El 10 de diciembre de 2024 entró en vigor el Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, más conocido como Reglamento de Ciberresiliencia (CRA, por sus siglas en inglés). Establece requisitos de ciberseguridad para los productos con elementos digitales y modifica el ordenamiento anterior, principalmente el Reglamento (UE) n.º 168/2013, el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828.

El Reglamento de Ciberresiliencia representa un cambio significativo en la normativa de ciberseguridad en la UE con obligaciones claras para fabricantes y distribuidores, que repercuten en la mejor protección de consumidores y empresas al exigir productos más seguros en el mercado. En este blog ya se había prestado atención a la Propuesta de la Comisión

El Reglamento de Ciberresiliencia introduce normas horizontales aplicables a múltiples sectores, estableciendo requisitos mínimos de ciberseguridad en toda la UE para

• Mejorar la ciberseguridad de muchos productos y evitar la falta de actualizaciones de seguridad oportunas.
• Facilitar que los productos digitales sean seguros a lo largo de su ciclo de vida.
• Exigir a los fabricantes una supervisión continua de sus productos tras su comercialización.
• Obligar a la certificación de productos críticos mediante organismos de certificación especializados.

Tambre

El CRA define los productos digitales en su artículo 3, como: «Programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado.»

En términos simples, los productos digitales son cualquier producto de software o hardware que incorpore elementos digitales y esté conectado directa o indirectamente a otro dispositivo o red.

El Reglamento se aplica a todos los productos digitales que puedan suponer un riesgo para la ciberseguridad dentro del mercado de la UE. No obstante, establece excepciones para algunos sectores ya regulados, como los productos sanitarios, la aviación y la automoción. También quedan excluidos ciertos productos de software de código abierto que ya cuentan con normas específicas. Además, introduce disposiciones particulares para repuestos de componentes, estableciendo que estos quedan exentos de los requisitos del CRA si cumplen dos condiciones:

• Ser utilizados para reparar productos comercializados antes de la entrada en vigor del CRA.
• Haber sido ya sometidos a un procedimiento de evaluación de conformidad compatible con el CRA.

En relación con los fabricantes, los principales (no los únicos) sometidos al Reglamento, los artículos 13 a 15 detallan sus principales obligaciones:

• Evaluación de riesgos de ciberseguridad: Los fabricantes deben realizar una evaluación integral de riesgos en todas las fases del ciclo de vida del producto, desde su planificación hasta su mantenimiento. Esta evaluación debe documentarse y actualizarse periódicamente.
• Diseño seguro desde el origen: Los productos deben desarrollarse con medidas de ciberseguridad adecuadas desde su concepción, asegurando que las posibles amenazas sean identificadas y mitigadas.
• Gestión de vulnerabilidades: Los fabricantes deben detectar, notificar y corregir vulnerabilidades en sus productos, incluyendo componentes de terceros o de código abierto.
• Documentación técnica: Toda la información sobre la gestión de ciberseguridad debe estar registrada y justificada en la documentación del producto.
• Certificación de productos críticos: Aquellos productos con especial relevancia para la ciberseguridad deberán someterse a una evaluación por parte de Organismos de Certificación de la Conformidad acreditados en cada Estado miembro.

Marcado CE y conformidad (desarrollado en siguientes entradas)

Los productos con especial relevancia para la ciberseguridad deberán llevar el marcado CE (Conformité Européene), indicando su conformidad con los requisitos del CRA. Para ello, los fabricantes deberán (de modo previo y como requisito para la comercialización en la UE de ese producto):

• Realizar una evaluación de conformidad para demostrar que el producto cumple con los estándares de ciberseguridad.
• Emitir una Declaración UE de conformidad, un documento que certifica el cumplimiento del reglamento.
• Insertar un marcado o certificado 

Conexión con la Directiva sobre responsabilidad por productos defectuosos

Fiume Arno, traversata di Pisa

El CRA complementa lo dispuesto en la Directiva (UE) 2024/2853 sobre responsabilidad por los daños causados por productos defectuosos, que establece la responsabilidad objetiva del fabricante. Esto significa que, conforme a la Directiva, los fabricantes serán responsables de los daños derivados de fallos de seguridad en sus productos, incluso sin necesidad de demostrar culpa o falta de diligencia. Por tanto, si un producto presenta vulnerabilidades tras su comercialización debido a fallos de seguridad, el fabricante podría ser considerado responsable conforme a la Directiva, sin embargo, las obligaciones relativas a actualizaciones de seguridad están definidas específicamente en el CRA.

Entrada en vigor y aplicación

Si bien el CRA entró en vigor el 10 de diciembre de 2024, sus principales requisitos serán exigibles a partir del 27 de diciembre de 2027. Esto brinda a las empresas un período de adaptación para cumplir con las nuevas obligaciones.