124 red seguridad tercer trimestre 2025 opinión Obligaciones de notificación de incidentes y vulnerabilidades: 11 de septiembre de 2026. Algunas obligaciones de notificación en relación con vulnerabilidades (obligaciones de información de los fabricantes) se aplican antes, transcurridos 21 meses. Aplicación completa: 11 de diciembre de 2027. A partir de esta fecha, los fabricantes y otros operadores económicos deberán cumplir plenamente con los requisitos de la CRA. El incumplimiento conlleva sanciones severas: en general, multas de hasta 15 millones de euros o del 2,5 por ciento de la facturación anual mundial, lo que resulte mayor. Categorías de productos Los productos bajo el CRA se dividen según su nivel de riesgo: Productos por defecto (aproximadamente el 90% del mercado): los fabricantes realizan autoevaluaciones, mantienen la documentación técnica y elaboran una declaración de conformidad. Productos importantes: aquellos con funciones importantes en ciberseguridad, como sistemas de gestión de identidad, VPN o sistemas operativos. Están sujetos a controles adicionales y, dependiendo de la clase, se puede realizar autoevaluación en ciertas condiciones. Productos críticos: incluyen tarjetas inteligentes o módulos de seguridad de hardware vitales para cadenas de suministro críticas. Estos requieren certificación externa bajo esquemas europeos de ciberseguridad antes de su comercialización. Las evaluaciones de la conformidad de tercera parte las realizan los organismos notificados. Quedan excluidas del CRA las categorías de productos ya reguladas por marcos específicos de la Unión Europea que se detallan en el artículo 2, como dispositivos médicos o vehículos de motor. Impactos y desafíos En este sentido, destacamos dos impactos y desafíos para los fabricantes: Reestructuración de los procesos de diseño y desarrollo. La implantación de medidas de conformidad puede implicar sobrecostes de ingeniería, actualización de herramientas y posibles gastos de certificación, especialmente para productos críticos o ciertos productos en categoría importante o incluso para empresas que no estén ya teniendo en cuenta la ciberseguridad en el ciclo de vida de sus productos. Talento en ciberseguridad. Muchos fabricantes pueden tener dificultades para implantar ciclos de desarrollo seguros, gestionar la notificación de incidentes y encontrar expertos cualificados en ciberseguridad. Es importante conocer los requisitos e incluso subcontratar expertos cualificados. Beneficios y oportunidades Cabe mencionar también otros dos beneficios y oportunidades estratégicas: Seguridad en el ciclo de vida y confianza del consumidor. Diseñar con seguridad desde el inicio reduce costes a largo plazo por brechas y mejora la reputación de marca en un entorno de crecientes amenazas cibernéticas. Un producto con marcado CE y robusta ciberseguridad puede generar confianza y posicionarse mejor en mercados donde la seguridad es un factor clave. Liderazgo en el ecosistema. Las empresas que se adapten temprano pueden liderar iniciativas, colaborar en marcos técnicos europeos y consolidar su liderazgo en el sector. Recomendaciones Para navegar con éxito en el entorno que plantea el CRA, los fabricantes deberían: Empezar cuanto antes a prepararse para el CRA. Laboratorios como Applus+ Laboratories pueden ayudar a realizar una evaluación previa de preparación e informar sobre las actualizaciones de esta normativa. Clasificar sus productos en las distintas categorías. Determinar qué líneas entran en la categoría de productos por defecto, importantes o críticos, y priorizar medidas de mitigación de Categoría de productos según el CRA.
RkJQdWJsaXNoZXIy MTI4MzQz