El Cyber Resilience Act (CRA), presentado en 2023, representa un avance clave en la regulación digital de la Unión Europea. Esta normativa busca fortalecer la seguridad cibernética en el mercado digital europeo, promoviendo la resiliencia de productos conectados y servicios digitales. Esta nueva normativa representa una propuesta innovadora a nivel mundial para mejorar la seguridad de los dispositivos a nivel hardware y software. En este blog, desglosamos qué es el Cyber Resilience Act, cómo se aplica, a quién afecta y cuándo entrará en vigor.
I.- ¿Qué es el Cyber Resilience Act?
El Cyber Resilience Act (CRA) es una propuesta legislativa introducida por la Comisión Europea en septiembre de 2022. Busca asegurar que los productos digitales vendidos en la UE mantengan altos estándares de seguridad a lo largo de su vida útil, comercializándolos con menos vulnerabilidades. Para ello, establece requisitos mínimos de ciberseguridad y medidas de gobernanza que deben cumplir los fabricantes y proveedores.
La CRA se enmarca dentro de la estrategia de la UE para reforzar la soberanía digital y la confianza de los consumidores en el mercado único digital. El CRA se suma a iniciativas como el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, fortaleciendo el marco de protección frente a riesgos cibernéticos en constante evolución.
II.- Objetivos principales del Cyber Resilience Act
Reducir las vulnerabilidades en productos conectados a internet y servicios digitales.
Aumentar la transparencia respecto a la seguridad cibernética de los productos disponibles en el mercado.
Fomentar la responsabilidad de los fabricantes en caso de fallos de seguridad.
Proteger los derechos del consumidor, asegurando un nivel básico de ciberseguridad en los productos adquiridos.
III.- ¿Cómo se Aplica el Cyber Resilience Act?
El CRA establece un marco normativo que obliga a los fabricantes, importadores y distribuidores de productos digitales a cumplir con requisitos específicos en materia de ciberseguridad. A continuación, destacamos los aspectos más relevantes:
Requisitos de Seguridad
Los productos deben cumplir con requisitos técnicos y organizativos que garanticen su seguridad. Algunos de estos requisitos incluyen:
• Diseño y desarrollo seguros desde el principio (security by design).
• Actualizaciones de software regulares y sin costo adicional para corregir vulnerabilidades.
• Gestiones de contraseñas robustas y autenticación segura.
• Sistemas de detección de incidentes.
Evaluaciones de Conformidad
Los fabricantes deben realizar evaluaciones de riesgo y pruebas de conformidad antes de introducir productos en el mercado. Estas evaluaciones incluyen:
• Identificación de vulnerabilidades potenciales.
• Asegurarse de que el producto cumple con los estándares de seguridad establecidos por la CRA.
Supervisión y Cumplimiento
Las autoridades nacionales de vigilancia del mercado se encargan de supervisar el cumplimiento de la normativa. Los fabricantes también deben:
• Reportar cualquier incidente grave de seguridad a las autoridades pertinentes.
• Colaborar en investigaciones y auditorías realizadas por las autoridades reguladoras.
IV.- ¿A Qué Productos Aplica el Cyber Resilience Act?
El término empleado por la norma «productos con elementos digitales» abarca una amplia gama, incluyendo tanto software como hardware, así como software o hardware que no esté integrado en un producto, pero que se venda por separado.
De este modo, El Cyber Resilience Act se aplica a una amplia gama de productos digitales que tienen conexión directa o indirecta a la red, incluyendo:
Dispositivos IoT (Internet de las Cosas): tales como electrodomésticos inteligentes, sensores y dispositivos de automatización del hogar.
Software y aplicaciones: tanto para consumidores como para el entorno empresarial.
Hardware con capacidad de conectividad: como routers, cámaras de seguridad y dispositivos médicos que dependen de redes digitales.
Sistemas operativos y firmware: que son esenciales para el funcionamiento de los dispositivos conectados.
Exclusiones
No todos los productos digitales están bajo el ámbito de aplicación de la CRA. Algunos dispositivos médicos, sistemas de aviación y productos de defensa pueden estar exentos, ya que están regulados por normativas sectoriales específicas.
V.- ¿A Quién Aplica el Cyber Resilience Act?
El CRA afecta a un amplio espectro de actores del mercado digital. Esto incluye:
Fabricantes
Los fabricantes de productos digitales que se comercialicen en el mercado de la UE tienen la responsabilidad principal de cumplir con los requisitos de seguridad. Esto aplica tanto a empresas establecidas en la UE como a las internacionales que exportan sus productos al mercado europeo.
Importadores
Los importadores deben asegurarse de que los productos adquiridos fuera de la UE cumplan con los estándares de la CRA antes de ponerlos a disposición del consumidor.
Distribuidores
Los distribuidores también tienen la obligación de garantizar que los productos que comercializan cumplen con los requisitos establecidos por la CRA.
Proveedores de Servicios Digitales
Aunque la CRA se centra principalmente en productos, también incluye algunos servicios digitales que interactúan directamente con los productos en el mercado.
VI.- Exclusiones
No todos los productos digitales están bajo el ámbito de aplicación de la CRA. Algunos dispositivos médicos, sistemas de aviación y productos de defensa pueden estar exentos, ya que están regulados por normativas sectoriales específicas.
VII.- Entrada en Vigor
El Cyber Resilience Act ha avanzado significativamente en su proceso legislativo. Tras su adopción por el Consejo de la Unión Europea el 10 de octubre de 2024, la normativa fue publicada en el Diario Oficial de la UE el 20 de noviembre de 2024. Entró en vigor el 10 de diciembre de 2024, iniciando un período de implementación gradual.
Las obligaciones principales para los fabricantes y otros actores del mercado se aplicarán a partir del 11 de diciembre de 2027, brindando a las empresas un período de transición de tres años para adaptarse a los nuevos requisitos de ciberseguridad.
Es esencial que las organizaciones utilicen este tiempo para garantizar el cumplimiento de la normativa, fortaleciendo la seguridad de sus productos digitales y preparándose para las obligaciones que serán exigibles en diciembre de 2027.
VIII.- Sanciones por Incumplimiento
El Cyber Resilience Act establece multas severas para los incumplimientos. Las multas pueden llegar al 2,5% de los ingresos anuales de la empresa o a 15 millones de euros, dependiendo de cuál sea mayor. Estas sanciones buscan garantizar que las empresas prioricen la ciberseguridad como parte integral de sus operaciones.
IX.- Conclusiones
El Cyber Resilience Act representa un paso decisivo hacia un mercado digital más seguro en la Unión Europea. Su enfoque en la seguridad desde el diseño, la transparencia y la responsabilidad marca un precedente en la regulación cibernética global.
Consejos para las Empresas
Realiza una auditoría de ciberseguridad: Identifica vulnerabilidades en tus productos y servicios.
Adopta un enfoque de seguridad por diseño: Incorpora requisitos de seguridad desde las primeras etapas de desarrollo.
Capacita a tu personal: Asegúrate de que todos los involucrados entiendan las implicaciones del CRA.
Consulta con expertos legales y técnicos: Asegúrate de que tu empresa cumple con los requisitos establecidos.
Impacto Global
Aunque el CRA se aplica específicamente en la UE, su impacto podría extenderse más allá de las fronteras europeas. Las empresas internacionales que deseen operar en el mercado europeo tendrán que cumplir con estos requisitos, estableciendo un estándar global para la seguridad de productos digitales.
Hoy más que nunca, en un mundo tan conectado, la seguridad cibernética es una necesidad. Con leyes como el Cyber Resilience Act, se busca garantizar un internet más seguro para todos.
