El nuevo marco regulatorio de ciber resiliencia de la UE

12/02/2024

El nuevo marco regulatorio de ciber resiliencia de la UE (CRA, por sus siglas en inglés) establece una serie de requisitos obligatorios de ciberseguridad para los fabricantes a lo largo de todo el ciclo de vida del producto. Su objetivo es garantizar que los productos o programas informaticos que adquiran los consumidores y empresas estén plenamente protegidos.

¿Qué implica el marco regulatorio de ciber resiliencia, CRA?

El marco regulatorio de ciber resiliencia de la UE, CRA fue propuesto por la Comisión Europea el 15 de septiembre de 2022. Sus objetivos son:

Mejorar la seguridad en los productos alámbricos e inalámbricos conectados a internet.
Impulsar a que los fabricantes a responsabilizarse acerca de la ciberseguridad de un producto durante todo su ciclo de vida.
Informar adecuadamente a los consumidores sobre las características de ciberseguridad de los productos que adquieren y utilizan.

Los productos con elementos digitales solo se podrán comercializar en la UE si cumplen los requisitos esenciales específicos de ciberseguridad especificados en el Anexo I de la CRA.

¿A qué tipo de productos aplica el nuevo marco regulatorio de ciber resiliencia?

El nuevo marco regulatorio de ciber resilencia aplica a una amplia gama de productos digitales. Esto incluye productos electrónicos de consumo como teléfonos inteligentes y ordenadores portátiles, dispositivos de Internet de las Cosas (IoT) como smartwatches y electrodomésticos conectados, equipos de red como routers y módems, y diversos productos de software, incluidos sistemas operativos y aplicaciones.

La Ley actual cubre los productos con elementos digitales, hardware o software vendidos o disponibles en la UE.

Dependiendo del tipo de clase de producto, se aplican diferentes evaluaciones de conformidad según la CRA. La clasificación de Productos Importantes (Clase I y Clase II) y Productos Críticos puede consultarse en CRA-ANNEX III y IV.

Soy fabricante, ¿qué pasos tengo que seguir?

Si eres un fabricante, debes tener claros los princpales procesos y los pasos a seguir:

Contacta con Applus+ Laboratories si necesitas ayuda para entender mejor los requisitos y como debes procedor. Es una nueva regulación y todos estamos navegando sus requisitios.

¿Hay produtos excluidos o no cubiertos por la CRA?

Si, algunos productos no están cubiertos por la CRA o están excluidos.

Entre los excluidos hay aquellos productos que ya están suficientemente regulados en materia de ciberseguridad, como automóviles, dispositivos médicos, in vitro y equipos aeronáuticos certificados.

Estos son algunos de los productos que no están cubiertos por la normativa CRA:

Proyectos no comerciales, incluido el código abierto en la medida en que un proyecto no forme parte de una actividad comercial.
Servicios, que se encuentran en la nube/software. Esto excluye las ""soluciones para procesar datos de forma remota“”.

Relación con el EUCC y otros esquemas:

El marco regulatorio de ciber resiliencia de la UE pretende trabajar en conjunción con los marcos de certificación de ciberseguridad existentes, incluidos en el Esquema de Certificación de Ciberseguridad de la Unión Europea (EUCC) procedente de la CSA (Ley de Ciberseguridad). Basado en los Criterios Comunes para la Evaluación de la Seguridad de las Tecnologías de la Información, el EUCC, ofrece un sistema de certificación voluntario. Sin embargo, la Ley de Ciber Resiliencia introduce requisitos de cumplimiento obligatorio para determinados productos.

Especifica qué productos deben adherirse a las normas de certificación, incluidas potencialmente las descritas en el EUCC y otros regímenes pertinentes. Este enfoque garantiza un panorama de ciberseguridad más cohesivo y completo en toda la UE, combinando medidas voluntarias y obligatorias para mejorar la seguridad digital en general.

¿Cuándo entrará en vigor la CRA?

Se espera que la entrada en vigor se produzca sobre la segunda mitad del 2024. Recomendamos seguir las actualizaciones del esquema CRA en el sitio web oficial de ENISA.

¿Cuál es el periodo de transición de la CRA?

Los fabricantes tendrán que aplicar las normas 36 meses después de su entrada en vigor. Habrá un periodo de gracia más limitado de 21 meses para la obligación de notificación de incidentes y vulnerabilidades por parte de los fabricantes.

Applus+ Laboratories, apoyo para incorporar el esquema CRA

Los fabricantes que busquen asegurar la ciberseguridad de sus productos durante todo su ciclo de vida, deben comprender en profundidad el esquema CRA y los siguientes pasos a seguir.

Nuestros expertos de Applus+ Laboratories podrán guiarlos para transitar e implementar las modificaciones que hacen falta para cumplir con los requisitos de esta nueva normativa.

Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies.

Panel de configuración de cookies

Cookies técnicas

Permiten el funcionamiento de la web, cargar contenido multimedia y proteger su seguridad. Consulta las cookies que almacenamos en nuestra Política de cookies.

Siempre activas
Cookies de análisis

Nos permiten conocer cómo interactúas con la web, el número de visitas en las diferentes secciones y establecer estadísticas para mejorar nuestras prácticas comerciales. Consulta las cookies que almacenamos en nuestra Política de cookies.
Cookies de publicidad

A través de tu comportamiento en la web (dónde haces click, el tiempo que navegas, etc.) establecemos parámetros y un perfil para que visualices anuncios que se correspondan con tus intereses. Consulta las cookies que almacenamos en nuestra Política de cookies.