Ley de Ciberresiliencia de la UE: nuevo hito en la Ciberseguridad Europea

Inicio / Ley de Ciberresiliencia de la UE: nuevo hito en la Ciberseguridad Europea

La Ley de Ciberresiliencia (CRA, por sus iniciales en inglés) es la obligación regulatoria y legal más reciente en el campo de la seguridad de la información, la ciberseguridad y la protección de los usuarios de productos digitales en la Unión Europea.

La Ley de Ciberresiliencia marca un hito en el camino hacia la seguridad de los usuarios de dispositivos o productos que se conectan de forma directa o indirecta a una red o que lo hacen a través de otro dispositivo. Las obligaciones que impone la nueva ley se aplican a fabricantes y minoristas.

Cuáles son las novedades de la Ley de Ciberresiliencia

La nueva Ley de Ciberresiliencia introduce normas estandarizadas para regularizar la llegada al mercado de todo tipo de productos o dispositivos que estén dotados con software o cualquier otro tipo de componentes digitales.

La ley también crea un marco para reglamentar la producción de dispositivos o productos que cumplan con las condiciones determinadas, en cada una de las etapas de la cadena de valor y en cada momento desde el diseño hasta la distribución, pasando por la planificación y la producción.

Los fabricantes tendrán la obligación de cumplir con lo ordenado por la Ley de Ciberresiliencia antes de 2027. Los productos que lo hagan exhibirán la marca CE como demostración del cumplimiento. Los consumidores tendrán así un nuevo elemento útil para la toma de decisiones informadas en un escenario en el que la concienciación sobre seguridad de la información es cada vez mayor.

Cuál es el origen de la Ley de Ciberresiliencia de la UE

La Ley de Ciberresiliencia tiene su origen en la Estrategia de Ciberseguridad de la UE de 2020. La estrategia, creada por la Agencia de la UE para la Ciberseguridad, busca estandarizar la ciberseguridad en la Unión Europea, inicialmente en servicios esenciales como medios de transporte, servicios sanitarios, redes de transmisión de energía y telecomunicaciones.

Después, la estrategia aborda los dispositivos y objetos interconectados de uso común en hogares y oficinas. Y es en este punto en donde aparece la Ley de Ciberresiliencia de la UE, que se publica el 20 de noviembre de 2024. El 10 de diciembre de 2024 se inicia un programa de entrada en vigor escalonado que culminará en 2027 y que contempla la obligación de presentar informes para los fabricantes.

Para qué productos se aplica la Ley de Ciberresiliencia

La Ley de Ciberresiliencia se aplica a todos los productos que incorporen software o software que, de forma directa o indirecta, se conecten a otro dispositivo o a una red. La excepción son aquellos que ya estén dentro del ámbito de aplicación de otra regulación, como es el caso de equipos para la industria de automoción, dispositivos aeronáuticos o equipos utilizados en el sector sanitario. Los dispositivos electrónicos de uso cotidiano, así como los sistemas industriales complejos, entran dentro del alcance de la ley.

Objetivos de la Ley de Ciberresiliencia de la UE

El principal objetivo de la Ley de Ciberresiliencia es proteger a los consumidores de dispositivos digitales o productos que tienen la capacidad para conectarse a una red. Lo hace de varias formas:

Exigiendo a los fabricantes de proporcionar soporte de seguridad para sus productos y actualizaciones del software que utilizan los dispositivos.
Solicitando la comercialización de productos evaluados por el fabricante o por un tercero que verifique la seguridad mejorada.
Promoviendo la reducción de vulnerabilidades en productos que utilicen software, se puedan conectar a una red o utilicen elementos digitales.
Fomentando la confianza en productos digitales. Al mejorar los estándares de seguridad también se genera confianza digital en los consumidores.
Estableciendo un marco regulatorio unificado en el que se reglamenta la ciberseguridad para los productos sobre los que tiene alcance la ley y se armonizan otras normas existentes en la UE.

Las obligaciones son para los fabricantes, importadores, distribuidores y comercializadores de productos digitales, sus componentes y todos los aplicativos o dispositivos que pueden procesar datos de forma remota.

Cronograma de implementación de la Ley de Ciberresiliencia de la UE

La implementación de la Ley de Ciberresiliencia se llevará a cabo de forma escalonada a lo largo de tres años, de acuerdo con el siguiente cronograma:

Fecha	Fase de implementación
20 noviembre 2024	Publicación de la ley
11 diciembre 2024	Entrada en vigor
11 junio 2026	Entrada en vigor obligaciones de notificación a organismos de evaluación de conformidad.
11 septiembre 2026	Entrada en vigor de obligaciones de notificación de vulnerabilidades e incidentes de seguridad.
11 diciembre 2027	Entrada en vigor plena de todas las disposiciones.

Alcance de la Ley de Ciberresiliencia de la UE

La Ley tiene alcance sobre todos los productos que incorporan elementos digitales, que se clasifiquen como software o hardware y sus aplicaciones o soluciones que procesan datos de forma remota y se conectan a una red o a otros dispositivos que lo hacen.

Dentro del grupo de productos sobre los que tiene alcance la ley están enrutadores, dispositivos domésticos inteligentes, asistentes de voz, hardware y software industrial, aplicaciones, plataformas o servicios en la nube o residentes en un ordenador y todas las partes o complementos vendidos con el componente o dispositivo o por separado.

Por otra parte, el alcance geográfico es sobre todas las empresas que producen, importan o comercializan en territorio de la UE.

Cómo se clasifican los productos digitales en la Ley de Ciberresiliencia

La ley clasifica los productos de acuerdo con el riesgo de ciberseguridad asociado a cada uno de ellos. El nivel de riesgo determina los requisitos de seguridad y los procedimientos de evaluación de la conformidad. La clasificación es la siguiente:

Nivel de riesgo	Descripción	Ejemplos
Productos no críticos	90 % de los productos del mercado, que están sujetos a requisitos generales.	Software de edición de fotografías. Procesadores de texto. Dispositivos inteligentes domésticos simples.
Productos importantes	Se dividen en dos clases y representan un nivel de riesgo medio.	Sistemas de gestión de identidad. Navegadores y administradores de contraseñas. Cortafuegos y sistemas de prevención de intrusiones. Microprocesadores.
Productos críticos	Productos asociados a entidades esenciales o cadenas de suministro críticas.	Pasarelas de medidores inteligentes. Dispositivos criptográficos. Hardware de prueba de manipulaciones.

Quiénes están obligados y cuáles son sus obligaciones

La Ley de Ciberresiliencia considera cuatro grupos de obligados, cada uno de ellos con obligaciones diferentes:

1. Fabricantes

Empresas que diseñan, desarrollan y fabrican productos digitales sobre los que tiene alcance la ley en cualquiera de los países que conforman la Unión Europea. Este grupo tiene las responsabilidades más amplias:

Integrar funciones de seguridad en todas las etapas de la producción, desde el diseño hasta la entrega del producto al consumidor o al distribuidor.
Garantizar el cumplimiento de los requisitos de la ley con evaluaciones de conformidad, antes de que el producto llegue al mercado.
Suministrar documentación técnica, que incluye instrucciones de uso y declaraciones de conformidad.
Suministrar información a las autoridades pertinentes en un término no mayor a 24 horas sobre vulnerabilidades de la seguridad o incidentes relevantes identificados o reportados.
Supervisar y gestionar todas las vulnerabilidades que se identifiquen después de comercializado el producto, entregando actualizaciones o parches.

2. Importadores

Para los comercializadores de productos desarrollados fuera de la Unión Europea, la responsabilidad es verificar que el fabricante cuenta con la documentación completa y que garantiza que el producto incorpora la marca CE y las respectivas declaraciones de conformidad.

3. Distribuidores

Los distribuidores, que comercializan en el mercado productos en los que interviene una cadena de suministro con proveedores provenientes de cualquier país de la UE, están obligados a verificar el cumplimiento de los fabricantes y que los productos exhiben la marca CE.

4. Administradores de software de código abierto

Empresas que desarrollan o apoyan el desarrollo de software libre destinado a actividades comerciales. Para este grupo la obligación es crear una política de ciberseguridad, documentarla y verificar que se cumpla. La política debe expresar el compromiso con el desarrollo de productos seguros y con la gestión de vulnerabilidades.

Cuáles son las sanciones por incumplimiento de la Ley de Ciberresiliencia

La primera consecuencia del incumplimiento es la imposibilidad de comercializar los productos en la Unión Europea. Las partes obligadas que lo hagan estarán obligadas a aplicar las acciones correctivas necesarias en los términos que prevé la ley.

De no hacerlo, tendrán que retirar del mercado el producto. Las sanciones van desde órdenes administrativas, cierre de operación, pérdida de licencia o sanciones económicas que van desde 15 millones de euros o el 2,5% de la facturación anual global. Por eso es tan importante conocer el texto completo de la Ley.

Software ISO 27001

Cualquier organización, incluidas las que alcanza la nueva ley, tienen en el Software ISO 27001 y en la implementación del estándar internacional de seguridad de la información, herramientas valiosas para garantizar el cumplimiento de la normativa en esta materia.

Esta plataforma tecnológica automatiza las tareas necesarias para garantizar la conformidad con la norma, con los beneficios que implica para obtener la certificación y garantizar el cumplimiento de otras obligaciones como el RGPD. Para conocer mucho más sobre el software, sus funcionalidades y beneficios, solo tienes que consultar sin compromiso con nuestros asesores.