Miembros
Miembros
¿Qué es la CRA y a quién se aplica?
La CRA (Cyber Resilience Act) es una directiva legal europea que impone un conjunto de requisitos y obligaciones que obligan a los fabricantes, desarrolladores de software, importadores, proveedores y otras partes involucradas en el suministro de productos digitales en el espacio europeo, a afrontar la seguridad con seriedad y eficacia.
La aplicación de CRA a lo largo del ciclo de vida de estos productos requiere que las partes interesadas adopten medidas efectivas de ciberseguridad o hagan uso de prácticas de desarrollo seguras que vayan desde la seguridad por diseño y por defecto hasta la protección de datos personales (incluido el cumplimiento del RGPD), así como de la gestión de riesgos e incidentes. De esta forma se provee a la cadena de suministro de recursos para presentar procesos de mitigación rápidos y eficientes en el tratamiento de vulnerabilidades y otras cuestiones relacionadas con la seguridad de sus productos.
En el contexto de la CRA, si un fabricante tiene conocimiento de un riesgo de ciberseguridad, debe tomar medidas inmediatas para resolverlo, incluida la notificación a los usuarios y a los CSIRT (Computer Security Incident Response Team) en un breve período de tiempo. En estos casos, también deberán cooperar con las autoridades nacionales en la investigación y resolución de incidentes de ciberseguridad relacionados con sus productos.
Estas directivas complementan todo un conjunto de otras leyes y medidas que, de forma aislada, abordaron o mitigaron problemas específicos, formando una especie de mosaico legislativo.
Si eres un proveedor y estás interesado en cumplir con la CRA, hemos detallado los requisitos para tus servicios en el Sello de Confianza. Una de sus dimensiones cubre específicamente la CRA. Para más información, visita ciberia.usal.es
¿Cuál es la motivación de esta medida?
Hoy en día, los principales vectores utilizados en los ciberataques se basan en vulnerabilidades y fallos presentes en los productos de hardware y software. Dado a la globalidad de la red y el creciente número de entidades vinculadas a ella, un incidente de ciberseguridad, con un solo producto, tiende a afectar a toda la organización, pudiendo propagarse rápidamente a toda la cadena de proveedores y clientes, además de, sin control, extenderse por todo el país o, incluso, más allá de las fronteras, en pocos minutos.
Por tanto, es fundamental tener control y actuar rápidamente sobre todas las vulnerabilidades o fallas que se identifiquen o sean señaladas por los investigadores del área. En este contexto, son esenciales políticas de reacción eficaces por parte de los fabricantes o desarrolladores de software. Al enfrentarse a productos actualizables capaces de recibir correcciones que resuelvan las vulnerabilidades que puedan surgir y con toda la información relevante sobre las características de ciberseguridad de los productos, los consumidores estarán más informados para tomar decisiones más seguras.
¿A qué tipos de productos se dirigen estas medidas?
En los anexos III y IV se describen los tipos de productos cubiertos por esta directiva, diferenciándolos en importantes y críticos, los cuales se pueden resumir en:
Equipos de uso común
Computadoras personales, portátiles, tabletas, teléfonos inteligentes
Equipamientos de uso empresarial
Servidores, NAS, sistemas de control industrial
Equipamientos de redes
Routers, Switches, firewalls
Equipos de protección y medición
Cámaras de vigilancia, robots de limpieza, sensores de medición
Software
Sistemas operativos, aplicaciones, juegos, firmware
Es importante señalar que al referirnos a términos como “computadora personal” o “firmware”, no solo nos estamos refiriendo a un portátil, sino también a cualquier dispositivo que pueda incorporar estos elementos en su interior, como un frigorífico, un interruptor Wi-Fi o un incluso un juguete.
Excepciones en la aplicación de la CRA
El software gratuito y de código abierto u “open-source” no está cubierto por las reglas y requisitos definidos por la CRA. Sin embargo, todo el software open-source del que sus desarrolladores obtienen alguna fuente de ingresos (como asistencia técnica de pago o uso comercial de los datos generados por los usuarios del software) está sujeto a la aplicación de la CRA. En este sentido, y de conformidad con el artículo 53 (10.a), las multas por incumplimiento NO aplican en estos casos.
Las soluciones de software puro distribuidas en forma SaaS (software como servicio) tampoco están cubiertas por la CRA, siempre que NO procesen datos de forma remota.
Para todos los demás tipos de software, si cumplen con otras regulaciones europeas (como la directiva NIS2 [hasta la fecha aún no transcrita a la legislación portuguesa], la propuesta de reglamento para soluciones de IA [Inteligencia Artificial], etc.) con un nivel similar a requisitos de resiliencia cibernética, no necesitan cumplir adicionalmente con la CRA para las características de resiliencia cibernética ya cubiertas por estas otras regulaciones, siempre que cumplan de esta manera.
Además, los productos de IoT, que están cubiertos por otras normativas europeas (como el Reglamento europeo sobre el espacio de datos sanitarios para sistemas de registros médicos electrónicos) con un nivel similar de requisitos de ciberresiliencia, no necesitan cumplir adicionalmente con la CRA, siempre que todos sus requisitos ya se cumplan a través de estos otros Reglamentos.
¿Cuál es la legislación aplicable?
Como aún no existe una transcripción de esta directiva a la legislación española, indicamos como referencia la directiva aprobada por el Parlamento Europeo.
Otras referencias importantes
Mapeo de requisitos de Enisa CRA¿Cuáles son las penas y/o sanciones?
El incumplimiento de esta directiva podría dar lugar a multas administrativas, las cuales, dependiendo de varios factores, pueden llegar a cuantías de hasta 15M€ o el equivalente al 2,5% de la facturación anual en caso de empresas.
¿Cuándo entrará en vigor la CRA?
El 10 de octubre de 2024 fue adoptada por el Consejo de la Unión Europea. Tras este trámite y unas semanas más tarde, el acto legislativo fue firmado por los presidentes del Consejo y del Parlamento Europeo y publicado en el Diario Oficial Europeo de la UE el 21 de noviembre de 2024. A continuación, transcurrirán otros 21 meses antes de que los requisitos de presentación de informes sean exigibles y otros 15 meses después de que los requisitos técnicos también sean exigibles (es decir, 36 meses después de la entrada en vigor de la Ley).
El 10 de octubre de 2024 fue adoptada por el Consejo de la Unión Europea. Tras este trámite y unas semanas más tarde, el acto legislativo fue firmado por los presidentes del Consejo y del Parlamento Europeo y publicado en el Diario Oficial Europeo de la UE el 21 de noviembre de 2024. A continuación, transcurrirán otros 21 meses antes de que los requisitos de presentación de informes sean exigibles y otros 15 meses después de que los requisitos técnicos también sean exigibles (es decir, 36 meses después de la entrada en vigor de la Ley).
La CRA es una normativa de la Unión Europea que busca mejorar la ciberseguridad de los productos digitales y garantizar que sean seguros y resistentes a ataques y vulnerabilidades.
La CRA se aplica a fabricantes y proveedores de productos digitales, incluidos dispositivos de hardware, software y cualquier otro producto que contenga elementos digitales.
La CRA cubre productos importantes y críticos, como computadoras personales, dispositivos IoT, sistemas operativos, y otros dispositivos que integren software o firmware.
Los fabricantes deben garantizar que sus productos cumplan con los requisitos de seguridad establecidos, realizar evaluaciones de riesgos y proporcionar actualizaciones de seguridad durante un período definido.
Un "producto crítico" es aquel que tiene un impacto significativo en la seguridad, privacidad o infraestructura principal, cuya vulnerabilidad podría comprometer la ciberseguridad de sistemas importantes.
El cumplimiento será supervisado por las autoridades competentes de cada estado miembro, que realizarán auditorías y controles sobre los productos en el mercado.
Las sanciones por incumplimiento pueden incluir multas, prohibiciones de venta de productos no conformes y la obligación de retirar productos del mercado.
Sí, algunos productos pueden estar exentos si cumplen con regulaciones específicas de seguridad existentes o si son considerados de bajo riesgo.
La CRA busca aumentar la confianza de los consumidores al garantizar que los productos digitales sean más seguros y resistentes a ataques y vulnerabilidades.