122 red seguridad tercer trimestre 2025 opinión En diciembre de 2024 entró en vigor la Cyber Resilience Act (CRA), marcando un hito en la ciberseguridad europea. Este reglamento vinculante (UE 2024/2847) eleva los estándares de protección para los “productos con elementos digitales”. Su alcance obliga a los fabricantes a replantear cómo diseñan y desarrollan sus productos digitales, convirtiéndose en un punto de inflexión para reforzar la confianza en el mercado digital europeo y posicionar a la Unión Europea como referente en resiliencia y seguridad digital. Alcance y propósito El CRA, publicado como texto legal, es en esencia un marco normativo diseñado para reducir vulnerabilidades en los productos digitales puestos en el mercado europeo, exigiendo medidas de seguridad durante todo su ciclo de vida: desde el diseño y desarrollo, hasta su retirada del mercado. Esta ley define unos requisitos esenciales de ciberseguridad (anexo I) que todo producto en el alcance debe cumplir, tanto a nivel de propiedades de ciberseguridad de producto (control de acceso, confidencialidad/integridad de datos…) como de requisitos de gestión de las vulnerabilidades. Así, los fabricantes deben garantizar que sus productos sean seguros por diseño, se entreguen sin vulnerabilidades conocidas explotables, estén configurados de manera segura por defecto y cuenten con mecanismos y procedimientos efectivos de gestión de vulnerabilidades, incluyendo actualizaciones automáticas de seguridad. Los fabricantes deben incorporar la ciberseguridad desde el inicio del ciclo de vida y garantizar la transparencia mediante el marcado CE, un sello ya conocido que ahora también se extiende al cumplimiento en materia de ciberseguridad. Calendario y alcance legal Al tratarse de un reglamento, el CRA se aplica directamente en todos los Estados miembros desde el 11 de diciembre de 2024. Sin embargo, se ha establecido un período de transición que otorga a los fabricantes hasta el 11 de diciembre de 2027 para adaptar completamente sus productos antes de la aplicación total de la norma. En realidad, hay tres fechas clave a tener en cuenta: Entrada en vigor: 10 de diciembre de 2024, con un período de transición de 36 meses antes de que la mayoría de las obligaciones sean plenamente aplicables. ‘Cyber Resilience Act’ (CRA): una nueva era para los fabricantes Núria Carrió Misas Directora técnica de certificación de Applus+ Laboratories Fechas importantes y calendario del CRA.
RkJQdWJsaXNoZXIy MTI4MzQz