Ley de Ciberresiliencia: La guía esencial

La Ley de Ciberresiliencia (Cyber Resilience Act, CRA) es una normativa de la Unión Europea cuyo objetivo es garantizar un determinado nivel de ciberseguridad para los productos con elementos digitales que se introducen en el mercado de la UE, en función de su nivel de criticidad. Su objetivo principal es reforzar la postura global de ciberseguridad mediante la integración de la seguridad a lo largo de todo el ciclo de vida de los productos con elementos digitales, desde el diseño y el desarrollo hasta el soporte posterior a la comercialización. . 

¿Qué es la Ley de Ciberresiliencia y por qué todo el mundo habla de su impacto?

Para los fabricantes, el CRA supone un cambio significativo en las expectativas regulatorias, ya que les asigna responsabilidades claras para ofrecer productos seguros por defecto y gestionar las vulnerabilidades de forma eficaz a lo largo del tiempo. Comprender y cumplir el CRA es esencial no solo para el acceso legal al mercado, sino también para mantener la confianza de los clientes, evitar sanciones y seguir siendo competitivos en un mercado cada vez más concienciado con la seguridad.

¿Qué significa “introducir un producto en el mercado de la Unión”?

La introducción en el mercado se define como “la puesta a disposición de un producto en el mercado de la Unión por primera vez con vistas a su distribución o uso en la Unión, ya sea a título oneroso o gratuito, e independientemente de la técnica de venta”.

Según la Blue Guide, es importante destacar que un nuevo lote de un producto existente deberá cumplir los nuevos requisitos incluso si la versión es la misma que antes de la fecha límite.

¿Cuáles son los requisitos esenciales de ciberseguridad del CRA y a quién se aplican?

El Reglamento de Ciberresiliencia se aplica a los fabricantes, importadores y distribuidores de productos con elementos digitales que se introducen en el mercado de la UE. La normativa establece un conjunto de requisitos esenciales de ciberseguridad destinados a garantizar que los productos se diseñan, desarrollan y mantienen con un nivel adecuado de ciberseguridad a lo largo de todo su ciclo de vida. 

Para los fabricantes, estos requisitos esenciales abarcan ámbitos como la gestión de riesgos de ciberseguridad, las configuraciones seguras por defecto, el control de accesos, el almacenamiento seguro de datos y el establecimiento de procesos de gestión de vulnerabilidades y notificación de incidentes, tal como se establece en el artículo 14. Además, los productos deben ir acompañados de la documentación técnica pertinente que demuestre el cumplimiento de los requisitos aplicables. Esta documentación sirve como prueba de que el producto ha sido diseñado, desarrollado y mantenido de conformidad con las obligaciones regulatorias.

El alcance y la aplicación exactos de estos requisitos dependen del papel del operador económico, de las características del producto y de su clasificación conforme al CRA. Para obtener una visión general de algunas de las responsabilidades legales que los fabricantes deben cumplir antes y después de la introducción de los productos en el mercado, consulta nuestros artículos específicos sobre las obligaciones de los fabricantes en el marco del CRA y las obligaciones de notificación del CRA.

¿Cuándo deben las empresas cumplir el CRA?

• El reglamento entró en vigor el 10 de diciembre de 2024. A continuación, se inició un periodo transitorio de 36 meses:
• Las obligaciones de notificación son exigibles 21 meses después de la entrada en vigor, el 11 de septiembre de 2026.
• Los requisitos técnicos se aplican tras otros 15 meses, por lo que el cumplimiento total del CRA se espera para el 11 de diciembre de 2027. 

Es importante señalar que las obligaciones de notificación se aplican a todos los productos. De acuerdo con el artículo 69.3, estas obligaciones se extienden a todos los productos con elementos digitales, incluidos aquellos comercializados antes del 11 de diciembre de 2027. Por tanto, a partir del 11 de septiembre de 2026, cualquier producto que siga en el mercado, incluidos los introducidos antes de 2026, deberá contar con procesos para detectar y notificar vulnerabilidades.

Más allá de este calendario de alto nivel, la aplicación del Reglamento de Ciberresiliencia de la UE incluye una amplia gama de hitos adicionales. Entre ellos se encuentran, entre otros, la designación y acreditación de los organismos notificados, el desarrollo y la armonización de normas europeas, y la publicación de guías adicionales de aplicación. Estos elementos son esenciales para comprender plenamente cómo y cuándo estarán disponibles las evaluaciones formales de la conformidad. Para una visión más detallada de los principales hitos y plazos, consulta la guía específica sobre el calendario del CRA.

Ámbito de aplicación del producto en el Cyber Resilience Act

¿Qué productos están dentro del ámbito del CRA? ¿Existe alguna guía para determinar la categorización del producto?

El CRA se aplica a los “productos con elementos digitales” (PDE), que incluyen tanto hardware como software, así como las soluciones asociadas de tratamiento remoto de datos. Para que estén cubiertos, el uso del producto debe implicar de forma previsible una conexión lógica o física a una red o a otro dispositivo.

La categorización de un producto en el marco del CRA es el primer paso, ya que determina qué procedimientos de evaluación de la conformidad serán de aplicación. El reglamento prevé distintos niveles de evaluación en función de si el producto se clasifica dentro de la categoría general por defecto de los PDE o si se encuadra en una categoría de mayor riesgo (Importante o Crítica).

Productos de la categoría por defecto

Esta categoría incluye la mayoría de los dispositivos de consumo con elementos digitales, así como el software de uso general. La principal vía de conformidad para esta categoría es la autoevaluación (Módulo A), aunque los fabricantes pueden optar voluntariamente por una evaluación por un tercero para reducir los riesgos de incumplimiento. 

Productos de la categoría Importante – Clase I 

Esta categoría incluye una amplia gama de soluciones que tradicionalmente implementan funciones de seguridad específicas, como la seguridad de redes y la autenticación. Algunos ejemplos son los gestores de contraseñas, el software antivirus, los routers, las VPN, los navegadores web, los sistemas operativos y los chips seguros. También abarca determinados productos de consumo que tratan información sensible o funciones críticas, como los dispositivos domóticos, los juguetes inteligentes y los dispositivos de salud o wearables personales. Se están desarrollando normas específicas para cada categoría de producto. Una vez que estas normas estén armonizadas y citadas en el DOUE, la autoevaluación podrá convertirse en una vía de conformidad aplicable para la Clase I Importante. Hasta entonces, la evaluación por un tercero sigue siendo la única opción de cumplimiento disponible.

Productos de la categoría Importante – Clase II

Esta categoría cubre principalmente cuatro tipos de productos: hipervisores y contenedores, cortafuegos (incluidos IDS/IPS) y microprocesadores y microcontroladores resistentes a manipulaciones.
La principal diferencia con respecto a la Clase I es que los productos de esta categoría requerirán una evaluación de la conformidad por un tercero.

Productos de la categoría Crítica

Esta categoría cubre tres tipos de productos: dispositivos hardware con módulos de seguridad, tarjetas inteligentes o dispositivos similares, y pasarelas de contadores inteligentes. Dado que muchos de estos productos están vinculados a aplicaciones de alta seguridad como la banca o la identificación electrónica (eID), suelen estar dentro del ámbito de las certificaciones EUCC / Common Criteria. Los productos críticos también requerirán una evaluación de la conformidad por un tercero, siendo EUCC la vía de cumplimiento más habitual y adecuada para la mayoría de los fabricantes.

Guía para la categorización de productos

Para obtener información más detallada, puedes comprobar en qué categoría se encuadra tu producto en los Anexos III y IV del texto del CRA. Se espera que la Comisión Europea publique orientaciones y actos de ejecución para ayudar a los fabricantes y proveedores a determinar la categorización correcta. Mientras tanto, la Comisión ha elaborado la descripción técnica de las categorías de productos importantes y críticos en la Descripción técnica de los productos importantes y críticos con elementos digitales. 

¿Qué productos o sectores están excluidos?

Quedan excluidas del CRA las categorías de productos ya reguladas por marcos específicos de la UE:

• Productos sanitarios y productos sanitarios para diagnóstico in vitro (Reglamentos (UE) 2017/745 y (UE) 2017/746)
• Vehículos de motor (Reglamento (UE) 2019/2144)
• Productos aeronáuticos certificados (Reglamento (UE) 2018/1139)
• Equipos marinos (Directiva 2014/90/UE)
• Piezas de repuesto idénticas (piezas de repuesto que se comercializan para sustituir componentes idénticos en productos con elementos digitales y que se fabrican conforme a las mismas especificaciones)
• Elementos digitales desarrollados exclusivamente para la seguridad nacional (productos con elementos digitales desarrollados o modificados exclusivamente con fines de seguridad nacional o defensa, o productos diseñados específicamente para tratar información clasificada)
• Las ofertas puras de SaaS pueden quedar fuera del ámbito de aplicación, salvo que se consideren soluciones de tratamiento remoto de datos
• El software de código abierto no monetizado también puede estar exento.

Es importante tener en cuenta que pertenecer a un sector determinado no implica automáticamente estar excluido. La lógica del CRA es que los productos ya cubiertos por otras regulaciones específicas queden fuera de su ámbito de aplicación.

Contexto de normalización del CRA para fabricantes 

En el marco del Reglamento de Ciberresiliencia, el cumplimiento se apoyará en una combinación de normas horizontales, como marco general de normalización, y normas específicas de producto (verticales) para los productos Importantes y Críticos. Se espera que estas normas desempeñen un papel clave en la demostración de la conformidad con los requisitos esenciales del CRA. Por ello, comprender el estado de la normalización del CRA es especialmente importante para los fabricantes de productos Importantes y Críticos, en particular cuando las normas específicas de producto aplicables aún están en desarrollo. Durante esta fase, los fabricantes siguen siendo plenamente responsables de cumplir los requisitos esenciales del CRA, lo que puede afectar a las estrategias de conformidad, la documentación técnica y las vías de evaluación a lo largo del periodo transitorio.

Para obtener una visión actualizada de las actividades de normalización en curso, consulta nuestro mapa de normas del CRA y, para conocer el contexto de los principales plazos e hitos de aplicación, consulta la sección de calendario e implementación del CRA.

¿Existen sanciones por incumplimiento?

Sí. Algunos de los supuestos de incumplimiento definidos son:

• Incumplimiento de los requisitos esenciales: multas de hasta 15 millones de euros o hasta el 2,5 % del volumen de negocio anual mundial.
• Otros incumplimientos de las obligaciones establecidas en artículos como los artículos 18 a 23, el artículo 28, el artículo 30, apartados 1 a 4, el artículo 31, apartados 1 a 4, el artículo 32, apartados 1, 2 y 3, el artículo 33, apartado 5, y los artículos 39, 41, 47, 49 y 53, estarán sujetos a multas administrativas de hasta 10 millones de euros o hasta el 2 % del volumen de negocio anual mundial total del ejercicio financiero anterior, si esta cifra es superior.
• El suministro de información incorrecta, incompleta o engañosa a los organismos notificados y a las autoridades de vigilancia del mercado, en respuesta a una solicitud, estará sujeto a multas administrativas de hasta 5 millones de euros o, si el infractor es una empresa, de hasta el 1 % de su volumen de negocio anual mundial total del ejercicio financiero anterior, si esta cifra es superior.

Buenas prácticas para preparar el cumplimiento

Las mejores prácticas para abordar el CRA incluyen:

• Participar en formaciones y talleres sobre el CRA.
• Verificar y evaluar si tus productos son “Productos con Elementos Digitales (PDE)”. En caso afirmativo, determinar su clase de riesgo (por defecto, importante o crítica) y decidir el tipo de evaluación de la conformidad que puede utilizarse y que mejor se adapte a tu(s) producto(s). Completa nuestro cuestionario de preparación para el CRA para comprender mejor qué se requiere. 
• Iniciar la documentación y las evaluaciones de riesgos de forma temprana. Incluir SBOM, expedientes técnicos y procesos de actualización que contengan:
  • Descripciones generales, finalidad prevista, información para el usuario e instrucciones
  • Evaluación de riesgos
  • Determinación de los periodos de soporte
  • Informes de los ensayos realizados para verificar la conformidad.
• Diseñar los productos teniendo en cuenta la ciberseguridad desde el inicio y a lo largo de todo el ciclo de vida: configuraciones seguras por defecto, mejores mecanismos criptográficos, mecanismos seguros de actualización, gestión de vulnerabilidades o notificación de incidentes.
• Verificar las obligaciones aplicables a fabricantes, importadores y distribuidores (y representantes autorizados).
• Colaborar con organismos notificados o prepararse para una evaluación por terceros si los productos se consideran importantes o críticos, o si no se dispone de suficientes recursos o conocimientos para iniciar el proceso de conformidad.
• Mantener documentación técnica y de soporte detallada durante al menos 10 años o durante el ciclo de vida de soporte del producto.

Para más información, consulta nuestro hub de cumplimiento del Cyber Resilience Act.

¿Cómo puede ayudarte Applus+ Laboratories?

Ayudamos a nuestros clientes a adelantarse a los plazos de cumplimiento ofreciendo:

• Formación y talleres: sesiones prácticas para desarrollar el conocimiento de tu equipo sobre los requisitos del Reglamento de Ciberresiliencia de la UE (CRA) y las mejores prácticas generales.
• Evaluación de preparación para el CRA y análisis de brechas: identificación de brechas frente a los requisitos del CRA y definición de una hoja de ruta hacia el cumplimiento. Recomendado para empresas con productos probablemente afectados por el CRA, especialmente en la categoría por defecto, y con experiencia limitada en requisitos regulatorios de ciberseguridad.
• Pre‑evaluación de la conformidad CRA (Módulos B+C / H): preparación de productos y documentación técnica para la evaluación de la conformidad conforme al CRA. A medida que Applus+ avanza en el proceso de acreditación y notificación como organismo notificado, este servicio permite a los fabricantes preparar evidencias, ensayos y documentación que posteriormente podrán reutilizarse durante la evaluación formal con un organismo notificado.
• Certificación EUCC que se espera que se utilice como evaluación de la conformidad para productos críticos. Applus+ cuenta con una amplia experiencia en la metodología Common Criteria.