El Reglamento CRA, conocido como Ley de Ciberresiliencia (Cyber Resilience Act), es la primera norma de la UE que establece requisitos obligatorios de ciberseguridad para los productos que incluyen elementos digitales a lo largo de todo su ciclo de vida, cuyo objetivo es proteger a las personas consumidoras y empresas, asegurando altos estándares de seguridad en el diseño, desarrollo y mantenimiento de hardware y software de los dispositivos digitales.
De qué trata esta nueva ley? ¿Qué marco legal establece?
El pasado 15 de septiembre de 2022, la Comisión Europea presentó una propuesta para mejorar la seguridad de los dispositivos a nivel de hardware y software, frente al masivo ataque que está sucediendo sin precedentes, tanto a nivel corporativo como doméstico, con los dispositivos digitales.
Esto ha sido fomentado por el aumento del teletrabajo, del número de dispositivos conectados, de la consolidación tecnológica y la mayor digitalización en sectores más tradicionales. Factores que suponen un avance, tanto a nivel social como económico, pero que generan un aumento de riesgo ciber muy difícil de anticipar, mitigar y minimizar. La superficie de ataque aumenta y es necesario proteger los ecosistemas IoT emergentes, así otras causas que se han identificado en los últimos años que usan las organizaciones cibercriminales a raíz de esta nueva arquitectura que se genera con diferentes capas tecnológicas, en diferentes etapas del ciclo de vida del producto, nuevas vulnerabilidades y tipos de ataque.
Esta norma surge a raíz de la necesidad de abordar “dos problemas importantes que suponen un aumento de los costes para las personas usuarias y la sociedad: un bajo nivel de ciberseguridad de los productos con elementos digitales, que se refleja en vulnerabilidades generalizadas y en la oferta insuficiente e incoherente de actualizaciones de seguridad para hacerles frente, y la insuficiencia de la comprensión de la información y del acceso a ella por parte de las personas usuarias, que les impide elegir productos con las características de ciberseguridad adecuadas o utilizarlos de manera segura”.
El Reglamento tiene por objeto fijar condiciones que permitan el desarrollo de productos con elementos digitales seguros, garantizando que los productos consistentes en equipos y programas informáticos se comercialicen con menos vulnerabilidades y que los fabricantes apuesten por la seguridad a lo largo de todo el ciclo de vida del producto. También permitirá a las personas usuarias tener en cuenta la ciberseguridad a la hora de adquirir productos con elementos digitales, mejorando entre otros la transparencia con respecto al período de soporte.
El propósito de la ley es responsabilizar más a las empresas vendedoras y proveedoras, obligándolos a brindar soporte de seguridad y actualizaciones de software para solucionar las vulnerabilidades identificadas a lo largo del ciclo de vida del producto y brindar a las personas consumidoras más información sobre los productos en el mercado.
Aunque la aplicación plena no se producirá hasta diciembre de 2027, algunas disposiciones, como la notificación de vulnerabilidades, entrarán en vigor antes, a partir de 2026. Por lo tanto, el reglamento será aplicable:
de forma general, desde el 11 de diciembre de 2027;
desde el 11 septiembre de 2026, lo relativo a las obligaciones de información de los fabricantes;
desde el 11 de junio de 2026, lo relativo a la notificación de los organismos de evaluación de la conformidad.
Esto se debe a que las empresas fabricantes disponen de un plazo de hasta 36 meses desde la entrada en vigor de la norma para adaptarse a su cumplimiento.
¿A quién afecta la ley?
La Ley de Ciberresiliencia afecta a una amplia gama de actores en el mercado digital, incluyendo:
Empresas Fabricantes de productos digitales: tanto las ubicadas dentro de la UE como fuera de ella, siempre que sus productos se comercialicen en el mercado europeo.
Empresas Desarrolladoras de software: responsables de garantizar que sus aplicaciones cumplan con los requisitos de ciberseguridad establecidos.
Empresas Distribuidoras e importadoras: actuando como intermediarios en la cadena de suministro de productos digitales, deben asegurar que los productos que manejan cumplen con la normativa.
Otras empresas involucradas: empresas de reventa de productos, siempre que participen en el suministro de productos afectados en el mercado europeo.
La definición de productos con elementos digitales es muy amplia e incluye cualquier producto de software o hardware, así como cualquier software o hardware no incorporado al producto, pero introducido en el mercado por separado, es decir, se aplica a todos los productos conectados directa o indirectamente a otro dispositivo o red, excepto las exclusiones especificadas en el reglamento, como el software de código abierto, o servicios que ya están contemplados por otras normativas, como es el caso de los dispositivos de seguimiento médico, la aviación civil o los vehículos.
Estos productos deben disponer de la marca CE para demostrar su conformidad con los nuevos requisitos.
La Ley de Ciberresiliencia establece una clasificación detallada de los productos con elementos digitales, basada en los factores de riesgo que presentan. Esta clasificación se divide en cuatro categorías principales:
Productos importantes:
Clase I
Clase II
Productos críticos
No clasificados. Se asigna a aquellos productos que no presentan vulnerabilidades críticas de ciberseguridad. Las empresas responsables de estos productos deben llevar a cabo autoevaluaciones periódicas para identificar posibles vulnerabilidades y aplicar las mejoras necesarias para garantizar la seguridad.
Los productos que no entran en esta categoría se clasifican en importantes del anexo III (clase I, clase II) o críticos del anexo IV, según su nivel de riesgo. Esta clasificación se basa en una serie de factores de riesgo identificados en la ley, que incluyen la potencial explotación de vulnerabilidades y el impacto que dichas vulnerabilidades podrían tener en la seguridad de los usuarios y la infraestructura digital.
Los productos importantes requieren un nivel de seguridad robusto, mientras que los productos críticos deben cumplir con estándares de seguridad aún más estrictos debido a su mayor riesgo potencial.
Requisitos de ciberseguridad para el diseño, desarrollo y producción de productos que contengan elementos digitales, así como las obligaciones de las fabricantes relacionadas con estos productos. Esto incluye la eliminación proactiva de vulnerabilidades y la implementación de actualizaciones periódicas para garantizar la seguridad continua.
Creación de normas sobre la comercialización de productos que contengan elementos digitales para avalar su ciberseguridad antes de ser introducidos en el mercado.
Garantizar que los fabricantes mejoren la seguridad del producto con elementos digitales desde la etapa de diseño y desarrollo y durante todo el ciclo de vida.
Establecer requisitos esenciales para los procesos de gestión de vulnerabilidades determinados por las empresas fabricantes para garantizar la ciberseguridad de los productos que contengan elementos digitales durante su ciclo de vida, así como las obligaciones de las empresas relacionadas con estos procesos. Las empresas fabricantes deben notificar a las autoridades competentes sobre cualquier vulnerabilidad descubierta dentro de las 24 horas posteriores a su detección. Además, se establece que se debe dar soporte a las vulnerabilidades durante todo el ciclo de vida del software o durante 5 años, todo de manera efectiva.
Proporcionar un marco de ciberseguridad que facilite el cumplimiento por parte de los fabricantes de hardware y software, alineado con otras normativas vigentes, como, por ejemplo, el Reglamento General de Protección de Datos.
Transparencia para las personas consumidoras: proveer información precisa y actualizada sobre las características de seguridad de los productos. Esto ayudará a las personas consumidoras a tomar decisiones informadas y a confiar en los productos que compran.
Apoyo a pymes y medianas empresas con guías y directrices específicas para facilitar su cumplimiento.
En conclusión, esta nueva ley establece unas bases para asegurar que la resiliencia en ciberseguridad sea una prioridad, aumentando así la seguridad de las personas usuarias finales.
FUENTE: INCIBE