La Ley de Ciberresiliencia

La Ley de Ciberresiliencia (CRA) es una legislación pionera de la UE que proporciona un estándar base para la ciberseguridad de productos conectados con elementos digitales. Los productos con elementos digitales se definen como productos con componentes de software y/o hardware y cualquier solución de procesamiento de datos remotos asociada.

La CRA tiene como objetivo abordar dos problemas claramente identificados que se encuentran comúnmente en productos digitales, estos son:

• Los productos con elementos digitales se están fabricando con bajos niveles de ciberseguridad. Esto causa vulnerabilidades generalizadas y faltan actualizaciones de seguridad para abordar estas vulnerabilidades. Esto hace que los productos digitales sean objetivos atractivos para los cibercriminales como vehículo para atacar redes más grandes.
• Los usuarios de productos con elementos digitales tienen una comprensión insuficiente de la seguridad del producto y carecen de información que les permita tomar decisiones informadas sobre elegir productos con características de ciberseguridad adecuadas. La CRA es una legislación horizontal, esto significa que cubrirá una amplia gama de productos en muchos sectores. Cualquier producto disponible en el mercado de la UE que esté dentro del alcance de la CRA necesitará colocar la marca CE para ciberseguridad. Los fabricantes, distribuidores e importadores de fuera de la UE también tendrán que cumplir. La CRA es una consideración importante para muchas empresas que desarrollan nuevos productos.

Definición de Productos con Elementos Digitales (PDEs)

• cualquier producto de software o hardware y sus soluciones de procesamiento de datos remotos
• incluyendo componentes de software y hardware que se colocarán en el mercado por separado
• con una conexión de datos al dispositivo o red
• que estén disponibles en el mercado único de la UE

Código Abierto

El software de código abierto estará sujeto a un régimen regulatorio de toque ligero, esto significa que la marca CE no puede colocarse en él. Los fabricantes con fines de lucro que usen software de código abierto como parte de su producto con elementos digitales son responsables de asegurarse de que los componentes de software de código abierto cumplan con la CRA. Los requisitos de software libre y de código abierto incluirán:

• Crear y documentar una política de ciberseguridad para fomentar el desarrollo de un producto seguro con elementos digitales
• Proceso de manejo de vulnerabilidades
• Cooperación con las autoridades de vigilancia del mercado

Productos Fuera del Alcance

La CRA no se aplicará a los siguientes productos ya que algunos ya están cubiertos por otras regulaciones específicas como:

• Software como Servicio – excepto por soluciones de procesamiento de datos remotos relacionadas con un producto con elementos digitales
• Dispositivos médicos y dispositivos médicos de diagnóstico in vitro
• Seguridad de la aviación civil
• Vehículos motorizados y sus remolques
• Productos con elementos digitales desarrollados o modificados exclusivamente para propósitos de seguridad nacional o defensa
• o a productos específicamente diseñados para procesar información clasificada

El Consejo de la Unión Europea (UE) adoptó la Ley de Ciberresiliencia el 10 de octubre de 2024, siguiendo la adopción del texto final por el Parlamento de la UE en septiembre de 2024. Este último paso significa que la legislación entrará en vigor próximamente.

El siguiente paso será la firma del acto legislativo por los presidentes del Consejo de la UE y el Parlamento, seguido de la publicación en el Diario Oficial en unas pocas semanas. Una vez publicada en el Diario Oficial, la Ley de Ciberresiliencia entrará en vigor 20 días después.

Seguirá un período de transición de 36 meses, al final del cual todos los productos con elementos digitales llevados al mercado después de la fecha de aplicación deben estar completamente conformes. Las obligaciones sobre informes de vulnerabilidades se aplicarán después de 21 meses.

Los fabricantes incluyendo desarrolladores de software, importadores y distribuidores de productos de software y hardware con elementos digitales que hagan sus productos disponibles en el mercado de la UE necesitarán cumplir con la Ley de Ciberresiliencia. Las entidades fuera de la UE que hagan productos disponibles en el mercado único de la UE también necesitarán cumplir.

La Comisión de la UE realizó una evaluación de impacto sobre la CRA. Esto destacó que las pequeñas y medianas empresas incluyendo micro-PYMES dentro del alcance de la Ley de Ciberresiliencia tendrían dificultades para cumplir, principalmente debido a los costos asociados y la falta de experiencia en ciberseguridad. Aunque esto puede causar algunos obstáculos que superar, la CRA busca fortalecer la seguridad del producto lo que beneficiará a los fabricantes en general. Los clientes tendrán más confianza en la seguridad de los productos que compran y los fabricantes y la sociedad se fortalecen contra los ciberataques.

Por defecto (nivel de riesgo más bajo)

Se estima que el 90% de los productos caen en la categoría por defecto. Estos productos se consideran que tienen perfiles de riesgo más bajos que los productos en las otras categorías. Ejemplos de productos que caen en esta categoría incluyen:

• Dispositivos domésticos inteligentes
• Impresoras
• Altavoces Bluetooth
• Aplicaciones de software reproductor de medios

Los fabricantes de productos que caen en la categoría por defecto pueden autoevaluarse para mostrar cumplimiento con los requisitos esenciales de la CRA como se describe en el Anexo I de la CRA. El protocolo de autoevaluación se establece en el Anexo VIII de la CRA.

Importante Clase I

La lista completa de productos que caen en Importante Clase I se puede encontrar en el Anexo III de la CRA, esto incluye;

• Sistemas de gestión de identidad, software y hardware de gestión de acceso privilegiado, y lectores de control de acceso
• Navegadores independientes e integrados
• Gestores de contraseñas
• Software que busca, elimina o pone en cuarentena software malicioso
• Productos con función de red privada virtual
• Sistemas de gestión de red
• Gestores de arranque
• Sistemas operativos
• Enrutadores y módems destinados a conectarse a internet y conmutadores

Los fabricantes con productos que caen en Importante Clase I pueden usar el método de autoevaluación para demostrar cumplimiento con los requisitos esenciales de la CRA siempre que puedan aplicar uno de los siguientes:

• Estándar Armonizado – un estándar europeo desarrollado por una Organización de Estándares Europea reconocida, siguiendo una solicitud de la Comisión Europea. Los fabricantes pueden usar estándares armonizados para demostrar que los productos cumplen con una legislación de la UE. Los estándares armonizados se están creando actualmente específicamente para la CRA.
• Especificación Común – un conjunto detallado y práctico de reglas que establecen cómo un producto debe cumplir con requisitos específicos adoptados por la Comisión Europea cuando no existen estándares armonizados.
• Certificación Europea de Ciberseguridad – un esquema que ENISA está desarrollando en nombre de la Comisión Europea para crear un marco para certificar que los productos con elementos digitales cumplen con los requisitos esenciales de la CRA.

Si el fabricante no puede usar uno de estos esquemas para su producto, debe solicitar que su producto sea evaluado por un organismo de evaluación de conformidad de terceros.

Importante Clase II

Los tipos de productos que caen en la categoría Importante Clase II son:

• Hipervisores y sistemas de tiempo de ejecución de contenedores que soportan ejecución virtualizada de sistemas operativos
• Cortafuegos, sistemas de detección y prevención de intrusiones
• Microprocesadores y microcontroladores resistentes a manipulación

Los productos que caen en Importante Clase II deben completar una evaluación de conformidad de terceros incluso si el producto cumple con estándares armonizados, especificaciones comunes o un esquema de certificación europea de ciberseguridad.

Clase Crítica

Los productos que caen en la Clase Crítica son:

• Dispositivos de hardware con cajas de seguridad
• Puertas de enlace de medidores inteligentes
• Tarjetas inteligentes o dispositivos similares incluyendo elementos seguros
• Otros dispositivos para propósitos de seguridad avanzada incluyendo procesamiento criptográfico seguro

Los productos en la Clase Crítica son del más alto riesgo y por lo tanto tienen el proceso de cumplimiento más estricto. Los productos de Clase Crítica deben completar una evaluación de certificación de ciberseguridad de Criterios Comunes Europeos (EUCC) realizada por un organismo de evaluación de conformidad.

El incumplimiento de los requisitos esenciales de la CRA, informes de vulnerabilidades o incidentes podría incurrir en penalizaciones de:
Multas administrativas hasta €15 millones o 2.5% de la facturación global, lo que sea mayor.

El incumplimiento de otras obligaciones podría incurrir en penalizaciones de:
Multas administrativas hasta €10 millones o 2% de la facturación global, lo que sea mayor.

Suministrar información engañosa a los organismos de aplicación o equipos CSIRT nacionales podría incurrir en penalizaciones de:
Multas administrativas hasta €5 millones o 1% de la facturación global, lo que sea mayor.

Bajo ciertas circunstancias las autoridades de la UE pueden requerir el retiro o retirada de productos no conformes.

Importante para PYMES

Las multas administrativas no se aplican a micro o PYMES por fallas en cumplir con la fecha límite de 24 horas para notificación de alerta temprana y sujeto al principio de que las penalizaciones deben ser efectivas, proporcionales y disuasorias, los Estados Miembros no deben imponer otros tipos de penalizaciones con carácter pecuniario en estas entidades.