Ley de Ciberresiliencia de la UE: el 10 de diciembre de 2024 entraba en vigor la Ley de Ciberresiliencia de la Unión Europea (CRA), conocida oficialmente como el Cyber Resilience Act (CRA). Este reglamento, que establece exigencias de ciberseguridad obligatorias para cualquier producto con elementos digitales en el mercado europeo, prevé un período transitorio de 36 meses. Este plazo ha de permitir a los actores, sobre todo pequeñas y medianas empresas, la adaptación a los nuevos requerimientos.
Su aplicación progresiva empezará a partir de los meses de junio y septiembre de 2026. De este modo, se quieren equilibrar las necesidades de ciberseguridad y los retos técnicos y económicos que implican los cambios del marco regulatorio. Esta Ley de Ciberresiliencia de la UE, representa un hito en la estrategia de la UE para reforzar su autonomía digital y proteger a consumidores y empresas frente a un entorno digital cada vez más expuesto a amenazas.
Aprobada por el Parlamento Europeo y el Consejo de la UE, la ley fue publicada como Reglamento (UE) 2024/284 en el Diario Oficial de la Unión Europea. Modifica otras normativas como el Reglamento (UE) n.º 168/2013, el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828, en el que se consolida un nuevo marco de ciberresiliencia para este tipo de productos.
La norma afecta a los veintisiete Estados miembros de la Unión Europea, incluido España, que deberán dotar de recursos a las autoridades de vigilancia del mercado.
Índice de contenidos
1. Objetivo de la Ley de Ciberresiliencia
2. Ámbitos de aplicación
3. Obligaciones para los actores del mercado
4. Plazos de implementación de la Ley de Ciberresiliencia
Objetivo de la Ley de Ciberresiliencia
El Reglamento de Ciberresiliencia (CRA) instaura normas comunes de ciberseguridad para los productos con elementos digitales, ya sea de hardware o software, comercializados en la UE. Su finalidad es mejorar el nivel general de ciberseguridad con el fin de asegurar que los productos digitales se diseñen y se desarrollen sin vulnerabilidades.
La ley impone estrictos requisitos de ciberseguridad para que los fabricantes, importadores y distribuidores garanticen una ciberresiliencia integral en todo el ciclo de vida de cada producto. Se abarcan desde dispositivos inteligentes para el hogar, hasta sistemas operativos más complejos en infraestructuras críticas nacionales.
Además, busca que los usuarios tengan una mejor comprensión de la ciberseguridad de los productos que utilizan a diario. Pretenden reducir los riesgos tanto para las empresas como para sus clientes.
Ámbitos de aplicación
La Ley de Ciberresiliencia de la UE afectará a todos los productos con elementos digitales que se comercialicen en el mercado europeo. Por lo tanto, en los productos destacados figuran los dispositivos conectados a Internet de las Cosas (IoT), como son las cámaras domésticas, neveras, televisores, juguetes, relojes inteligentes o monitores de actividad física. Asimismo, incluye a los programas antivirus, wearables y soluciones de software como servicio (SaaS).
Así, quedan excluidas ciertas categorías como productos sanitarios, vehículos y software de código abierto, ya que están bajo otras regulaciones de la UE.
Obligaciones para los actores del mercado
Los productos afectados deben cumplir con una serie de requisitos esenciales en materia de ciberseguridad. Por lo que los fabricantes, importadores y distribuidores deben tener en cuenta aspectos como:
-
- Diseñar y fabricar los productos para minimizar vulnerabilidades
- Realizar una evaluación de riesgos
- Mantener la documentación técnica
- Proporcionar actualizaciones de seguridad necesarias de al menos 5 años (salvo que el producto tenga una duración menor en el mercado)
- Marcar el producto con el marcado CE (Conformidad Europea)
- Tener una política de gestión de vulnerabilidades
- Informar del período de soporte de forma transparente
- Implementar mecanismos de protección desde el diseño por defecto
- Asumir responsabilidades si el fabricante introduce productos modificados o comercializados bajo una marca distinta
También se hará una clasificación con elementos digitales que se distinguen entre los generales, para los que se aplican medidas estándar; los importantes, como firewalls, antivirus y sistemas de control de red; y los críticos, aquellos con impacto directo en la seguridad de infraestructuras estratégicas. Los productos importantes y críticos deben someterse a evaluaciones de conformidad más rigurosas, y algunos requerirán certificación europea obligatoria.
Plazos de implementación de la Ley de Ciberresiliencia
La aplicación plena de esta medida no se producirá hasta el 11 de diciembre de 2027, aunque algunas disposiciones, como la notificación de vulnerabilidades, entrarán en vigor a partir de 2026. Desde el 11 de septiembre de 2026 será de obligado cumplimiento lo relativo a la información de los fabricantes y, desde el 11 de junio de 2026, lo relativo a la notificación de los organismos de evaluación de la conformidad.
Se establecía un período de 36 meses de transición para permitir a los actores del mercado, especialmente a pequeñas y medianas empresas, la adaptación a los nuevos requerimientos. De este modo, se aplica este enfoque progresivo en su implementación para equilibrar las necesidades de ciberseguridad con los retos técnicos y económicos que suponen los cambios para cumplir con el marco regulatorio.
Esta ley responde a la creciente dependencia tecnológica y a las amenazas cibernéticas asociadas. Al establecer estándares de seguridad desde la fase de diseño hasta la gestión postventa, la UE busca blindar su mercado digital frente a ciberataques para fortalecer su soberanía tecnológica.
Más información: Diario Oficial de la Unión Europea
