Cyber Resilience Act (CRA) 2025: nuevo reto legal para fabricantes y desarrolladores de productos digitales en la UE

El Reglamento de Ciberresiliencia (Cyber Resilience Act), aplicable a partir del 11 de diciembre de 2027, establece requisitos horizontales de ciberseguridad para productos con elementos digitales que se comercialicen en la Unión Europea, incluyendo tanto dispositivos físicos conectados como programas informáticos. 

Cyber Resilience Act

Su objetivo principal es reducir las vulnerabilidades de ciberseguridad en los productos con elementos digitales desde su diseño hasta el final de su vida útil. Para ello, se obligará a los fabricantes a ofrecer actualizaciones de seguridad y a gestionar las vulnerabilidades durante el ciclo de vida del producto, protegiendo a los consumidores y a las empresas de ataques informáticos por fallos de seguridad en esos productos.

Dado que Cyber Resilience Act tiene como objeto reforzar la seguridad de los productos digitales en la UE, este afecta a los siguientes actores:

  • Fabricantes de productos con elementos digitales: Empresas que fabrican dispositivos electrónicos o softwares que se conectan a redes, siempre que sus productos se comercialicen en el mercado europeo.
  • Desarrolladores de código abierto: Estarán encargados de asegurar que sus programas cumplan con las exigencias de ciberseguridad que establece el reglamento.
  • Distribuidores e importadores: Como parte de la cadena de suministro, deben verificar que los productos digitales que comercializan respeten la normativa vigente. 
  • Proveedores de software y de tratamiento de datos a distancia: Siempre que sean parte del funcionamiento del producto digital.
  • Requisitos de diseño y desarrollo seguro

Los fabricantes deberán garantizar que todos los productos con elementos digitales hayan sido diseñados desde el principio, teniendo en cuenta la seguridad. Esto significa que la ciberseguridad debe ser parte esencial del proceso de diseño y fabricación del producto, incorporando mecanismos que reduzcan las probabilidades de ser vulnerado por ataques informáticos e implementando actualizaciones periódicas que garanticen una seguridad continua. 

  • Gestión del ciclo de vida

Los fabricantes deberán proporcionar actualizaciones de seguridad obligatorias para corregir vulnerabilidades que puedan ser descubiertas una vez que el producto esté en el mercado. Estas actualizaciones deben ser ofrecidas durante todo el tiempo en que el producto esté operativo, evitando que los dispositivos no reciban parches de seguridad después de pocos meses. 

  • Notificaciones de incidentes

En caso de que el fabricante tenga conocimiento de que uno de sus productos con elementos digitales presenta una vulnerabilidad que está siendo explotada activamente, poniendo en peligro la ciberseguridad de los usuarios, deberá cumplir con dos obligaciones de notificación:

  • Deberá enviar una primera notificación, sin demora indebida y, en todo caso, en un plazo de 24 horas desde que tenga conocimiento de la vulnerabilidad a la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Esta notificación deberá indicar en qué Estados miembros se ha comercializado el producto afectado.
  • Asimismo, deberá remitir una notificación más completa en un plazo máximo de 72 horas desde que tuvo conocimiento de la vulnerabilidad, salvo que ya haya facilitado dicha información previamente. Esta notificación deberá incluir: información general sobre el producto afectado; una descripción de la vulnerabilidad y de la manera en que está siendo explotada; las medidas correctoras o paliativas que haya adoptado el fabricante, así como las acciones que los usuarios pueden llevar a cabo y, además, deberá indicar, si procede, el grado de sensibilidad de la información notificada. 
  • Documentación técnica y marcado CE

El Cyber Resilience Act exige que todos los productos digitales afectados lleven el marcado CE, el cual certifica que cumplen con los requisitos esenciales de ciberseguridad establecidos en el reglamento. El marcado CE ya se usa para otros tipos de conformidad en productos vendidos en la Unión Europea y, ahora también avalará que los dispositivos o software son seguros frente a ciberamenazas. 

El fabricante será el responsable de garantizar que su producto cumple con el reglamento antes de colocar el marcado CE, el cual deberá ser visible, legible e indeleble en el producto, siendo una garantía reconocible de que el producto ha superado los controles de seguridad digital. Además, deberá redactar una declaración de conformidad por escrito, que mantendrá, junto con la documentación técnica, durante un período de diez años.

– Sanciones y régimen de responsabilidad 

El Reglamento CRA establece un régimen de sanciones económicas para garantizar que fabricantes, importadores y distribuidores cumplan con sus obligaciones de ciberseguridad. Cada Estado miembro de la UE deberá crear su propio sistema de sanciones, siempre siguiendo los principios marcados en el reglamento. 

Las sanciones varían según el tipo y gravedad de la infracción, por ello, existen distintas clases de sanciones:

  • Incumplimiento de los requisitos esenciales de ciberseguridad: Se podrán imponer multas de hasta 15 millones de euros o el 2,5% del volumen de negocio anual mundial para las infracciones más graves.
  • Incumplimiento de otras obligaciones establecidas en el reglamento: Para infracciones menos graves, las sanciones podrán alcanzar los 10 millones de euros o el 2% del volumen de negocio anual mundial.
  • Presentación de información incorrecta, incompleta o engañosa: Podrán ser sancionadas con hasta 5 millones de euros o el 1% del volumen de negocio anual mundial. 

– ¿Qué deben hacer las empresas?

El Cyber Resilience Act establece nuevas obligaciones para los fabricantes y vendedores de productos digitales, con el objetivo de aumentar la seguridad y fiabilidad de estos productos en el mercado europeo. Para adaptarse a este nuevo marco normativo, las empresas deberán llevar a cabo una serie de pasos clave que garantizan tanto la conformidad legal como la protección de los usuarios.

Los principales pasos a seguir son los siguientes:

  • Realizar un diagnóstico Cyber Resilience Act detallado

El primer paso para las empresas es evaluar si sus productos digitales están afectados por el reglamento. Esto incluye responder preguntas clave como: ¿Fabrican o venden productos digitales? ¿Incorporan software libre en sus productos? ¿Cuentan con un plan estructurado para llevar a cabo actualizaciones de seguridad periódicas? Esta fase de diagnóstico es crucial para identificar las áreas donde se deben implementar mejoras y para comprender el nivel de riesgo que implican sus productos.

  • Adaptación técnica y legal

Una vez realizado el diagnóstico, es fundamental que las empresas revisen su cadena de suministro, asegurando que todos los componentes y servicios asociados cumplen con los requisitos de seguridad del Cyber Resilience Act. Esto incluye incorporar cláusulas contractuales específicas con terceros proveedores y colaboradores, que garanticen el cumplimiento de los estándares de ciberseguridad. Además, es necesario documentar la conformidad del producto, realizar pruebas de seguridad continuas y establecer protocolos claros para la respuesta rápida y eficaz ante incidentes de seguridad. 

  • Compliance y ciberseguridad como elementos estratégicos

El Reglamento CRA representa una oportunidad para que las empresas refuercen su responsabilidad proactiva en materia de seguridad. De este modo, el reglamento exige que los fabricantes de productos digitales adopten un enfoque integral en la ciberseguridad. Esta integración de compliance y seguridad debe convertirse en un pilar estratégico de las empresas, aportando confianza a sus clientes y consiguiendo ventajas competitivas en el mercado.

Imagen: freepik

Publicaciones Similares