Entra en vigor la Ley de Ciberresiliencia europea

El 10 de diciembre de 2024 entró en vigor el Reglamento CRA, conocido como Ley de Ciberresiliencia (Cyber Resilience Act), la primera norma de la UE que establece requisitos obligatorios de ciberseguridad para los productos que incluyen elementos digitales a lo largo de todo su ciclo de vida, cuyo objetivo es proteger a los consumidores y empresas, asegurando altos estándares de seguridad en el diseño, desarrollo y mantenimiento de hardware y software de los dispositivos digitales.
¿De qué trata esta nueva ley? ¿Qué marco legal establece?
El pasado 15 de septiembre de 2022, la Comisión Europea presentó una propuesta innovadora a nivel mundial para mejorar la seguridad de los dispositivos a nivel de hardware y software, frente al masivo ataque que está sucediendo sin precedentes, tanto a nivel corporativo como doméstico, con los dispositivos digitales.
Esto ha sido fomentado por el aumento del teletrabajo, del número de dispositivos conectados, de la consolidación tecnológica y la mayor digitalización en sectores más tradicionales. Factores que suponen un avance, tanto a nivel social como económico, pero que generan un aumento de riesgo ciber muy difícil de anticipar, mitigar y minimizar. La superficie de ataque aumenta y es necesario proteger los ecosistemas IoT emergentes, así como más casuísticas que se han identificado en los últimos años que están utilizando las organizaciones cibercriminales a raíz de esta nueva arquitectura que se genera con diferentes capas tecnológicas, en diferentes etapas del ciclo de vida del producto, nuevas vulnerabilidades y tipos de ataque.
Esta norma surge a raíz de la necesidad de abordar “dos problemas importantes que suponen un aumento de los costes para los usuarios y la sociedad: un bajo nivel de ciberseguridad de los productos con elementos digitales, que se refleja en vulnerabilidades generalizadas y en la oferta insuficiente e incoherente de actualizaciones de seguridad para hacerles frente, y la insuficiencia de la comprensión de la información y del acceso a ella por parte de los usuarios, que les impide elegir productos con las características de ciberseguridad adecuadas o utilizarlos de manera segura”.
El reglamento tiene por objeto fijar condiciones que permitan el desarrollo de productos con elementos digitales seguros, garantizando que los productos consistentes en equipos y programas informáticos se comercialicen con menos vulnerabilidades y que los fabricantes apuesten por la seguridad a lo largo de todo el ciclo de vida del producto. También permitirá a los usuarios tener en cuenta la ciberseguridad a la hora de adquirir productos con elementos digitales, mejorando entre otros la transparencia con respecto al período de soporte.
El propósito de la ley es responsabilizar más a los vendedores y proveedores, obligándolos a brindar soporte de seguridad y actualizaciones de software para solucionar las vulnerabilidades identificadas a lo largo del ciclo de vida del producto y brindar a los consumidores más información sobre los productos en el mercado.
Aunque la aplicación plena no se producirá hasta diciembre de 2027, algunas disposiciones, como la notificación de vulnerabilidades, entrarán en vigor antes, a partir de 2026. Por lo tanto, el reglamento será aplicable:
- de forma general, desde el 11 de diciembre de 2027;
- desde el 11 septiembre de 2026, lo relativo a las obligaciones de información de los fabricantes;
- desde el 11 de junio de 2026, lo relativo a la notificación de los organismos de evaluación de la conformidad.
Esto se debe a que los fabricantes dispondrán de un plazo de hasta 36 meses desde la entrada en vigor de la norma para adaptarse a su cumplimiento.
¿A quiénes afecta la ley?
La Ley de Ciberresiliencia afecta a una amplia gama de actores en el mercado digital, incluyendo:
- Fabricantes de productos digitales: tanto aquellos ubicados dentro de la UE como fuera de ella, siempre que sus productos se comercialicen en el mercado europeo.
- Desarrolladores de software: responsables de garantizar que sus aplicaciones cumplan con los requisitos de ciberseguridad establecidos.
- Distribuidores e importadores: actuando como intermediarios en la cadena de suministro de productos digitales, deben asegurar que los productos que manejan cumplen con la normativa.
- Otros actores: incluyendo aquellos dedicados a la reventa de productos, siempre que participen en el suministro de productos afectados en el mercado europeo.
¿A qué productos y servicios digitales afecta esta normativa?
La definición de «productos con elementos digitales» es muy amplia e incluye cualquier producto de software o hardware, así como cualquier software o hardware no incorporado al producto, pero introducido en el mercado por separado, es decir, se aplica a todos los productos conectados directa o indirectamente a otro dispositivo o red, excepto las exclusiones especificadas en el reglamento, como el software de código abierto, o servicios que ya están contemplados por otras normativas, como es el caso de los dispositivos de seguimiento médico, la aviación civil o los vehículos.
Estos productos deben ostentar la marca CE para demostrar su conformidad con los nuevos requisitos.
Clasificación de productos
La Ley de Ciberresiliencia (CRA) establece una clasificación detallada de los productos con elementos digitales, basada en los factores de riesgo que presentan. Esta clasificación se divide en cuatro categorías principales:
- Productos importantes:
- Clase I
- Clase II
- Productos críticos
- No clasificados
La categoría “no clasificados” se asigna a aquellos productos que no presentan vulnerabilidades críticas de ciberseguridad. Las empresas responsables de estos productos deben llevar a cabo autoevaluaciones periódicas para identificar posibles vulnerabilidades y aplicar las mejoras necesarias para garantizar la seguridad.
Los productos que no entran en esta categoría se clasifican en importantes del anexo III (clase I, clase II) o críticos del anexo IV, según su nivel de riesgo. Esta clasificación se basa en una serie de factores de riesgo identificados en la ley, que incluyen la potencial explotación de vulnerabilidades y el impacto que dichas vulnerabilidades podrían tener en la seguridad de los usuarios y la infraestructura digital.
Los productos importantes requieren un nivel de seguridad robusto, mientras que los productos críticos deben cumplir con estándares de seguridad aún más estrictos debido a su mayor riesgo potencial.
Puntos destacados que aborda el reglamento
- Requisitos de ciberseguridad para el diseño, desarrollo y producción de productos que contengan elementos digitales, así como las obligaciones de las fabricantes relacionadas con estos productos. Esto incluye la eliminación proactiva de vulnerabilidades y la implementación de actualizaciones periódicas para garantizar la seguridad continua.
- Creación de normas sobre la comercialización de productos que contengan elementos digitales para avalar su ciberseguridad antes de ser introducidos en el mercado.
- Garantizar que los fabricantes mejoren la seguridad del producto con elementos digitales desde la etapa de diseño y desarrollo y durante todo el ciclo de vida.
- Establecer requisitos esenciales para los procesos de gestión de vulnerabilidades determinados por los fabricantes para garantizar la ciberseguridad de los productos que contengan elementos digitales durante su ciclo de vida, así como las obligaciones de las empresas relacionadas con estos procesos. Los fabricantes deben notificar a las autoridades competentes sobre cualquier vulnerabilidad descubierta dentro de las 24 horas posteriores a su detección. Además, se establece que se debe dar soporte a las vulnerabilidades durante todo el ciclo de vida del software o durante 5 años, todo de manera efectiva.
- Proporcionar un marco de ciberseguridad que facilite el cumplimiento por parte de los fabricantes de hardware y software, alineado con otras normativas vigentes, como, por ejemplo, el Reglamento General de Protección de Datos (GDPR).
- Transparencia para los consumidores: proveer información precisa y actualizada sobre las características de seguridad de los productos. Esto ayudará a los consumidores a tomar decisiones informadas y a confiar en los productos que compran.
- Apoyo a pymes y medianas empresas con guías y directrices específicas para facilitar su cumplimiento.
En conclusión, esta nueva ley pone unas bases para asegurar que la resiliencia en ciberseguridad sea una prioridad, aumentando así la seguridad de los usuarios finales.
Laboratorio de Ciberseguridad de INCIBE
La investigación, el desarrollo y la innovación son palancas imprescindibles para mejorar la ciberseguridad de la industria española. Es por eso que, adicionalmente, INCIBE inauguró el 8 de julio de 2024, de la mano de José Luis Escrivá, el anterior ministro para la Transformación Digital y de la Función Pública, el Laboratorio de Ciberseguridad.
Se trata del primer laboratorio nacional que permite al Ministerio para la Transformación Digital y de la Función Pública disponer de un instrumento clave en la vigilancia y control de la ciberseguridad en el creciente mercado de productos con componentes digitales.
Con una inversión superior a los 7 millones de euros, cuenta con las tecnologías más avanzadas para la medición de los niveles de ciberseguridad de productos o soluciones digitales y componentes de redes de comunicaciones.
El Laboratorio de INCIBE permite al ministerio contar con un servicio de análisis de riesgos en tecnologías que se ofrecen a la ciudadanía desde el mercado, con especial atención en los dispositivos al alcance de los colectivos más vulnerables.
Los dispositivos conectados, tales como teléfonos móviles, drones o sistemas de control industrial se someten a contraste, mediante pruebas de evaluación, contra todo tipo de estándares internacionales de ciberseguridad, asegurando el cumplimiento de las nuevas regulaciones, como la Ley de Ciberresiliencia (CRA).
Por otra parte, el Laboratorio de Ciberseguridad también será un referente para la ciberseguridad de las redes 5G. Así, se trata del primer laboratorio público dotado de redes 5G para experimentación y análisis de dispositivos conectados mediante herramientas software y hardware y otras de ciberseguridad, que conforman un "banco de pruebas" que reforzará la capacidad técnica y tecnológica del Ministerio para la Transformación Digital y de la Función Pública en las medidas contempladas en el Esquema Nacional de Seguridad de redes y servicios 5G (Real Decreto 443/2024, de 30 de abril), recreando entornos de redes y servicios 5G reales e independientes para el análisis y gestión de riesgos de seguridad y para el aseguramiento del cumplimiento de los requisitos del ENS5G.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017) o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).