El Reglamento Europeo de Ciberresiliencia (Cyber Resilience Act -CRA- en inglés), marca un hito en la legislación sobre ciberseguridad de la Unión Europea. Este nuevo marco normativo, adoptado el pasado 10 de octubre por el Consejo de la UE, establece requisitos de seguridad obligatorios para los productos con elementos digitales, abarcando desde cámaras domésticas y frigoríficos hasta televisores y juguetes conectados. El objetivo principal es garantizar que estos productos sean seguros antes de su introducción en el mercado europeo y durante todo su ciclo de vida.
El CRA introduce requisitos de ciberseguridad en el diseño, desarrollo, fabricación y comercialización de productos de hardware y software e intenta evitar el solapamiento con las normas nacionales y de la propia UE. Uno de los problemas más complejos es regular para que exista un verdadero mercado europeo de la ciberseguridad que, como problema transnacional, necesita soluciones transversales que no se pierdan en los recovecos de las regulaciones y supervisores nacionales.
Uno de los aspectos más destacados del reglamento es la Marca CE para productos de software y hardware y el establecimiento de requisitos evaluables en el propio reglamento. Esta marca, ya conocido en muchos productos comercializados en el Espacio Económico Europeo (EEE), ahora se extenderá a los productos digitales, asegurando que cumplen con altos estándares de seguridad, salud y protección del medio ambiente.
El reglamento se aplica a todos los productos conectados directa o indirectamente a otros dispositivos o redes. Sin embargo, se establecen excepciones para productos que ya están sujetos a requisitos de ciberseguridad en otras normas vigentes de la UE, como los productos sanitarios, aeronáuticos y los vehículos de motor.
Un aspecto destacable del reglamento es que permitirá a los consumidores considerar la ciberseguridad al elegir y utilizar productos con elementos digitales. Esto facilitará la identificación de productos de hardware y software que cumplen con las características de ciberseguridad adecuadas.
El CRA entrará en vigor 20 días después de su publicación en el DOCE. Sin embargo, la aplicación efectiva de las disposiciones se retrasará durante un período de transición para permitir que los actores del mercado se adapten a los nuevos requisitos. Este período de transición se fija en 36 meses desde su entrada en vigor en el que los fabricantes deberán:
- Realizar análisis de riesgos en sus productos para identificar vulnerabilidades;
- Establecer procedimientos internos de conformidad; y
- Desarrollar e implementar actualizaciones de seguridad para productos existentes.
La implantación del CRA involucra a varios actores clave: los fabricantes, los importadores, las autoridades y las entidades de certificación.
Los fabricantes, como es obvio, son los principales responsables de garantizar que los productos cumplan con el CRA debiendo diseñar productos seguros, proporcionar actualizaciones de seguridad y mantener documentación técnica completa.
Los importadores y distribuidores, por su parte, deben verificar que los productos que comercializan cumplan con los requisitos del CRA y conservar la documentación técnica necesaria para acreditarlo.
Por último, las autoridades de vigilancia del mercado tienen labores de supervisión de la conformidad de los productos, realizando auditorías e inspecciones, e imponiendo sanciones cuando sea necesario. En el caso de los productos de alto riesgo, los mismos tienen que pasar una evaluación de conformidad por organismos de evaluación de la conformidad independientes.
El proceso de evaluación de conformidad es un elemento central del CRA y comprende desde la autoevaluación a la evaluación de tercera parte. En el caso de los productos de bajo riesgo, los fabricantes podrán recurrir a la autoevaluación, siempre que proporcionen la documentación técnica necesaria. Sin embargo, como ya hemos indicado, en los de alto riesgo deberán de pasar una evaluación de conformidad de tercera parte realizada por un organismo independiente.
Una vez que un producto ha pasado la evaluación de conformidad, el fabricante puede colocar la Marca CE. Este sello indica que el producto cumple con los requisitos de ciberseguridad y otras normas aplicables de la UE. Junto con la Marca CE, los fabricantes deben proporcionar una declaración de conformidad que indique el cumplimiento del producto con los requisitos del CRA.
El CRA se enmarca en un ecosistema más amplio de normativas de ciberseguridad de la UE. Es fundamental analizar su relación con otras normas clave, principalmente la Directiva NIS 2 y el Reglamento sobre Ciberseguridad. Así, con la Directiva NIS 2 comparte el objetivo de mejorar la ciberseguridad en la UE pero el CRA la complementa al asegurar que los productos utilizados en infraestructuras críticas sean seguros desde su diseño. En cuanto al Reglamento sobre Ciberseguridad (Reglamento (UE) 2019/881), que establece un sistema de certificación de ciberseguridad de productos, servicios y procesos TIC que podría ser similar, podría entrar en colisión con el CRA. El CRA se alinea con los esquemas de certificación establecidos en el Reglamento sobre Ciberseguridad, lo que evita esta colisión con lo que se podría simplificar los procesos de cumplimiento para los fabricantes.
El Reglamento Europeo de Ciberresiliencia, por tanto, representa un gran paso hacia un mercado digital más seguro en la UE. Si bien establece un marco generalmente coherente con las normas existentes, su implantación efectiva requerirá una cuidadosa coordinación para evitar confusiones y maximizar la eficiencia.