El nuevo marco regulatorio de ciber resiliencia de la UE

¿Qué es la CRA (Ley de Ciberresiliencia europea)? 

La CRA fue propuesta por la Comisión Europea el 15 de septiembre de 2022. Está dirigida principalmente a fabricantes, importadores y distribuidores de productos con elementos digitales destinados al mercado de la UE. Esto incluye tanto productos de hardware como de software, así como soluciones de procesamiento remoto de datos que forman parte de estos productos.

Según la Ley de Ciberresiliencia europea, los productos con elementos digitales solo pueden estar disponibles en la UE si cumplen con los requisitos esenciales de ciberseguridad establecidos en el Anexo del CRA.
 

¿Cuáles son los requisitos esenciales de ciberseguridad? 

En el Anexo I del CRA, hay dos tipos de requisitos esenciales de ciberseguridad:

• Propiedades de ciberseguridad del producto: Esta sección establece los requisitos fundamentales para proteger los activos definidos del producto. Asegura que los productos estén diseñados de forma segura, protejan contra accesos no autorizados, tengan almacenamiento seguro, configuraciones predeterminadas seguras y mecanismos como soporte de actualizaciones y registro de eventos de seguridad

• Requisitos de gestión de vulnerabilidades: Los fabricantes deben gestionar la ciberseguridad durante todo el ciclo de vida del producto. Esto incluye corregir vulnerabilidades, informar amenazas activas a ENISA en un plazo de 24 horas, mantener una política clara de divulgación de vulnerabilidades e informar a los usuarios sobre el tiempo durante el cual se proporcionarán actualizaciones de seguridad.

Alcance: ¿Qué tipo de productos están dentro del alcance de la CRA? 

La Ley de Ciberresiliencia europea aplica a una amplia gama de productos digitales vendidos o disponibles en la UE. Esto incluye electrónica de consumo como smartphones y portátiles, dispositivos del Internet de las Cosas (IoT) como relojes inteligentes y electrodomésticos conectados, equipos de red como routers y módems, y diversos productos de software incluyendo sistemas operativos y aplicaciones.  

Y sí, con algunas excepciones: Productos ya cubiertos por regulaciones existentes específicas del sector, como dispositivos médicos, in vitro, productos de aviación y vehículos de motor, están generalmente exentos. El software libre y de código abierto también está exento salvo que se monetice o se utilice en un producto comercial. Además, ciertos servicios en la nube, particularmente cloud/Software-as-a-Service - excepto “soluciones de procesamiento remoto de datos”. 

Dependiendo de la categoría del producto, se aplican diferentes evaluaciones de conformidad según el texto legal del CRA. La clasificación para Productos Importantes (Clase I y Clase II) y Productos Críticos puede encontrarse en CRA-ANNEX III y IV, y más definiciones en los borradores de anexos de Descripción técnica de productos importantes y críticos con elementos digitales.  

Fechas clave del CRA

• Entrada en vigor: 10 de diciembre de 2024.
• Periodo de transición: Hay un periodo de transición de 36 meses antes de que la mayoría de las obligaciones sean plenamente aplicables.
• Aplicación total: 11 de diciembre de 2027. Es cuando los fabricantes y otros operadores económicos deben cumplir completamente con los requisitos del CRA.
• Obligaciones de notificación de incidentes y vulnerabilidades: 11 de septiembre de 2026. Algunas obligaciones de notificación (por ejemplo, vulnerabilidades) se aplican antes, tras 21 meses.

Soy fabricante, ¿qué pasos debo seguir?

Si eres fabricante, asegúrate de conocer el proceso principal y todos los pasos a seguir.

Contacta con Applus+ si necesitas ayuda para entender los requisitos y cómo proceder. Todos estamos recorriendo juntos esta nueva Ley de Ciberresiliencia europea.

Relación del CRA con EUCC y otros esquemas

La Ley de Ciberresiliencia europea está diseñada para funcionar en conjunto con marcos de certificación de ciberseguridad existentes, incluido el esquema basado en Common Criteria (EUCC) derivado de la CSA (Ley de Ciberseguridad). El EUCC ofrece un esquema de certificación voluntario y puede utilizarse como herramienta para demostrar el cumplimiento con el CRA. Existen mapeos entre el CRA y el EUCC con contribuciones de Applus+, consulta la publicación de Applus+: Cómo cumplir a través de la certificación EUCC.

Estos enfoques de mapeo aseguran un panorama de ciberseguridad más cohesivo y completo en toda la UE, combinando medidas voluntarias y obligatorias para mejorar la seguridad digital general. 
 

Solicitud de estandarización y respuesta conjunta

El 3 de abril de 2025, CEN, CENELEC y ETSI aceptaron oficialmente la solicitud de estandarización (Mandate M/606) de la Comisión Europea para desarrollar normas armonizadas que respalden el cumplimiento del CRA con iniciativas financiadas por la UE: STAN4CR y STAN4CR2, apoyadas por EISMEA/EFTA para coordinar los esfuerzos de CEN/CENELEC y ETSI.

Iniciados en abril de 2025, estos proyectos proporcionan estructura y recursos para acelerar el desarrollo de normas y la participación de las partes interesadas. Se están desarrollando normas horizontales y verticales, con hitos clave en agosto y octubre de 2026, y se espera una implementación completa para finales de 2027. ETSI ya lidera el trabajo de estandarización vertical y los informes de análisis de brechas.

Applus+ Laboratories, brindando apoyo para ayudarte a navegar el CRA 

Si fabricas productos en cualquiera de las categorías anteriores, comienza tu camino hacia el cumplimiento cuanto antes para evitar prisas de última hora. Asegúrate de empezar este camino con nuestros servicios de ciberresiliencia hoy.
Si tienes dudas o preguntas nuestros expertos de Applus+ Laboratories estarán encantados de ayudarte a comprender esta nueva regulación y acompañarte en el camino hacia el cumplimiento. Consulta nuestros servicios de ciberseguridad.