El pasado 10 de diciembre de 2024 entró en vigor el Reglamento sobre Ciberresiliencia (CRA). La Ley de Ciberresiliencia europea marca un antes y un después en la forma en que los productos digitales deben garantizar su seguridad en el mercado de la UE.

Su objetivo es garantizar que tanto consumidores como empresas estén protegidos frente a vulnerabilidades de seguridad, obligando a fabricantes, desarrolladores y distribuidores a implementar medidas preventivas, actualizar sus productos de forma segura y notificar incidentes de ciberseguridad en plazos determinados.

Algunos de los puntos clave que establece la ley son:

1. Requisitos de ciberseguridad por diseño y por defecto                                                                                                                                                   Los productos deberán integrar medidas de seguridad desde su fase de diseño, evitando soluciones improvisadas posteriores.
2. Obligaciones durante todo el ciclo de vida del producto                                                                                                                                            Desde la concepción hasta su retirada del mercado, incluyendo actualizaciones de seguridad y gestión de vulnerabilidades.
3. Transparencia y documentación técnica                                                                                                                                                                                Se requiere una documentación clara y detallada sobre las características de seguridad del producto.
4. Notificación de incidentes                                                                                                                                                                                                        Las empresas estarán obligadas a reportar cualquier vulnerabilidad explotada o incidente de ciberseguridad en un plazo máximo de 24 horas.
5. Evaluación de conformidad                                                                                                                                                                                                Muchos productos deberán pasar por procedimientos de evaluación antes de salir al mercado.

Este nuevo marco legislativo afecta a todos los actores del mercado europeo que diseñan, desarrollan, fabrican, distribuyen o venden productos con elementos digitales, incluyendo:

• Fabricantes de hardware y software
• Empresas de IoT (Internet of Things)
• Desarrolladores de aplicaciones y plataformas
• Proveedores de servicios TIC
• Distribuidores y revendedores tecnológicos

¿Qué productos están cubiertos?

• Dispositivos inteligentes (routers, cámaras, impresoras, asistentes virtuales, etc.)
• Software con funcionalidades de red
• Aplicaciones móviles y de escritorio
• Equipos de red y comunicaciones
• Herramientas empresariales basadas en la nube
• Formación continua a tus equipos de desarrollo y soporte.

Adaptarse a la Ley de Ciberresiliencia europea no solo es una obligación legal, sino una oportunidad para mejorar la ciberseguridad y la confianza de los usuarios

Mas información aquí