El nuevo reglamento de ciberresiliencia recopila los requisitos para los productos digitales

27-11-2024 — AR/2024/097

Este reglamento completa la principal normativa de ciberseguridad de la Unión Europea y detalla las obligaciones con los productos con componentes digitales y las sanciones por el incumplimiento de esas obligaciones.

El Reglamento (UE) 2024/2847,1 conocido como reglamento de ciberresiliencia (o Cyber Resilience Act) y, promulgado el 20-11-2024, busca fortalecer la seguridad de los productos digitales, incluyendo hardware y software, dentro del mercado europeo.

Su objetivo es fijar requisitos claros de ciberseguridad para reducir vulnerabilidades y prevenir ciberataques que puedan comprometer la privacidad, la seguridad y la confianza de los consumidores.

Este reglamento, junto con la directiva NIS,2 componen la principal normativa de ciberseguridad de la Unión Europea (UE).

Resumimos a continuación los aspectos principales del reglamento.

Ámbito de aplicación

El nuevo reglamento se aplicará a todos los productos que tengan conexión,  directa o indirecta, con otros dispositivos o redes, excepto a los que ya están regulados por normativas específicas, como los dispositivos médicos, las aeronaves y los vehículos.

Obligaciones de los fabricantes

Resaltamos las principales:

  1. Evaluar la conformidad para demostrar que sus productos cumplen con los requisitos esenciales de ciberseguridad recogidos en el reglamento, incluyendo una evaluación de conformidad que puede estar basada en:
    • el aseguramiento de la calidad total, que implica disponer de un sistema de gestión de la calidad que asegure la conformidad continua del producto, o
    • evaluaciones específicas, es decir, procedimientos que se centran en aspectos particulares del producto o en la verificación de requisitos específicos.
  2. Elaborar una declaración de conformidad para certificar que el producto cumple con los requisitos aplicables, mantenerla actualizada y disponible para las autoridades de vigilancia del mercado durante al menos diez años.
  3. Marcar con la etiqueta «CE» los productos que cumplan con los requisitos, para indicar la conformidad con la normativa de la UE.
  4. Gestionar las vulnerabilidades, que incluye identificar, informar y corregir cualquier vulnerabilidad que se descubra en los componentes del producto.
  5. Mantener la documentación técnica que respalde la conformidad del producto y la declaración de conformidad; esta documentación debe incluir:
    • descripciones de los procedimientos de evaluación,
    • resultados de las pruebas y análisis realizados, e
    • información sobre el diseño y la producción del producto.
  6. Ejercer la diligencia debida para asegurar que los productos en producción en serie mantengan su conformidad con el reglamento, considerando cambios en el desarrollo, producción y normativas aplicables.
  7. Mantener las obligaciones cuando modifica sustancialmente el producto, es decir, cumplir con las obligaciones de conformidad respecto a la parte afectada o al producto en su totalidad si la modificación afecta a la ciberseguridad.
  8. Informar de las vulnerabilidades aprovechadas activamente y de los  incidentes graves con repercusiones en la seguridad de un producto con elementos digitales a:
    • el equipo de respuesta a incidentes de seguridad informáticos (o CSIRT, en siglas inglesas; véase www.csirt.es), y
    • la Agencia de la Unión Europea para la Ciberseguridad (ENISA, en siglas inglesas; véase www.enisa.europa.eu).
  9. Dar soporte efectivo a las vulnerabilidades durante todo el ciclo de vida del software o durante 5 años.

Posibles sanciones

Resaltamos las siguientes:

  • Multas de hasta 15 millones de euros o, si es una empresa, de hasta el 2,5 % del volumen de negocio total anual mundial, a los fabricantes que incumplan los requisitos esenciales de ciberseguridad.
  • Multas de hasta 10 millones de euros o, si es una empresa, de hasta el 2 % del volumen de negocio total anual mundial cuando incumplan sus obligaciones:
    • los representantes autorizados de los fabricantes,
    • los importadores,
    • los distribuidores,
    • los encargados de la declaración UE de conformidad,
    • los del marcado CE,
    • los responsables de elaborar la documentación técnica y
    • los que evalúan la conformidad.
  • Multas de hasta 5 millones de euros o, si es una empresa, de hasta el 1 % del volumen de negocio total anual mundial, por presentar información incorrecta, incompleta o engañosa a organismos notificados y a las autoridades de vigilancia del mercado.

Entrada en vigor

El reglamento será aplicable:

  • de forma general, desde el 11-12-2027;
  • desde el 11-9-2026, lo relativo a las obligaciones de información de los fabricantes, y
  • desde el 11-6-2026, lo relativo a la notificación de los organismos de evaluación de la conformidad.
1 Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.° 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828.
2 Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148.

 

Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información