Capítulos 09 Vigente desde: 11 de diciembre de 2027 (completo)

Ley de Resiliencia Cibernética

Ley de Resiliencia Cibernética

Resumen

La Ley de Resiliencia Cibernética (CRA) introduce requisitos obligatorios de ciberseguridad para productos de hardware y software con elementos digitales. Cubre todo el ciclo de vida del producto desde el diseño hasta el fin del soporte y tiene como objetivo abordar la proliferación de productos IoT y software inseguros.[1]

La CRA se aplica a los productos puestos en el mercado de la UE independientemente de dónde se fabriquen.

Calendario de Aplicación

FechaHito
10 de diciembre de 2024Entrada en vigor de la CRA
11 de septiembre de 2026Inicio de las obligaciones de reporte
11 de diciembre de 2027Aplicación completa de todos los requisitos

Productos en Alcance

Productos Cubiertos

Productos con elementos digitales que:

  • Tienen una conexión lógica o física directa o indirecta a un dispositivo o red
  • Incluyen componentes de hardware y software

Categorías

CategoríaRequisitosEjemplos
Por defectoAutoevaluaciónLa mayoría del software, IoT básico
Importante Clase IEvaluación basada en normasNavegadores, gestores de contraseñas, VPNs, gestión de redes
Importante Clase IIEvaluación por tercerosSistemas operativos, cortafuegos, routers, hipervisores
CríticoEvaluación por terceros + certificaciónMódulos de seguridad hardware, contadores inteligentes, tarjetas inteligentes

Exenciones

  • Software de código abierto (desarrollo no comercial)
  • SaaS (cubierto por otras regulaciones)
  • Productos ya regulados (dispositivos médicos, vehículos, aviación)
  • Productos de defensa y seguridad nacional

Requisitos Esenciales de Ciberseguridad[2]

Seguridad desde el Diseño

Los productos deben ser diseñados y desarrollados para asegurar:

  1. Nivel de seguridad apropiado: Basado en riesgos previsibles
  2. Sin vulnerabilidades explotables conocidas: En el momento de la puesta en el mercado
  3. Configuración segura por defecto: Incluyendo capacidad de restablecimiento de fábrica
  4. Protección de la confidencialidad: Para datos almacenados, transmitidos y procesados
  5. Protección de la integridad: Contra modificaciones no autorizadas
  6. Disponibilidad: Resiliente contra denegación de servicio
  7. Superficie de ataque mínima: Reducir vectores potenciales de ataque
  8. Limitación del impacto de incidentes: Minimizar consecuencias de brechas

Autenticación y Control de Acceso

  • Credenciales predeterminadas fuertes y únicas o configuradas por el usuario en el primer uso
  • Protección contra ataques de fuerza bruta
  • Mecanismos de autenticación seguros

Protección de Datos

  • Almacenamiento cifrado para datos sensibles
  • Transmisión segura de datos
  • Eliminar o anonimizar datos cuando ya no sean necesarios

Requisitos para el Manejo de Vulnerabilidades[3]

Los fabricantes deben:

  1. Identificar vulnerabilidades: Mediante pruebas y monitoreo
  2. Documentar componentes: Mantener la lista de materiales de software (SBOM)
  3. Atender vulnerabilidades: Proveer actualizaciones de seguridad sin demoras indebidas
  4. Divulgar vulnerabilidades: Coordinar con las partes afectadas
  5. Actualizaciones de seguridad: Actualizaciones gratuitas durante el período definido de soporte (mínimo 5 años)

Reporte de Vulnerabilidades

A partir de septiembre de 2026, los fabricantes deben reportar:

Tipo de ReportePlazo
Vulnerabilidad explotada activamente24 horas a ENISA
Incidente con impacto en seguridad24 horas a ENISA/CSIRT
Notificación de vulnerabilidad72 horas a ENISA

Evaluación de Conformidad

CategoríaProcedimiento
Por defectoAutodeclaración o examen tipo UE
Importante Clase INormas armonizadas O evaluación por terceros
Importante Clase IIEvaluación de conformidad por terceros
CríticoExamen tipo UE + aseguramiento de calidad de producción

Los productos deben mostrar el marcado CE que confirma el cumplimiento.

Sanciones

  • Incumplimiento: Hasta 15 millones de € o 2,5% de la facturación global
  • Incumplimiento de requisitos esenciales: Hasta 10 millones de € o 2% de la facturación
  • Otras infracciones: Hasta 5 millones de € o 1% de la facturación[4]

Acciones para Desarrolladores

Para fabricantes de software y hardware:

  1. Inventariar productos: Determinar cuáles están en alcance y su categoría
  2. Seguridad desde el diseño: Integrar la seguridad en los procesos de desarrollo
  3. Gestión de vulnerabilidades: Establecer procedimientos de detección y manejo
  4. Creación de SBOM: Documentar componentes y dependencias de software
  5. Planificación de soporte: Definir y comunicar períodos de soporte
  6. Mecanismos de actualización: Construir sistemas seguros de entrega de actualizaciones
  7. Preparación para conformidad: Preparar documentación técnica

Fuentes y Referencias

[1]
Reglamento (UE) 2024/2847 sobre requisitos de ciberseguridad para productos. EUR-Lex: Texto Oficial de la CRA
[2]
Anexo I de la CRA: Requisitos esenciales de ciberseguridad. Portal CRA: Anexo I
[3]
Anexo I Parte II de la CRA: Requisitos para el manejo de vulnerabilidades. Portal CRA: Manejo de Vulnerabilidades
[4]
Artículo 64 de la CRA: Sanciones. Portal CRA: Sanciones