El Cyber Resilience Act (CRA) es un Reglamento de la Unión Europea (Reglamento (UE) 2024/2847) aprobado el 23 de octubre de 2024 y que entró en vigor el 10 de diciembre de 2024, pero no es de obligada aplicación hasta el 11 de diciembre de 2027. No obstante, el reglamento establece plazos intermedios de aplicación que deben tenerse en cuenta para determinadas obligaciones:
▪️A partir del 11 de junio de 2026 entra en aplicación los aspectos relativos a la notificación y designación de los organismos de evaluación de la conformidad (Capítulo IV - artículos 35 a 52).
▪️ Tras esto, a partir del 11 de septiembre de 2026 entra en aplicación el Artículo 14, el cual regula las obligaciones de información de los fabricantes respecto a las vulnerabilidades explotadas activamente e incidentes graves de seguridad.
▪️ Desde el 11 de diciembre de 2027 entra en aplicación el resto del Reglamento, estableciéndose la obligación de conformidad para todos los productos incluidos en el ámbito del CRA.
| Fechas relevantes | |
| Antes del 11 de junio de 2026 | Los Estados miembros deberán tener sistemas para designar cuerpos de evaluación de conformidad y prepararse para certificaciones |
| 11 de septiembre de 2026 | Incluso productos ya vendidos debe reportar vulnerabilidades explotadas activamente e incidentes graves |
| 11 de septiembre de 2027 | Ningún producto con elementos digitales puede comercializarse en el mercado de UE sin cumplir todos los requisitos del CRA |
| Aplicación de fechas relevantes | ||
| Producto Vendido | Vulnerabilidad / Incidente detectado | ¿Obligación CRA? |
| Antes del 11/09/2026 | Antes del 11/09/2026 | No (CRA no aplica aún) |
| Antes del 11/09/2026 | Después del 11/09/2026 | Si (si explotada y en soporte -> notificación) |
| Antes del 11/12/2027 | Después del 11/12/2027 | Si (si dentro de soporte -> gestión completa) |
| Después del 11/12/2027 | En adelante | Si (CRA en su totalidad) |
| Fura de soporte | En cualquier fecha | sin obligación de CRA |
NOTA: CRA Aplica a cualquier unidad del producto fabricado después del 11/12/2027 (FAQ 7.2)
El objetivo del CRA es reforzar la ciberseguridad de los productos con elementos digitales comercializados en la Unión Europea. Esta normativa busca asegurar que los productos con elementos digitales comercializados en el mercado europeo mantengan altos estándares de ciberseguridad desde su desarrollo y a lo largo de toda su vida útil, reduciendo la presencia de vulnerabilidades. Para cumplir esto, el CRA exige que las medidas de protección y los mecanismos de gestión se incorporen desde la fase de diseño y se mantenga mediante soporte y actualizaciones aplicadas tras su comercialización. De este modo, solo los productos que cumplan estos requisitos pueden obtener el marcado CE y ser distribuidos legalmente en el mercado europeo.
Al establecer un nivel mínimo de referencia obligatoria para las prácticas de ciberseguridad, se beneficia tanto a consumidores como a las empresas, ya que no solo se protege a los usuarios frente a los riesgos crecientes, sino que también se impulsa un entorno digital más seguro y fiable en toda la Unión Europea.
El CRA es aplicable a cualquier organización que fabrique, desarrolle, importe o distribuya cualquier producto con elementos digitales (ya sea software o hardware) dentro de la Unión Europea, así como cualquier software o hardware que no esté integrado en el producto pero que se venda por separado. Es decir, cualquier producto conectado de forma directa o indirecta a otro dispositivo o red, a excepción del software de código abierto o servicios que ya estén contemplados por otras normativas reguladoras.
De esta manera, el alcance del CRA incluye:
▪️Fabricantes de productos con elementos digitales: tanto empresas establecidas en la Unión Europea como fuera de ella, siempre que los productos se introduzcan o se comercialicen en el mercado europeo.
▪️ Desarrolladores de software: responsables de diseñar y mantener las aplicaciones para que cumplan con los requisitos de ciberseguridad establecidos en la normativa.
▪️ Importadores y distribuidores: intermediarios en la cadena de suministro de los productos y, por tanto, deben asegurarse de que los productos distribuidos o comercializados cumplen con la normativa.
▪️ Otros operadores: revendedores o cualquier otra entidad involucrada en la comercialización de los productos dentro del entorno de la UE.
En términos prácticos, el CRA establece una clasificación detallada de los productos a los que aplica basándose en el nivel de riesgo que presentan. Esta clasificación de menor a mayor riesgo se divide en:
▪️ No clasificados: corresponde al 90% de los productos del mercado, cuyo nivel de riesgo es bajo o estándar. Las empresas responsables de estos productos deben realizar autoevaluaciones periódicas para identificar vulnerabilidades y aplicar mejoras que garanticen la seguridad.
▪️ Importantes: productos que prestan un mayor riesgo de ciberseguridad.
▫️Clase I: productos con riesgo medio-alto que requieren de la aplicación de normas
armonizadas o de la evaluación por un tercero. Incluyen elementos como: gestores de
contraseñas, navegadores independientes e integrados, sistemas de gestión de redes,
gestores de arranque, sistemas operativos, interfaces físicas y virtuales de red, etc.
▫️ Clase II: productos con riesgo alto que requieren de la evaluación por un tercero, salvo
casos muy específicos que se apliquen normas armonizadas completas. Incluyen
elementos como: hipervisores o sistemas de ejecución de contenedores que permiten la
ejecución virtualizada de SSOO y entornos equivalentes, cortafuegos, sistemas de
detección y prevención de intrusiones, microprocesadores resistentes a manipulaciones,
etc.
▪️ Críticos: productos que, si llegan a ser manipulados de forma indebida, pueden afectar de forma negativa a un gran número de sistemas. Para evaluar estos productos es necesario realizar una evaluación externa u obtener una certificación europea de ciberseguridad. Incluye elementos como: dispositivos de equipos informáticos con cajas de seguridad, pasarelas de contadores inteligentes dentro de sistemas de medición inteligente (según lo definido en el Artículo 2, punto 23 de la Directiva UE 2019/944), o tarjetas inteligentes o dispositivos similares que incluyen elementos seguros.
Cualquier producto bajo esta normativa debe llevar el marcado CE para indicar que cumple con los requisitos. Este cumplimiento no es un evento estático, es decir, las organizaciones deben garantizar el soporte de seguridad y la aplicación de parches durante toda la vida útil del producto, y notificar a las autoridades competentes cualquier incidente detectado.
El CRA se sostiene sobre distintos principios fundamentales que determinan su enfoque regulador y cuyo objetivo es equilibrar el progreso tecnológico con medidas de protección eficaces, evitando imponer cargas excesivas:
▪️ Protección desde el diseño y por defecto: la ciberseguridad se debe incorporar desde la fase de diseño, garantizando que se ofrecen productos con configuraciones iniciales seguras que respalden al usuario de forma automática.
▪️ Gestión del ciclo de vida completo: la responsabilidad del fabricante no termina una vez lanzado el producto al mercado, sino que se exige un compromiso permanente con el producto, monitorizando, identificando y corrigiendo vulnerabilidades por medio de la aplicación de parches y actualizaciones de seguridad a lo largo de la vida útil del producto.
▪️ Enfoque basado en riesgos: como el nivel de exigencia varía en función del tipo de producto, los requisitos de la normativa son adaptados al nivel de riesgo, a la criticidad del producto, el uso previsto de este y el impacto potencial dentro del entorno digital.
▪️ Responsabilidad compartida: todos los actores implicados en el ciclo de vida del producto tienen responsabilidad sobre este, tanto el fabricante como los importadores y distribuidores deben verificar el cumplimiento de la normativa, garantizando que el producto sea seguro a lo largo de todo el proceso de comercialización.
▪️ Transparencia y trazabilidad: es necesario que los usuarios tengan acceso de forma sencilla a toda la información de seguridad del producto, desde qué medidas de seguridad incorpora, hasta cuánto tiempo estará soportado y qué vulnerabilidades se han detectado y se han subsanado.
Para garantizar el marcado CE y poder comercializar los productos en el mercado de la UE, los fabricantes deben demostrar el cumplimiento de algunos requisitos fundamentales en materia de ciberseguridad, entre los que se encuentran:
▪️Disponer de documentación técnica: elaborar y mantener documentación detallada del producto, acompañada de un análisis de riesgos actualizado que asegure el cumplimiento de la normativa.
▪️Gestión de vulnerabilidades: implantar procedimientos para detectar, registrar y corregir cualquier vulnerabilidad, así como tener la obligación de informar a las autoridades competentes (CSIRT o ENISA) en el caso de tener incidentes graves.
▪️Actualizaciones de seguridad: disponer de sistemas de aplicación de actualizaciones o parches de forma automática o con mínima intervención de un usuario, garantizando la corrección de fallos de seguridad.
▪️Protección de los datos: adoptar controles robustos para garantizar la seguridad de los datos (ya sea en reposo, en uso o en tránsito), junto con medidas eficaces para prevenir accesos no autorizados.
▪️Obligación de notificación: obligación de comunicar a la Agencia de la Unión Europea de Ciberseguridad (ENISA) cualquier incidente de seguridad en un plazo de 24 horas, además de comunicar a los usuarios del producto cualquier incidente que ocurra.
El cumplimiento de estos requisitos obliga a las organizaciones a reforzar sus procesos de desarrollo, prueba y mantenimiento, promoviendo la colaboración entre distintos ámbitos como equipos de negocio, técnicos y legales.
En conclusión, el CRA supone un avance decisivo en la evolución de la ciberseguridad en la Unión Europea al convertir la seguridad de los productos con elementos digitales en un requisito obligatorio, ya que se impulsa un mercado más fiable y robusto frente a amenazas cada vez más difíciles de enfrentar.
Aunque este nuevo reglamento supone un reto importante para los fabricantes y empresas europeas, la necesidad de comprender e implantar sus requisitos es esencial, ya que es una oportunidad de avanzar hacia una resiliencia digital más sólida y duradera, protegiendo a los usuarios y contribuyendo a un entorno digital más seguro y preparado para el futuro.
Referencias
https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=OJ:L_202402847