Reglamento sobre Ciberresiliencia

El Reglamento (UE) 2024/2847 se aplica a los productos con elementos digitales —hardware y software— cuyo uso previsto incluye una conexión de datos directa o indirecta a un dispositivo o red. Entró en vigor el 10 de diciembre de 2024. Las obligaciones de notificación de vulnerabilidades e incidentes son exigibles desde el 11 de septiembre de 2026, y el conjunto principal de obligaciones (requisitos esenciales, evaluación de conformidad, marcado CE) desde el 11 de diciembre de 2027. Quedan excluidos los productos ya cubiertos por regímenes sectoriales equivalentes (p. ej., dispositivos médicos, automoción, aviación).

El Anexo I exige que los productos se diseñen, desarrollen y produzcan de modo que garanticen un nivel de ciberseguridad adecuado al riesgo: comercializarse sin vulnerabilidades explotables conocidas, con una configuración segura por defecto, protección de la confidencialidad e integridad de los datos, minimización de superficie de ataque y capacidad de aplicar actualizaciones de seguridad. El fabricante debe gestionar las vulnerabilidades durante todo el periodo de soporte (que debe declarar y que, por defecto, se espera de al menos cinco años salvo vida útil menor), proporcionando actualizaciones de seguridad gratuitas y un boletín de vulnerabilidades.

Desde el 11 de septiembre de 2026, el fabricante debe notificar las vulnerabilidades activamente explotadas y los incidentes graves que afecten a la seguridad del producto, a través de una plataforma única, a la ENISA y al CSIRT designado como coordinador. Los plazos son escalonados: una alerta temprana en un máximo de 24 horas desde que se tiene conocimiento, una notificación más completa en 72 horas y un informe final posterior. Es un régimen análogo al de notificación de incidentes de NIS2, con el que conviene coordinar los procedimientos internos.

La obligación principal recae en el fabricante, con deberes derivados para importadores y distribuidores. Los productos se clasifican en categorías por criticidad: la mayoría se autoevalúan, pero los productos 'importantes' y 'críticos' (p. ej., gestores de contraseñas, cortafuegos, sistemas operativos) requieren evaluación de conformidad reforzada. Superada la conformidad, el producto lleva el marcado CE. El incumplimiento de los requisitos esenciales puede sancionarse con hasta 15 millones de euros o el 2,5 % del volumen de negocio anual mundial (la cuantía mayor).

Un cuestionario adaptativo determina qué obligaciones de CRA aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.

• Política de Gestión de Vulnerabilidades y Notificación de Incidentes (CRA)