El 10 de diciembre de 2024, se crea la Ley Europea de Ciberresiliencia (Cyber Resilience Act, CRA) para abordar los desafíos de la ciberseguridad en el entorno digital. La CRA establece un marco regulatorio uniforme que obliga a fabricantes, importadores y distribuidores a garantizar que sus productos digitales sean seguros desde el diseño, durante su ciclo de vida y mientras estén en el mercado. Con esta legislación, la Unión Europea no solo refuerza la protección de su mercado digital, sino que también establece un estándar global para la ciberseguridad, posicionándose como líder en la construcción de un futuro digital más seguro y confiable.

OBJETIVOS PRINCIPALES

La Ley de Ciberresiliencia Europea busca abordar las crecientes amenazas cibernéticas mediante la implementación de requisitos de seguridad obligatorios para los fabricantes de productos digitales. Entre sus objetivos destacan:

  • Asegurar la seguridad de los productos y servicios digitales: Los fabricantes deben garantizar que sus productos de hardware y software sean seguros desde el diseño y durante todo su ciclo de vida.
  • Transparencia y confianza: La ley promueve la transparencia sobre los riesgos cibernéticos, permitiendo a los consumidores tomar decisiones informadas sobre los productos que adquieren.
  • Actualizaciones de seguridad: Los fabricantes están obligados a proporcionar actualizaciones de software para solucionar o reducir las vulnerabilidades conocidas.
  • Facilitar la respuesta a incidentes cibernéticos: estableciendo requisitos claros para la notificación de incidentes a las autoridades, permitiendo una respuesta más rápida y coordinada ante ciberamenazas.

A QUIEN AFECTA

La Ley de Ciberresiliencia Europea no solo afecta a los fabricantes, sino a todo el ecosistema tecnológico, asegurando que cada eslabón de la cadena contribuye a la seguridad:

  • Fabricantes de productos digitales: Empresas que diseñan, desarrollan o producen dispositivos conectados a internet o software.
  • Proveedores de servicios digitales: Empresas que ofrecen software como servicio (SaaS), plataformas en la nube u otros servicios tecnológicos.
  • Importadores y distribuidores: Entidades que importan o distribuyen productos digitales dentro de la Unión Europea.
  • Usuarios empresariales: Empresas que integran productos digitales o servicios en sus operaciones.
  • Consumidores: Usuarios finales de productos y servicios digitales.

IMPACTO

Los cambios introducidos por esta ley prometen revolucionar la percepción y el uso de los productos digitales, mejorando su seguridad, transparencia e innovación.

  • Mayor Seguridad: Los productos digitales, como dispositivos IoT y software, serán más seguros, reduciendo el riesgo de ciberataques y protegiendo mejor la información personal y financiera de los usuarios.
  • Transparencia: Los consumidores tendrán acceso a información más clara sobre los riesgos cibernéticos asociados con los productos que compran, lo que les permitirá tomar decisiones más informadas.
  • Confianza en el Marcado CE: Los productos que cumplan con los requisitos de la ley llevarán el marcado CE, lo que indicará que han pasado por rigurosas evaluaciones de seguridad. Esto aumentará la confianza en la calidad y seguridad de los productos disponibles en el mercado.
  • Actualizaciones de Seguridad: Los fabricantes estarán obligados a proporcionar actualizaciones de software para solucionar vulnerabilidades, lo que garantizará que los productos se mantengan seguros a lo largo del tiempo.
  • Innovación en Seguridad: La ley incentivará a los fabricantes a innovar y diseñar productos más seguros desde el principio, lo que beneficiará a los consumidores con tecnologías más avanzadas y seguras.

En resumen, la Ley de Ciberresiliencia Europea busca crear un entorno digital más seguro y confiable para todos los consumidores, protegiendo sus datos y mejorando la calidad de los productos digitales.

 

PLAZOS DE IMPLEMANTACIÓN

Para garantizar una transición efectiva, la Ley de Ciberresiliencia Europea establece plazos claros que marcan el camino hacia su cumplimiento obligatorio:

  1. Entrada en Vigor: La ley entró en vigor el 10 de diciembre de 2024. Desde esta fecha, los fabricantes deben comenzar a prepararse para cumplir con los nuevos requisitos.
  2. Periodo de Transición: Se ha establecido un periodo de transición de tres años para que las empresas puedan adaptarse a las nuevas normativas. Durante este tiempo, los fabricantes deben realizar las evaluaciones de riesgo necesarias, implementar las medidas de seguridad y preparar la documentación requerida.
  3. Cumplimiento Obligatorio: A partir del 11 de diciembre de 2027, las principales obligaciones de la ley serán de cumplimiento obligatorio. Esto significa que todos los productos con elementos digitales que se comercialicen en la UE deberán cumplir con los requisitos de seguridad establecidos por la ley y llevar el marcado CE.

SANCIONES

Las sanciones indicadas a continuación subrayan la importancia de cumplir con la ley para evitar riesgos financieros, operativos y reputacionales.

Multas económicas

    • Hasta el 2,5% de los ingresos anuales globales de la empresa, o Hasta 15 millones de euros, dependiendo de la gravedad de la infracción.

Retiro de productos del mercado

    • Las autoridades pueden ordenar que se retire un producto que no cumpla con los requisitos de ciberseguridad.

Prohibición de comercialización

    • Se puede prohibir la venta de productos no conformes en el mercado de la Unión Europea.

Obligación de remediación

    • Las empresas podrían ser obligadas a implementar soluciones para corregir las deficiencias en sus productos o servicios, incluyendo actualizaciones de seguridad.

CONCLUSIONES

La Ley Europea de Ciberresiliencia busca establecer un marco común para garantizar la seguridad de todos los productos digitales en el mercado europeo, afectando a toda la cadena de suministro tecnológica y beneficiando, a largo plazo, tanto a las empresas como a los consumidores.

¿ Tienes dudas de si tu empresa debe de cumplir con esta ley? Desde Perseus Cibersecurity Services podemos ayudarte en su implementación. Contamos con área de consultoría especializada y una gran experiencia en ayudar a empresas a mejorar su ciberseguridad.

 Para más información, ponte en contacto con nosotros a través del formulario de nuestra web o través de los siguientes medios:

Pilar Hernández

Área de Consultoría