En vigor la Ley de Ciberresiliencia con plazos graduales hasta 2027

El 10 de diciembre de 2024 marcó la entrada en vigor de la Ley Europea de Ciberresiliencia (CRA), un reglamento clave para la Unión Europea destinado a garantizar la seguridad de los productos con elementos digitales. Aunque la aplicación plena no se producirá hasta diciembre de 2027, algunas disposiciones, como la notificación de vulnerabilidades, entrarán en vigor antes, a partir de 2026. Este marco normativo impone obligaciones estrictas a fabricantes, distribuidores e importadores para gestionar riesgos y mantener la seguridad durante todo el ciclo de vida de los dispositivos. La CRA busca reducir las vulnerabilidades en dispositivos conectados, aumentar la transparencia y reforzar la ciberseguridad en un mercado digital cada vez más expuesto a amenazas.

Aunque la ley ya está en vigor, la mayoría de sus disposiciones no serán de cumplimiento obligatorio hasta el 10 de diciembre de 2027, lo que otorga un período de transición de 36 meses. Este tiempo permitirá a los actores del mercado, especialmente a pequeñas y medianas empresas, adaptarse a los nuevos requisitos. Sin embargo, algunos aspectos críticos, como la notificación de incidentes y vulnerabilidades, deberán implementarse antes, concretamente el 11 de septiembre de 2026.

Este enfoque escalonado busca equilibrar la necesidad de reforzar la ciberseguridad con las dificultades técnicas y económicas que supone cumplir con un marco regulatorio de esta envergadura.

La ley se aplica a todos los productos con elementos digitales comercializados en el mercado europeo, definiéndolos como aquellos que incorporan software, hardware o servicios de procesamiento remoto de datos. Entre los productos destacados figuran dispositivos cpmectadps Internet de las Cosas (IoT) —como cámaras domésticas conectadas, refrigeradores, televisores, juguetes, relojes inteligentes y monitores de actividad física—, software antivirus, wearables y soluciones de Software como Servicio (SaaS).

Sin embargo, la CRA excluye ciertas categorías como productos sanitarios, vehículos y software de código abierto no monetizado, que ya están regulados por otros marcos legales de la UE.

La CRA impone una serie de responsabilidades significativas para los fabricantes, importadores y distribuidores con el fin de garantizar la seguridad a lo largo del ciclo de vida de los productos con elementos digitales. Los fabricantes están obligados a realizar evaluaciones de riesgos que identifiquen las amenazas y vulnerabilidades potenciales de sus dispositivos. Esta medida no solo permite un diseño más seguro desde la concepción del producto, sino que también establece un estándar preventivo para toda la industria. Además, deben implementar sistemas para gestionar vulnerabilidades de forma continua, incluyendo actualizaciones de seguridad durante un mínimo de cinco años o hasta que finalice la vida útil del producto.

Otra obligación clave para los fabricantes es la notificación de incidentes graves y vulnerabilidades activamente explotadas, la cual deberá realizarse en los plazos estipulados por la ley. Esto pretende agilizar la respuesta ante ciberamenazas y minimizar el impacto en usuarios y empresas afectadas. Asimismo, los fabricantes están sujetos a cumplir procedimientos de evaluación de conformidad para garantizar que sus productos cumplen con los requisitos esenciales de la CRA antes de su comercialización.

En el caso de los importadores y distribuidores, la CRA establece que deben asumir las responsabilidades del fabricante si introducen productos modificados de manera sustancial o los comercializan bajo una marca distinta. Esta medida refuerza la responsabilidad compartida a lo largo de toda la cadena de suministro, asegurando que ningún dispositivo carezca de las medidas de seguridad exigidas. Por último, los administradores de software libre y de código abierto también tienen obligaciones específicas cuando sus desarrollos están destinados a actividades comerciales. Esto garantiza que los productos derivados de este tipo de software no comprometan la ciberseguridad del mercado.

Reconociendo las dificultades que puede acarrear este reglamento, la Comisión Europea y los Estados miembros han diseñado programas de apoyo técnico y financiero. Estas iniciativas incluyen formación, herramientas de evaluación de conformidad y campañas de sensibilización.

Además, la ley incorpora medidas para que las microempresas y pymes adapten sus procesos sin comprometer su competitividad.

El reglamento reconoce la importancia de las pymes en el mercado digital y establece medidas de apoyo como orientación y asistencia financiera y entornos de pruebas reglamentarios.

La aplicación efectiva de la CRA exige la colaboración de fabricantes, distribuidores y administraciones públicas. Mientras la plena vigencia del reglamento se proyecta para 2027, el período de transición actual representa una oportunidad para que las partes interesadas revisen sus estrategias y procedimientos de ciberseguridad.

Con esta ley, la Unión Europea da un paso decisivo hacia la construcción de un ecosistema digital resiliente, priorizando la seguridad de sus ciudadanos y la estabilidad de su economía frente a un entorno tecnológico en constante evolución.