La Ley de Ciberresiliencia (CRA) y cómo afectará a los fabricantes y distribuidores - Blog Yunbit Software

La entrada en vigor el pasado 10 de diciembre  de la Ley de Ciberresiliencia afecta a los productos (hardware  y software) “que incluyen elementos digitales”.

La Ley de Ciberresiliencia complementa el marco de ciberseguridad de la SRI 2, directiva que establece un marco jurídico unificado para defender la ciberseguridad en sectores críticos de toda la UE.

Se trata de la primera legislación de la UE que establece requisitos obligatorios de ciberseguridad que impone obligaciones de los fabricantes de proporcionar actualizaciones de software que corrijan las vulnerabilidades de seguridad y ofrezcan apoyo en materia de seguridad a los consumidores.

Además, los productos llevarán el marcado CE para indicar que cumplen los requisitos del Reglamento.

En este artículo vamos a dar algunas pistas de lo que implica su entrada en vigor.

Servicios calificados como esenciales

El Reglamento indica que si la empresa se encuentra dentro de las siguientes categorías o realiza actividades que son fundamentales para la infraestructura crítica de la nación, es crucial evaluar su cumplimiento con la nueva ley.

Categorías de servicios y sectores críticos

• Organismos de la Administración del Estado.
• Coordinador Eléctrico Nacional.
• Servicios prestados bajo concesión de servicio público.
• Servicios que se proveen por instituciones privadas que realicen las siguientes actividades:
  • Generación, transmisión o distribución de energía eléctrica.
  • Transporte, almacenamiento o distribución de combustibles.
  • Suministro de agua potable y saneamiento.
  • Telecomunicaciones e infraestructura digital.
  • Servicios digitales y tecnologías de la información gestionadas por terceros.
  • Transporte terrestre, aéreo, ferroviario o marítimo y operación de infraestructuras relacionadas.
  • Banca, servicios financieros y sistemas de pago.
  • Administración de prestaciones de seguridad social.
  • Servicios postales y de mensajería.
  • Prestación de servicios de salud por entidades como hospitales, clínicas, consultorios y centros médicos, incluyendo la producción e investigación farmacéutica.

Obligaciones de los proveedores de productos de hardware y software

El Reglamento Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) nº 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia).

Veamos en resumen los puntos más destacados del Reglamento para ir teniendo previsión de los cambios o modificaciones que se deberán de realizarse en las empresas a las que aplique.

“… tiene por objeto fijar condiciones límite que permitan el desarrollo de productos con elementos digitales seguros, garantizando que los productos consistentes en equipos y programas informáticos se introduzcan en el mercado con menos vulnerabilidades y que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida de un producto. También aspira a crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de elegir y utilizar productos con elementos digitales…”

En este contexto, el Reglamento especifica los requisitos básicos de ciberseguridad relativos a los productos con elementos digitales, a saber:

• Sobre la base de los riesgos existentes, los productos se diseñarán, desarrollarán y producirán de manera que garanticen un nivel adecuado de ciberseguridad.
• Sobre la base de la evaluación de riesgos de ciberseguridad los productos se comercializarán sin vulnerabilidades aprovechables conocidas y estarán diseñados desarrollados y producidos para limitar las superficies de ataque, incluidas las interfaces externas.

Además, detalla los requisitos de gestión de vulnerabilidades de los fabricantes de los productos con elementos digitales, así:

• se identificarán y documentarán las vulnerabilidades y los componentes presentes en el producto con elementos digitales;
• se llevarán a cabo exámenes y pruebas eficaces y periódicos de la seguridad del producto con elementos digitales;
• se pondrán en marcha y aplicarán una política de divulgación coordinada de vulnerabilidades;
• y se garantizará que, cuando se disponga de actualizaciones de seguridad para hacer frente a los problemas de seguridad detectados, estos se difundan sin demora.

Por otro lado, y sobre la información e instrucciones al usuario, se especificará, entre otros, no menos importantes:

• el nombre, nombre comercial o marca registrada;
• el punto único de contacto en el que pueda notificarse y obtenerse información sobre las vulnerabilidades;
• información que permita su identificación única y la finalidad prevista;
• cualquier circunstancia conocida o previsible que pueda dar lugar a riesgos de ciberseguridad significativos;
• el tipo de apoyo técnico en materia de seguridad ofrecido por el fabricante;
• y la fecha de finalización del período de soporte.

Próximos pasos

El Reglamento será aplicable a partir del 11 de diciembre de 2027; a excepción de las obligaciones de información relativas a vulnerabilidades aprovechadas activamente (casos en los que un fabricante establece que una violación de la seguridad que afecta a sus usuarios o a cualquier otra persona física o jurídica se debe a un agente malintencionado que hace uso de un defecto en uno de los productos con elementos digitales comercializados por el fabricante) e incidentes graves que repercutan en la seguridad de productos con elementos digitales, que deben ser aplicables a partir del 11 de septiembre de 2026 y de las disposiciones relativas a la notificación de los organismos de evaluación de la conformidad, que deben ser aplicables a partir del 11 de junio de 2026.