En un mundo cada vez más conectado, la seguridad digital se ha convertido en una prioridad y está cada día en la agenda de nuestros dirigentes dentro y fuera de España en forma de diferentes directrices y debates.
La última norma que se ha materializado es la Ley de Ciberresiliencia europea —Cyber Resilience Act, CRA—, una ambiciosa legislación que busca reforzar la seguridad de los productos con componentes digitales a lo largo de todo su ciclo de vida. Acaba de entrar en vigor.
Esta ley, que se empezó a gestar hace años y que finalmente vio la luz en marzo, marca un antes y un después en la protección de los ciudadanos y empresas europeas frente a las ciberamenazas. Ya no basta con ofrecer productos innovadores: ahora, la seguridad debe ser un elemento central en su diseño y desarrollo.
¿Qué cambia con esta ley?
El Cyber Resilience Act fue adoptada por el Consejo de la UE en octubre de este año y entrará en vigor plenamente el 11 de diciembre de 2027, aunque algunas de sus disposiciones comenzarán a aplicarse antes.
La ley establece una serie de obligaciones para los fabricantes, importadores y distribuidores de productos con componentes digitales, tanto hardware como software. Esto significa que abarca desde dispositivos inteligentes para el hogar hasta sistemas operativos.
Entre esas obligaciones se incluyen:
- Requisitos de ciberseguridad obligatorios: los productos digitales deben diseñarse, desarrollarse y mantenerse bajo estrictas normas de seguridad, eliminando vulnerabilidades y asegurando la disponibilidad de actualizaciones periódicas.
- Notificación de vulnerabilidades: los fabricantes deben notificar cualquier vulnerabilidad relevante a las autoridades competentes en un plazo de 24 horas tras su detección.
- Clasificación de los productos: los productos se dividen en categorías según su nivel de riesgo (predeterminados, relevantes y críticos) y, según la clasificación, se exigen diferentes medidas de seguridad y procedimientos de evaluación.
- Supervisión del mercado: los Estados miembros de la UE deben establecer mecanismos de supervisión para garantizar que los productos vendidos cumplan con los requisitos de la ley.
- Multas por incumplimiento: las empresas que no cumplan con la normativa se enfrentan a sanciones que pueden alcanzar los 15 millones de euros o el 2,5 % de su facturación anual mundial, lo que sea mayor.
“Estamos viviendo un nuevo hito en la ciberseguridad europea”, afirma Tom Savage, Senior Vice President and General Counsel de Red Hat. Así, por primera vez se va a exigir a fabricantes, importadores y distribuidores “que garanticen una ciberresiliencia integral a lo largo de todo el ciclo de vida de cada producto”, por lo que “la Ley de Ciberresiliencia supone un avance en la protección del ecosistema digital”.
Al exigir estrictas medidas de ciberseguridad, concluye Savage, “garantiza que los productos comercializados en la UE sean más seguros y resilientes, lo que se traduce en menos vulnerabilidades y una reducción de riesgos tanto para las empresas como para sus clientes”.
Aunque la ley ya está en vigor, los fabricantes tienen hasta 2027 para adaptar sus productos a los nuevos requisitos. Este periodo de adaptación permitirá a las empresas prepararse para el cambio y garantizar que los productos que lleguen al mercado cumplan con los más altos estándares de seguridad.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
