ISMS Copilot
Marcos de trabajo compatibles

Ley de Ciberresiliencia de la UE (CRA)

La Ley de Ciberresiliencia de la UE (CRA) es una próxima legislación de la UE que establece requisitos obligatorios de ciberseguridad para productos con elementos digitales (hardware y software) comercializados en el mercado de la UE. Se espera que entre en pleno vigor en 2027, y la CRA tiene como objetivo garantizar que los productos sean seguros desde el diseño, que los proveedores mantengan la seguridad durante todo el ciclo de vida del producto y que los consumidores tengan transparencia sobre la seguridad del producto.

La CRA aún no está plenamente en vigor. Los plazos de aplicación varían según el tipo de requisito, y se espera el cumplimiento total para finales de 2027. Siga las publicaciones oficiales de la UE para conocer el texto final y los plazos de implementación.

¿Quién necesita cumplir con la CRA?

La CRA se aplica a:

  • Fabricantes: Entidades que diseñan, desarrollan o fabrican productos con elementos digitales para su comercialización en el mercado de la UE

  • Importadores: Empresas que introducen productos con elementos digitales en la UE

  • Distribuidores: Entidades que ponen productos a disposición en el mercado de la UE

  • Administradores de código abierto: Organizaciones que proporcionan soporte comercial para productos de código abierto (bajo ciertas condiciones)

Los productos con elementos digitales incluyen:

  • Software (aplicaciones, sistemas operativos, firmware)

  • Hardware con software embebido (dispositivos IoT, routers, electrodomésticos inteligentes)

  • Productos conectados (wearables, sistemas de control industrial)

Alcance y exenciones

Dentro del alcance: Productos comerciales con elementos digitales comercializados en la UE, incluidos el SaaS y los servicios en la nube si contienen componentes de software descargables.

Exentos:

  • Dispositivos médicos, sistemas de aviación y componentes de automoción ya cubiertos por normativas sectoriales específicas

  • Software de código abierto puramente no comercial desarrollado o suministrado fuera de una actividad comercial

  • Productos exclusivamente para la seguridad nacional o defensa

Si distribuye software de código abierto sin monetización ni soporte comercial, es probable que esté exento. Si proporciona soporte de pago, SLAs o funciones empresariales, la CRA puede aplicarse.

Clasificación de productos

La CRA categoriza los productos basándose en el riesgo de ciberseguridad:

  • Predeterminado (Clase I): Requisitos de ciberseguridad estándar, se permite la autoevaluación

  • Importantes (Clase II): Productos de mayor riesgo (gestión de identidad, VPN, gestión de redes) que requieren una evaluación de conformidad por parte de terceros

  • Críticos: Productos de máximo riesgo (elementos seguros, tarjetas inteligentes, sistemas PKI) que requieren una certificación rigurosa por parte de terceros

La mayoría de los productos de software comercial entran en la categoría predeterminada.

Requisitos principales

Los fabricantes deben garantizar que los productos cumplan con los requisitos esenciales de ciberseguridad durante su ciclo de vida:

Seguridad desde el diseño:

  • Sin vulnerabilidades explotables conocidas en el momento de la comercialización

  • Seguridad integrada en la arquitectura del producto y en el proceso de desarrollo

  • Superficie de ataque minimizada y configuraciones seguras por defecto

  • Protección de datos y cifrado cuando sea apropiado

  • Actualizaciones de seguridad entregadas automáticamente o con notificación al usuario

Gestión de vulnerabilidades:

  • Identificar, documentar y remediar vulnerabilidades durante todo el periodo de soporte

  • Informar sobre vulnerabilidades explotadas activamente a ENISA en un plazo de 24 horas tras tener conocimiento

  • Proporcionar actualizaciones de seguridad durante la vida útil esperada del producto (mínimo 5 años para muchos productos)

  • Mantener una política pública de divulgación de vulnerabilidades

Documentación y transparencia:

  • Proporcionar documentación de seguridad clara a los usuarios

  • Publicar la Declaración de Conformidad de la UE

  • Colocar el marcado CE en los productos conformes

  • Mantener la documentación técnica durante 10 años

Notificación de incidentes:

  • Informar sobre vulnerabilidades explotadas activamente e incidentes graves a ENISA

  • Notificar a los usuarios afectados sobre problemas de seguridad y mitigaciones disponibles

Evaluación de la conformidad

Dependiendo de la clase del producto, los fabricantes deben demostrar la conformidad mediante:

  • Autoevaluación (Clase I): El fabricante realiza las pruebas internas y la documentación

  • Evaluación por terceros (Clase II/Críticos): Un organismo notificado evalúa el cumplimiento antes de la comercialización

Todos los fabricantes deben mantener la documentación técnica que demuestre la conformidad, incluyendo evaluaciones de riesgo, resultados de pruebas de seguridad y registros del proceso de desarrollo.

Obligaciones de soporte

Los fabricantes deben proporcionar soporte de seguridad durante:

  • La vida útil esperada del producto, O

  • Un mínimo de 5 años desde la comercialización (para la mayoría de los productos)

Esto incluye el parcheo de vulnerabilidades, actualizaciones de seguridad y respuesta a incidentes. Los productos sin soporte continuo no pueden permanecer legalmente en el mercado de la UE.

Sanciones

La CRA establece sanciones financieras significativas:

  • Infracciones graves (productos no conformes, falta de marcado CE): Hasta 15 millones de euros o el 2,5 % de la facturación anual global

  • Otras infracciones (documentación incompleta, falta de cooperación): Hasta 10 millones de euros o el 2 % de la facturación anual global

  • Información falsa: Hasta 5 millones de euros o el 1 % de la facturación anual global

Cronograma de implementación

Fases de aplicación previstas (sujetas a la publicación de la regulación final):

  1. 2024-2025: Publicación de la regulación, comienza el periodo de gracia

  2. 2026: Entran en vigor las obligaciones de notificación de vulnerabilidades

  3. 2027: Cumplimiento total exigido para nuevos productos comercializados

  4. Post-2027: Los productos existentes deben mantener las obligaciones de soporte

Empiece a prepararse ahora implementando prácticas de desarrollo seguro, estableciendo procesos de gestión de vulnerabilidades y documentando su arquitectura de seguridad.

Cómo ayuda ISMS Copilot

ISMS Copilot puede apoyar la preparación para el cumplimiento de la CRA:

  • Orientación general sobre ciberseguridad: Pregunte sobre prácticas de desarrollo seguro, gestión de vulnerabilidades y seguridad del ciclo de vida

  • Desarrollo de políticas: Cree políticas de ciclo de vida de desarrollo seguro (SDLC) y políticas de divulgación de vulnerabilidades

  • Evaluaciones de riesgo: Genere evaluaciones de riesgo de seguridad de productos alineadas con los requisitos esenciales

  • Plantillas de documentación: Desarrolle marcos de documentación de seguridad para la evaluación de la conformidad

  • Análisis de brechas: Cargue políticas de desarrollo existentes para identificar brechas respecto a los principios de la CRA

Aunque ISMS Copilot no tiene conocimientos específicos dedicados a la CRA (la regulación aún se está finalizando), puede preguntar sobre los controles de desarrollo seguro de ISO 27001 y las mejores prácticas generales de seguridad de productos que se alinean con los objetivos de la CRA.

Pruebe a preguntar: "Genera una política de divulgación de vulnerabilidades para un producto de software" o "¿Cuáles son los principios de seguridad desde el diseño para el desarrollo de productos?"

Primeros pasos

Para prepararse para el cumplimiento de la CRA:

  1. Evalúe si sus productos entran en el alcance de la CRA y determine su clasificación

  2. Implemente prácticas de ciclo de vida de desarrollo seguro (modelado de amenazas, pruebas de seguridad, revisión de código)

  3. Establezca procesos de gestión y divulgación de vulnerabilidades

  4. Planifique el soporte de seguridad a largo plazo (más de 5 años)

  5. Documente la arquitectura de seguridad y las evaluaciones de riesgo

  6. Siga las publicaciones oficiales de ENISA y de la UE para conocer los requisitos finales y la orientación

Recursos relacionados

  • Propuesta de la CRA de la Comisión Europea y actualizaciones

  • Marcos de certificación de ciberseguridad y orientación de ENISA

  • Autoridades nacionales de vigilancia del mercado en los estados miembros de la UE

¿Te fue útil?