El artículo 13 del Reglamento de Ciberresiliencia (CRA) define las principales obligaciones de los fabricantes que deben implementarse a lo largo de todo el ciclo de vida de los productos con elementos digitales.
Aunque el CRA establece un marco regulatorio integral para la ciberseguridad, este artículo se centra específicamente en las obligaciones de los fabricantes conforme al artículo 13, que van más allá de la evaluación de la conformidad y requieren que los fabricantes establezcan procesos estructurados de ciberseguridad, documentación y prácticas de gestión del ciclo de vida.
Para una visión general más amplia de la normativa, consulta nuestra guía esencial del CRA.
Para los requisitos de notificación de incidentes y vulnerabilidades según el artículo 14, consulta nuestro artículo sobre obligaciones de reporte del CRA.
Para orientarte sobre cómo implementar estas obligaciones, explora nuestros servicios de cumplimiento del CRA.
El Reglamento de Ciberresiliencia (Cyber Resilience Act) representa un cambio significativo para los fabricantes, introduciendo responsabilidades de ciberseguridad a lo largo de todo el ciclo de vida que van mucho más allá de los enfoques tradicionales de cumplimiento.
Los principales desafíos incluyen:
Esto refleja un principio fundamental del CRA: la ciberseguridad no es un requisito puntual, sino una responsabilidad operativa continua para los fabricantes.
Los fabricantes deben garantizar que los productos cumplen los requisitos esenciales de ciberseguridad definidos en el Anexo I del CRA.
Un elemento clave es la evaluación de riesgos de ciberseguridad, que debe realizarse antes de comercializar un producto y mantenerse durante todo su ciclo de vida.
Esta evaluación debe:
También debe documentar claramente:
Esto garantiza que la ciberseguridad esté integrada desde el diseño hasta el final de la vida útil, en lugar de tratarse como un requisito puntual.
Los fabricantes deben ejercer diligencia debida al integrar componentes de terceros, como:
Estos componentes no deben comprometer la ciberseguridad del producto final.
Cuando se identifican vulnerabilidades, los fabricantes deben:
Además, los fabricantes deben establecer procesos estructurados de gestión de vulnerabilidades, que incluyan:
Estos procesos deben abordar tanto las incidencias detectadas internamente como las vulnerabilidades notificadas externamente.
Las obligaciones de notificación de incidentes y vulnerabilidades se definen por separado en el Artículo 14 (consulte nuestro artículo sobre obligaciones de reporte del CRA).
El CRA exige que los fabricantes garanticen que las vulnerabilidades se abordan eficazmente durante un periodo de soporte definido. El periodo de soporte debe reflejar la vida útil prevista del producto y, en general, debe ser de al menos cinco años, salvo que el uso previsto del producto justifique una duración menor.
Los fabricantes deben:
El periodo de soporte debe reflejar:
Los fabricantes deben garantizar que las actualizaciones de seguridad estén disponibles durante un periodo prolongado, normalmente al menos 10 años o durante la duración del periodo de soporte definido.
El CRA también promueve configuraciones seguras por defecto y actualizaciones continuas como prácticas esenciales de ciberseguridad.
Los fabricantes deben preparar y mantener documentación técnica que demuestre el cumplimiento de los requisitos del CRA.
Esto incluye:
Los requisitos de documentación técnica se detallan adicionalmente en el Artículo 31 y el Anexo VII del CRA, mientras que la información y las instrucciones dirigidas a los usuarios se definen en el Anexo III.
El Software Bill of Materials (SBOM), como parte de la documentación técnica, se abordará en detalle en un artículo específico.
La documentación debe:
Además, los fabricantes deben proporcionar a los usuarios instrucciones e información claras sobre:
La documentación técnica desempeña un papel fundamental para garantizar la trazabilidad y la rendición de cuentas a lo largo del ciclo de vida del producto.
El CRA también establece obligaciones relacionadas con la trazabilidad del producto y la comunicación.
Los fabricantes deben:
Antes de comercializar un producto en el mercado de la UE, los fabricantes deben realizar una evaluación de conformidad para demostrar el cumplimiento de los requisitos del CRA.
Una vez confirmada la conformidad:
Los fabricantes también deben:
Dependiendo de la categoría del producto, pueden aplicarse diferentes vías de cumplimiento, incluyendo la autoevaluación o la evaluación por terceros a través de organismos notificados.
Cuando los fabricantes publiquen versiones de software sustancialmente modificadas, podrán optar por mantener la conformidad únicamente para la versión más reciente, siempre que:
Los fabricantes también pueden mantener archivos públicos de versiones históricas de software, pero deben informar claramente a los usuarios sobre los riesgos de utilizar software no soportado.
Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies.
Permiten el funcionamiento de la web, cargar contenido multimedia y proteger su seguridad. Consulta las cookies que almacenamos en nuestra Política de cookies.
Nos permiten conocer cómo interactúas con la web, el número de visitas en las diferentes secciones y establecer estadísticas para mejorar nuestras prácticas comerciales. Consulta las cookies que almacenamos en nuestra Política de cookies.
A través de tu comportamiento en la web (dónde haces click, el tiempo que navegas, etc.) establecemos parámetros y un perfil para que visualices anuncios que se correspondan con tus intereses. Consulta las cookies que almacenamos en nuestra Política de cookies.