Cuenta atrás para el reglamento de ciberresiliencia: en junio y septiembre de 2026, los primeros hitos

El Reglamento (UE) 2024/2847, conocido como reglamento de ciberresiliencia o CRA, ya está en vigor. Aunque hasta diciembre de 2027 no se aplicará plenamente, el régimen para los organismos de evaluación de la conformidad será aplicable a partir del 11-06-2026, y, desde el 11-09-2026, las obligaciones de los fabricantes de informar sobre vulnerabilidades aprovechadas activamente e incidentes graves que afecten a la seguridad de los productos. Desde esta segunda fecha, los fabricantes deberán notificar simultáneamente al CSIRT designado como coordinador y a ENISA cualquier vulnerabilidad aprovechada activamente, así como cualquier incidente grave que repercuta en la seguridad del producto.

El CRA es una norma horizontal que pretende dotar de mayores garantías de ciberseguridad a los productos digitales, es decir, que los productos con elementos digitales lleguen al mercado con menos vulnerabilidades, actualizaciones de seguridad más previsibles y usuarios mejor informados.

Uno de los puntos clave para entender cuándo estamos en el ámbito de aplicación del CRA, es entender qué es un “producto con elementos digitales”. La norma lo define como: «producto consistente en programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado». Hay que reconocer que no es una definición clara, pero, desde nuestro punto de vista, hay dos elementos clave: la puesta en el mercado y la capacidad de un producto para intercambiar información digitalmente hablando.

El reglamento no se centra solo en el dispositivo físico. También alcanza al software que lo hace funcionar, a la aplicación que permite configurarlo, a los componentes que se integran e incluso a las funciones remotas sin las que el producto no podría cumplir alguna de sus funcionalidades. Por eso, y por dar ejemplos concretos, un dispositivo wearable fitness para medir la frecuencia cardíaca junto con la aplicación para el móvil que muestra las mediciones, una aplicación bancaria con interconexión a todas las cuentas, posiciones y productos, el firmware, o el sistema operativo de un ordenador quedan claramente bajo el ámbito de la norma.

Es necesario analizar caso por caso para determinar si un producto está afectado por el reglamento de ciberresiliencia o no, pero hay dos supuestos muy comunes en las entidades y que a todos nos han generado dudas de interpretación: por un lado, los sitios web, y por otro, el software como servicio (SaaS).

Para estos supuestos debemos analizar en su conjunto el servicio. En el caso de los sitios web que no respaldan la funcionalidad de un producto con elementos digitales, entendemos que no serían considerados en sí mismos productos con elementos digitales, mientras que los sitios web que respaldan la funcionalidad de un producto con elementos digitales podrían entrar en el ámbito de aplicación de la CRA en la medida en que se ajusten a la definición de tratamiento de datos a distancia.

Asimismo, el SaaS autónomo u otras soluciones en la nube, diseñadas y desarrolladas al margen de la responsabilidad de un fabricante de un producto con elementos digitales, no son en sí mismos productos con elementos digitales. Por el contrario, cuando dichos servicios se ajustan a la definición de tratamiento de datos a distancia, sí encajan en el ámbito de aplicación del CRA.

El reglamento afecta a fabricantes, importadores y distribuidores, aunque las obligaciones más intensas se refieren a los fabricantes, y he aquí otra definición legal: es fabricante la «persona física o jurídica que desarrolla o fabrica productos con elementos digitales o para quien se diseñan, desarrollan o fabrican productos con elementos digitales, y que los comercializa con su nombre o marca comercial, ya sea de manera remunerada, monetizada o gratuita». Es importante subrayar esta definición dado que si una entidad, cualquiera que sea su actividad, encarga el desarrollo de ese producto y lo comercializa bajo su nombre, se considera fabricante a efectos del CRA.

Para los fabricantes, el artículo 13 es una de las piezas centrales. Exige diseñar, desarrollar y fabricar los productos conforme a requisitos esenciales de ciberseguridad; realizar una evaluación de riesgos; integrar esa evaluación durante todo el ciclo de vida; y actuar con diligencia al incorporar componentes de terceros. Además, impone obligaciones de gestión de vulnerabilidades durante el período de soporte, que con carácter general será de al menos cinco años, salvo que el uso previsto del producto sea inferior. A lo anterior hay que sumar la documentación técnica, la declaración UE de conformidad, el marcado CE cuando proceda, instrucciones claras para el usuario, identificación del fabricante, un punto único de contacto y medidas correctoras cuando el producto no cumpla los requisitos aplicables.

El reglamento, además, contiene una regla transitoria importante. Los productos con elementos digitales introducidos en el mercado antes del 11 de diciembre de 2027 solo estarán sujetos a los requisitos del CRA si, a partir de esa fecha, se someten a una modificación sustancial. La excepción radica en las obligaciones del artículo 14, que sí se aplicarán a todos los productos con elementos digitales incluidos en el ámbito del reglamento con independencia de su fecha de comercialización.

En definitiva, el CRA se incorpora al conjunto de normas en materia de ciberseguridad que, junto con DORA o NIS2, reflejan los esfuerzos de la Unión Europea por reforzar el funcionamiento del mercado interior.