/

29 de agosto de 2024

Entra en vigor la Ley de Ciberresiliencia Europea

Desde el 10 de diciembre de 2024, la Unión Europea ha puesto en marcha la Ley de Ciberresiliencia (Cyber Resilience Act, CRA), una normativa pionera que obliga a todos los productos digitales —hardware y software— a cumplir exigentes requisitos de ciberseguridad durante todo su ciclo de vida.

Objetivos de la nueva ley

La CRA busca proteger a consumidores y empresas frente a las ciberamenazas, garantizar que los productos digitales sean seguros desde su diseño hasta su retirada del mercado, responsabilizar a fabricantes y proveedores del mantenimiento y la actualización de seguridad, y aumentar la transparencia sobre la seguridad de los productos para el usuario final.

A quién afecta y qué productos incluye

La norma impacta a todos los actores del mercado digital: fabricantes de hardware y software, desarrolladores, distribuidores, importadores y otros intermediarios de la cadena de suministro. Su definición de producto es amplia e incluye cualquier dispositivo conectado directa o indirectamente a otro equipo o red —desde móviles, routers o domótica hasta software independiente—, con algunas excepciones como el software de código abierto o sectores ya regulados (salud, aviación o automoción).

Clasificación y fechas clave

Los productos se clasifican según su nivel de riesgo: no clasificados (autoevaluación periódica), importantes (clases I y II, con mayor control) y críticos (máximo nivel de exigencia). El calendario establece varias fechas relevantes: el 11 de junio de 2026 comienza la obligación de notificar vulnerabilidades; el 11 de septiembre de 2026, la de información por parte de los fabricantes; y el 11 de diciembre de 2027 entra en vigor de forma plena.

Qué deben hacer los fabricantes

Las empresas afectadas tendrán que diseñar productos seguros por defecto y desde el diseño, corregir vulnerabilidades durante un periodo mínimo de cinco años, notificar los incidentes en menos de 24 horas y ofrecer información clara y actualizada a los consumidores. En España, el Laboratorio de Ciberseguridad del INCIBE, inaugurado en 2024, se anticipa a esta normativa evaluando productos digitales y redes. Si comercializas productos digitales o desarrollas software, conviene empezar a preparar la estrategia de cumplimiento.

¿Está tu empresa preparada para un ciberataque?

Noticias como esta tienen una lectura para cualquier autónomo o pyme: la pregunta no es si ocurrirá un incidente, sino cuándo. Y la diferencia entre un susto y un cierre está en dos cosas: tener copias que de verdad se puedan restaurar y una infraestructura protegida. En Centro de Respaldo ayudamos a las empresas de Extremadura a estar preparadas:

¿Hablamos de cómo proteger tu negocio? Cuéntanos tu caso y te decimos qué necesitas —y qué no—. Estamos en Mérida, de lunes a viernes de 09:00 a 14:00.

De la misma categoría