El 20 de noviembre de 2024, la UE publicó ‘The Cyber Resilience Act (CRA)’ en su Diario Oficial, estableciendo un nuevo marco para fortalecer la ciberseguridad en los productos digitales. Este reglamento introduce normas consistentes para abordar vulnerabilidades, mejorar la seguridad y garantizar que los productos digitales sean seguros durante todo su ciclo de vida.
¿Qué es el Reglamento de Ciberresiliencia?
El CRA establece estándares obligatorios de ciberseguridad para productos con elementos digitales (PDE), como dispositivos conectados, software y tecnología IoT. Su objetivo es unificar las normas de ciberseguridad, reemplazar regulaciones nacionales fragmentadas y reducir los riesgos asociados con productos inseguros.
Objetivos Principales
- Mejorar la Seguridad: Garantizar que los productos digitales estén diseñados y mantenidos para enfrentar riesgos de ciberseguridad.
- Aumentar la Transparencia: Exigir que los fabricantes informen sobre las prácticas de seguridad y los periodos de soporte.
- Simplificar el Cumplimiento: Proporcionar un marco armonizado para las empresas que operan en varios países de la UE.
¿Quiénes Deben Cumplir?
El CRA se aplica a fabricantes, importadores, distribuidores y minoristas de PDE en la UE. Se excluyen sectores como los dispositivos médicos y los sistemas de automoción, que ya están regulados por otras normativas existentes.
¿Cuáles Son los Requisitos Clave?
Obligaciones Principales
- Diseño Seguro: Los productos deben incluir medidas para proteger los datos de los usuarios y prevenir vulnerabilidades.
- Evaluaciones de Riesgos: Los fabricantes deben evaluar y documentar los riesgos de ciberseguridad a lo largo del ciclo de vida del producto.
- Actualizaciones Continuas: Se deben proporcionar actualizaciones de seguridad regularmente para solucionar vulnerabilidades.
Los productos de alto riesgo, como cortafuegos y gestores de contraseñas, estarán sujetos a pruebas más rigurosas, incluidas evaluaciones de terceros para garantizar el cumplimiento con los estándares del CRA.
Apoyo a las PYMES
Reconociendo los desafíos que enfrentan las pequeñas y medianas empresas (PYMES), el CRA ofrece orientaciones simplificadas para facilitar el cumplimiento. Además, los proyectos de software de código abierto destinados a uso comercial también se beneficiarán de requisitos regulatorios reducidos.
¿Cómo Se Aplicará el CRA?
Supervisión y Sanciones
- Monitoreo: ENISA y las autoridades nacionales supervisarán el cumplimiento a través de inspecciones coordinadas.
- Sanciones por Incumplimiento: Las infracciones graves pueden resultar en multas de hasta 15 millones de euros o el 2,5 % de la facturación global anual.
Las autoridades también llevarán a cabo inspecciones regulares (“sweeps”) para garantizar que las empresas cumplan con los estándares del CRA, con un enfoque especial en asuntos transfronterizos.
Calendario de Implementación
- Junio de 2026: Comienzan las notificaciones de conformidad para los organismos de evaluación.
- Septiembre de 2026: Entran en vigor las normas sobre notificación de incidentes.
- Diciembre de 2027: Se aplican todos los requisitos del CRA.
El Reglamento de Ciberresiliencia de la UE representa un cambio importante para mejorar la seguridad y la transparencia de los productos digitales. Se anima a los fabricantes y empresas a prepararse desde ahora evaluando sus prácticas actuales, identificando brechas y alineando sus procesos con los requisitos del CRA. Actuar con antelación ayudará a garantizar una transición sin problemas y a mantener la preparación para el mercado.