El Reglamento de Ciberresiliencia obligará a hacer los dispositivos electrónicos más seguros
- Endpoint

Los productos con elementos digitales que se comercialicen en la UE tendrán que cumplir con unas medidas de ciberseguridad robustas a partir de 2027. Desde el punto de vista del usuario, la información que el fabricante deberá poner a su disposición en materia de ciberseguridad será más amplia que la actual.
La ciberseguridad de los ciudadanos se ha convertido en uno de los principales retos para la Unión Europea ante su preocupación por los altos niveles de cibercriminalidad identificados en los últimos años.
El Instituto Nacional de Ciberseguridad (INCIBE) gestionó 83.517 incidentes de ciberseguridad durante el año 2023, lo que representa un aumento de un 24% con respecto a 2022. De estos ciberataques denunciados, un 87% fueron sobre fraudes económicos mediante el uso de instrumentos tecnológicos como ordenadores, smartphones u otros dispositivos portátiles.
Ante estos datos, y teniendo en cuenta el gran número de dispositivos conectados que utilizamos en el día a día, la UE ha considerado necesario establecer un marco jurídico uniforme, relativo a los requisitos de ciberseguridad y ciberresiliencia que deben cumplir los productos con elementos digitales que se introduzcan en la UE. Este refuerzo se ha materializado a través del Reglamento (UE) 2024/2847, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, conocido como Reglamento de Ciberresiliencia o CRA, publicado en el Diario Oficial de la UE a finales de noviembre.
De obligado cumplimiento desde 2026
El CRA cuenta con diferentes plazos de cumplimiento en función del tipo de obligaciones. A nivel general, los fabricantes, importadores y distribuidores de productos con elementos digitales deberán notificar vulnerabilidades e incidentes graves de sus productos a los organismos competentes antes del mes de septiembre de 2026. En relación con el resto de las obligaciones, establecidas por CRA, se deberán cumplir antes del 11 de diciembre de 2027.
Aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o a una red, salvo determinadas excepciones, como dispositivos de seguimiento médico, aviación civil o vehículos, cuya regulación en materia de ciberseguridad ya se aborda en otras normas.
Desde Secure&IT, Juan Manuel Valiente, responsable del Área Jurídica, explica que “con la publicación de este Reglamento, se pretende hacer frente, entre otros, a dos problemas importantes que suponen un aumento de costes para los ciudadanos y la sociedad”. El primero de ellos es el bajo nivel de ciberseguridad de los productos con elementos digitales que se comercializan actualmente, y el segundo es la insuficiencia de la comprensión de la información ofrecida por los fabricantes de estos productos, y del acceso a ella por parte de los ciudadanos.
¿Cómo se va a proteger a los usuarios?
La normativa establece obligaciones tanto para los fabricantes como para los importadores y distribuidores de este tipo de productos. Entre las obligaciones más importantes, encontramos la realización de análisis de riesgos de los productos en materia de ciberseguridad; la implantación de medidas de seguridad en las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento de los productos; la realización de todas las pruebas necesarias en materia de ciberseguridad del producto; así como garantizar una adecuada gestión de vulnerabilidades e incidentes de seguridad antes de su comercialización.
Además, con esta normativa se prevé la necesidad de que estos productos cuenten con una declaración de conformidad en la que el fabricante garantice que cumple con las disposiciones de la normativa que, en aquellos productos considerados más críticos, deberá ser emitida por terceros acreditados.
“Desde el punto de vista del usuario, la información que el fabricante deberá poner a su disposición en materia de ciberseguridad será más amplia que la actual. Los usuarios deberán ser informarnos sobre los riesgos de ciberseguridad asociados al producto; las medidas implantadas en materia de ciberseguridad para mitigarlos; la posibilidad de eliminar de manera segura los datos y parámetros tratados en el producto; la posibilidad de transferir los datos a otro producto o sistema, así como información sobre el apoyo técnico en ciberseguridad ofrecido por el fabricante”, explica Valiente.