cumplen con los estándares de ciberseguridad.
· Colaboración con autoridades: Están obligados a cooperar con las autoridades de vigilancia del mercado y facilitar la documentación necesaria para demostrar la conformidad del producto.
· Asunción de obligaciones de fabricante: Si el importador o distribuidor comercializa el producto bajo su propio nombre o marca, o realiza modificaciones sustanciales, asume las obligaciones del fabricante.
3. Representantes autorizados:
· Deben mantener la documentación y la declaración de conformidad a disposición de las autoridades durante al menos 10 años o el período de soporte.
· Están obligados a cooperar con las autoridades en la gestión de riesgos y medidas correctoras (art. 18.3.b y c).
Sanciones y régimen transitorio
El CRA exige que los Estados miembros establezcan un régimen sancionador efectivo, proporcionado y disuasorio para las infracciones, no obstante, el CRA fija los importes máximos de las sanciones:
· Infracciones de los requisitos esenciales de ciberseguridad, de la notificación de vulnerabilidades y de otras obligaciones principales de los fabricantes: hasta 15 millones de euros o el 2,5% del volumen de negocios anual total mundial del infractor, la cifra que sea mayor.
· Infracciones de las obligaciones de documentación, procedimientos y cooperación con autoridades: hasta 10 millones de euros o el 2% del volumen de negocios anual total mundial del infractor, la cifra que sea mayor.
· Proporcionar información incorrecta o engañosa a las autoridades: hasta 5 millones de euros o el 1% del volumen de negocios anual total mundial del infractor, la cifra que sea mayor.
Asimismo, se prevén exenciones para microempresas y pequeñas empresas en ciertos supuestos, así como para administradores de software de código abierto.
El Reglamento prevé un régimen transitorio: los productos ya comercializados antes del 11 de diciembre de 2027 solo estarán sujetos a las nuevas obligaciones si sufren una modificación sustancial tras esa fecha. Sin embargo, las obligaciones de notificación de vulnerabilidades serán aplicables a todos los productos en el mercado a partir del 11 de septiembre de 2026.
No te pierdas nuestros contenidos
Suscribirme