¿Cómo afecta la Ley de Ciberresiliencia a los productos digitales en la UE?

El Parlamento Europeo y el Consejo han aprobado el Reglamento (UE) 2024/2847, más conocido como Ley de Ciberresiliencia (CRA, por sus siglas en inglés), una normativa clave que marca un antes y un después en materia de ciberseguridad para productos con componentes digitales.

¿Qué regula la Ley de Ciberresiliencia?

Esta nueva legislación establece requisitos horizontales de ciberseguridad que afectan tanto al diseño como a la comercialización y mantenimiento de productos digitales en el mercado europeo. El objetivo es claro: garantizar un nivel elevado de seguridad en todos los productos con elementos digitales desde su creación y a lo largo de todo su ciclo de vida.

En concreto, la Ley establece:

• Normas para la comercialización de productos digitales, asegurando su seguridad frente a ciberamenazas.

• Requisitos de ciberseguridad aplicables al diseño, desarrollo y fabricación de estos productos.

• Obligaciones de gestión de vulnerabilidades, que deben ser implementadas por los fabricantes durante el tiempo de vida útil previsto del producto.

• Normas de vigilancia del mercado y mecanismos de supervisión, para asegurar el cumplimiento de estas exigencias.

¿A quién afecta esta normativa?

Los sujetos obligados por esta Ley son:

• Fabricantes de productos con componentes digitales

• Desarrolladores de software

• Distribuidores

• Importadores

Estos actores deberán adaptarse a los nuevos requisitos legales para poder operar dentro del mercado europeo.

Nuevos requisitos para los productos digitales

A partir de la entrada en vigor de la Ley, todos los productos que contengan elementos digitales deberán:

1. Cumplir con los requisitos esenciales de ciberseguridad:

Incluyen, entre otros, el diseño seguro frente a riesgos conocidos, ausencia de vulnerabilidades explotables al momento de su comercialización, configuración segura por defecto, protección de datos personales y procesos de actualización continua.

2. Contar con la Declaración Europea de Conformidad:

Un documento obligatorio elaborado por el fabricante, que acredita que el producto cumple con los requisitos establecidos por la Ley. Esta declaración implicará la asunción de responsabilidad por parte del fabricante respecto a la conformidad del producto.

Apoyo a microempresas, pymes y startups

Consciente del impacto que esta regulación puede tener en pequeñas empresas, la Ley prevé medidas de apoyo específicas, entre ellas:

• Programas de sensibilización y formación.

• Canales de comunicación directa con microempresas para resolver dudas.

• Asistencia en evaluaciones de conformidad, con el respaldo del Centro Europeo de Competencia en Ciberseguridad.

• Espacios de prueba controlados (sandbox) para desarrollar y validar productos digitales seguros.

¿Cuándo entra en vigor la Ley?

La Ley entrará en vigor el 10 de diciembre de 2024, pero será plenamente aplicable a partir del 11 de diciembre de 2027.

Algunas obligaciones específicas tendrán plazos diferentes:

• Las obligaciones de información para los fabricantes (art. 14) aplicarán desde el 11 de septiembre de 2026.

• El Capítulo IV sobre organismos de evaluación de la conformidad será aplicable desde el 11 de junio de 2026.

Al tratarse de un reglamento europeo, será directamente aplicable en todos los Estados miembros, sin necesidad de transposición a las legislaciones nacionales.