Desde el 10 de diciembre de 2024, la Unión Europea ha puesto en marcha la Ley de Ciberresiliencia (Cyber Resilience Act, CRA), una normativa pionera que obliga a todos los productos digitales —hardware y software— a cumplir exigentes requisitos de ciberseguridad durante todo su ciclo de vida.
Objetivos de la nueva ley
La CRA busca proteger a consumidores y empresas frente a las ciberamenazas, garantizar que los productos digitales sean seguros desde su diseño hasta su retirada del mercado, responsabilizar a fabricantes y proveedores del mantenimiento y la actualización de seguridad, y aumentar la transparencia sobre la seguridad de los productos para el usuario final.
A quién afecta y qué productos incluye
La norma impacta a todos los actores del mercado digital: fabricantes de hardware y software, desarrolladores, distribuidores, importadores y otros intermediarios de la cadena de suministro. Su definición de producto es amplia e incluye cualquier dispositivo conectado directa o indirectamente a otro equipo o red —desde móviles, routers o domótica hasta software independiente—, con algunas excepciones como el software de código abierto o sectores ya regulados (salud, aviación o automoción).
Clasificación y fechas clave
Los productos se clasifican según su nivel de riesgo: no clasificados (autoevaluación periódica), importantes (clases I y II, con mayor control) y críticos (máximo nivel de exigencia). El calendario establece varias fechas relevantes: el 11 de junio de 2026 comienza la obligación de notificar vulnerabilidades; el 11 de septiembre de 2026, la de información por parte de los fabricantes; y el 11 de diciembre de 2027 entra en vigor de forma plena.
Qué deben hacer los fabricantes
Las empresas afectadas tendrán que diseñar productos seguros por defecto y desde el diseño, corregir vulnerabilidades durante un periodo mínimo de cinco años, notificar los incidentes en menos de 24 horas y ofrecer información clara y actualizada a los consumidores. En España, el Laboratorio de Ciberseguridad del INCIBE, inaugurado en 2024, se anticipa a esta normativa evaluando productos digitales y redes. Si comercializas productos digitales o desarrollas software, conviene empezar a preparar la estrategia de cumplimiento.
