01Qué es el CRA
El Reglamento de Ciberresiliencia es la primera ley de ámbito europeo que establece requisitos de ciberseguridad obligatorios para productos con elementos digitales; hardware y software; a lo largo de todo su ciclo de vida. Traslada la responsabilidad de la seguridad a las organizaciones que introducen estos productos en el mercado, en lugar de dejarla en manos de los usuarios. Art. 1
En la práctica, un producto solo puede comercializarse en el mercado de la UE si cumple los requisitos esenciales establecidos en el Anexo I y el fabricante ha cumplido las obligaciones inherentes a él. La conformidad se señala mediante el Marcado CE.
Si su producto tiene elementos digitales y llega al mercado de la UE, debe diseñarse, fabricarse y mantenerse conforme a un estándar de ciberseguridad definido; y usted debe poder demostrarlo.
02A quién se aplica
El Reglamento cubre los productos con elementos digitales cuyo uso previsto o razonablemente previsible incluye una conexión de datos directa o indirecta. Las obligaciones se distribuyen a lo largo de la cadena de suministro: Art. 13–28
- Fabricantes; asumen las obligaciones principales: diseño, documentación, evaluación de la conformidad y tratamiento de vulnerabilidades.
- Importadores; solo pueden introducir en el mercado productos conformes y deben verificar que se han cumplido las obligaciones del fabricante.
- Distribuidores; deben actuar con la debida diligencia y comprobar que el marcado CE y la documentación están presentes.
Los productos ya cubiertos por normas sectoriales específicas, como los productos sanitarios, los vehículos de motor y la aviación civil, quedan excluidos, al igual que los componentes de código abierto no comerciales.
03Clases de producto
La vía de conformidad requerida depende del grado de criticidad del producto. La mayoría de los productos se autoevalúan; las categorías de mayor riesgo enumeradas en los anexos se enfrentan a procedimientos más estrictos. Art. 6–7 · Annex III–IV
| Clase | Ejemplos | Vía de conformidad |
|---|---|---|
| Por defecto | La mayoría de los productos con elementos digitales | Autoevaluación |
| Importante; I | Gestores de contraseñas, gestión de redes, VPN | Normas o tercero |
| Importante; II | Sistemas operativos, cortafuegos, microprocesadores | Evaluación por terceros |
| Crítico | Contadores inteligentes, tarjetas inteligentes, elementos seguros | Certificación obligatoria |
04Obligaciones clave
Los requisitos esenciales del Anexo I se dividen en dos grupos; las propiedades que el producto debe tener y los procesos que el fabricante debe ejecutar. Anexo I
- Seguridad desde el diseño y por defecto; entregado con una configuración segura y una superficie de ataque reducida al mínimo.
- Sin vulnerabilidades explotables conocidas; suministrado sin defectos explotables conocidos.
- Tratamiento de vulnerabilidades; un proceso para identificar, documentar, subsanar y divulgar los problemas.
- Actualizaciones de seguridad; actualizaciones gratuitas y oportunas durante todo el período de soporte definido.
- Lista de materiales de software (SBOM); mantener un SBOM que cubra los componentes del producto.
- Notificación; notificar las vulnerabilidades explotadas activamente y los incidentes graves a ENISA y al CSIRT correspondiente, con una alerta temprana en un plazo de 24 horas.
05Calendario y sanciones
El Reglamento ya está en vigor; sus obligaciones se introducen progresivamente a lo largo de los años siguientes. Art. 71
- Oct 2024Adoptado y promulgado como ley.
- Dic 2024Entró en vigor.
- Sep 2026Se aplican las obligaciones de notificación (21 meses después de la entrada en vigor).
- Dic 2027Plena aplicación; se aplican la mayoría de las disposiciones (36 meses).
El incumplimiento de los requisitos esenciales puede acarrear multas de hasta 15 millones de € o el 2,5 % del volumen de negocios anual mundial total, si esta cifra es superior.
06Qué hacer a continuación
Comience confirmando si el Reglamento se aplica a su producto y, a continuación, siga la orientación redactada para su función.