El Reglamento (UE) 2024/2847, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, denominado Cyber Resilience Act (CRA) o Reglamento de Ciberresiliencia, se publicó el pasado 20 de noviembre.
Esta ordenanza afecta a todos los productos comercializados cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red.
La fecha de entrada en vigor es el 10 de diciembre de 2024 y su fecha de aplicación será el 11 de diciembre 2027, aunque el operador económico responsable de la puesta en el mercado deberá informar desde el 11 de septiembre de 2026 sobre las vulnerabilidades de ciberseguridad que detecte en sus productos.
Más sobre el Reglamento europeo de Ciberresiliencia
Los fabricantes deberán llevar a cabo una evaluación de los riesgos de ciberseguridad asociados a su producto, con el objetivo de minimizar los riesgos de ciberseguridad, prevenir incidentes y reducir al mínimo sus repercusiones, incluidas las relacionadas con la salud y la seguridad de los usuarios.
Al introducir en el mercado un producto con elementos digitales, el fabricante incluirá la evaluación de riesgos de ciberseguridad en la documentación técnica.
El procedimiento para la evaluación de la conformidad, para los productos incluidos en el Anexo III, clasificados como productos importantes con elementos digitales, deberá realizarse por tercera parte incluyendo un control interno de la producción.
Los productos críticos que figuran en el Anexo IV demostrarán la conformidad mediante un esquema europeo de certificación de la ciberseguridad que se tiene que implementar mediante un acto delegado.
En los productos no incluidos en los Anexos III y IV, podrá realizarse la autoevaluación mediante normas armonizadas publicadas en el Diario Oficial de la Unión Europea.
Otros detalles de interés
La solicitud de normalización, que aún no ha aprobado la Comisión de la Unión Europea, incluirá normas horizontales que servirán de base para el desarrollo de normas armonizadas por otros comités técnicos y las normas verticales de los productos incluidos en los Anexo III y IV.
Las normas de la serie EN 18031, recientemente publicadas para el cumplimiento del Acto Delegado de Ciberseguridad de la Directiva de Equipos Radioeléctricos (RED), serán utilizadas de base para el desarrollo de las nuevas normas y tendrán un tiempo de convivencia cuando se publiquen las nuevas.
Los organismos notificados deben registrarse, conforme al capítulo IV, antes del 11 de junio de 2026. A partir del 11 de septiembre del 2026, el fabricante deberá comunicar cualquier vulnerabilidad de la que tenga conocimiento en un plazo máximo de 24 horas mediante una plataforma única de notificación que deberá crear la Agencia de la Unión Europea para la Ciberseguridad (ENISA).