EU Cyber Resilience Act – CRA

Ley de Ciberresiliencia Europea

Cumple con el reglamento europeo para el desarrollo de productos con elementos digitales seguros

Somos consultores expertos en Tecnologías de la Información

¿Qué es la Ley de Ciberresilencia?

La Ley de Ciberresiliencia , también conocida como EU Ciber Resilience Act – CRA, es la primera legislación europea que establece obligaciones de ciberseguridad para productos que incluyen elementos digitales.

La EU Ciber Resilience Act – CRA, ya en vigor, pretende abordar dos tipos de problemas:

El bajo nivel de ciberseguridad de los productos con elementos digitales.
La incomprensión y escasez de información y el acceso a ella por parte de los usuarios.

Para ello, este reglamento fija medidas a seguir para el desarrollo de productos con elementos digitales a nivel de hardware y software, en todo el ciclo de vida.

Así se garantizará la comercialización de estos sin vulnerabilidades y aportando mayor información en materia de seguridad a los consumidores.

En resumen, el propósito de la Ley de Ciberrresiliencia es responsabilizar más a los vendedores y proveedores, obligándolos a brindar soporte de seguridad y actualizaciones de software para solucionar las vulnerabilidades identificadas a lo largo del ciclo de vida del producto y ofrecer más información a los consumidores sobre los productos en el mercado.

Entrada en vigor del Ley de Ciberresilencia

Las empresas obligadas deben de cumplir plenamente con los requisitos de la EU Ciber Resilience Act – CRA antes del 11 de diciembre de 2027

Sin embargo, la obligación de las empresas de realizar y comunicar informes de vulnerabilidades y gestión de incidentes, entrarán en vigor antes, en septiembre de 2026.

Por ello, desde Grupo Ingertec, recomendamos comenzar los preparativos lo antes posible para garantizar el cumplimiento oportuno, incluyendo:

Revisión y actualización de diseños de productos para requisitos de ciberseguridad.
Implementación de sistemas de gestión de vulnerabilidades e incidentes.
Realizar iniciativas de formación y concienciación de empleados.

¿A quién afecta la Ley de Ciberresilencia?

La Ley de Ciberresiliencia afecta a todos los fabricantes de productos digitales, ya sea que tengan su sede dentro o fuera de la UE, siempre que sus productos se comercialicen en el mercado europeo.

Esto incluye a desarrolladores de software, fabricantes de hardware, distribuidores e importadores. Sin embargo, quedan excluidos aquellos sectores que ya están regulados por normativas específicas de ciberseguridad, como el sector automotriz o el de dispositivos médicos.

El incumplimiento de esta ley puede incurrir en multas de hasta el 2% de los ingresos anuales globales de la empresa o 15 millones de euros, dependiendo de cuál sea la cifra mayor. Asimismo, la retirada del mercado de productos que no sean seguros por parte de las autoridades.

Ley de Ciberresilencia y otras notmativas

Las acciones necesarias para la Ley de Ciberresiliencia son compatibles y complementarias con otros marcos regulatorios, como el Reglamento DORA (Ley de Resiliencia Operacional Digital), los Informes SOC, las Normas ISO y el Esquema Nacional de Seguridad (ENS), por lo que muchos de los procesos y controles (como la gestión de riesgos, la respuesta a incidentes y la concienciación del personal) se pueden ampliar o adaptar para cumplir con los requisitos de esta ley europea.

Puntos destacados por la Ley de Ciberresilencia

Se establecen requisitos de ciberseguridad obligatorios para los procesos de diseño, desarrollo y producción de productos que incorporen elementos digitales, junto con las obligaciones específicas de los fabricantes.
Los fabricantes deben garantizar la mejora continua de la seguridad de estos productos desde su concepción y durante todo su ciclo de vida. Esto incluye la gestión efectiva de vulnerabilidades y el reporte de incidentes y vulnerabilidades activamente explotadas. Además, se exige soporte para las vulnerabilidades del software durante todo su ciclo de vida o, al menos, por un período de 5 años.
Los fabricantes deben notificar obligatoriamente cualquier vulnerabilidad a las autoridades competentes con un máximo de 24 horas posteriores a su detección.
Se crean normas que regulan la comercialización de productos con elementos digitales, asegurando que cumplan con estándares de ciberseguridad para proteger tanto a empresas como a consumidores.
Se proporciona un marco de ciberseguridad que permite a los fabricantes de hardware y software cumplir con sus obligaciones de manera coherente con otras normativas, como el Reglamento General de Protección de Datos (GDPR).
Se fomenta un mercado seguro, facilitando que los productos digitales puedan ser utilizados por empresas y consumidores sin comprometer su seguridad.
Se ofrece apoyo específico a pymes y medianas empresas mediante guías y directrices prácticas, para simplificar su adaptación y cumplimiento con estos requisitos.