Las transformaciones de la era digital exigen vigilancia y adaptación constante para proteger a los usuarios. La problemática abordada en el nuevo Reglamento de la UE – Cyber Resilience Act (CRA) – entrelaza dos problemas importantes: el primero es el bajo nivel de ciberseguridad integrado en muchos productos o actualizaciones de seguridad insuficientes proporcionadas para estos productos y software, y el segundo es la incapacidad de los consumidores y las empresas para identificar claramente productos ciberseguros o configurarlos para garantizar la protección adecuada contra los riesgos cibernéticos. La Unión Europea (UE) está dando pasos significativos para fortalecer la ciberseguridad mediante el Cyber Resilience Act (CRA), una iniciativa destinada a mejorar la protección de los productos digitales contra los ciberataques en medio del crecimiento continuo del número de dispositivos conectados a Internet.
El fundamento del nuevo reglamento radica en la ausencia de requisitos generales de ciberseguridad a nivel de la UE para hardware y software que no sean específicos de ciertos productos o sectores, como confirmó el Comisario de Mercado Interior, Thierry Breton. En consecuencia, el CRA se alinea con otras leyes europeas de ciberseguridad, como la Directiva NIS2, el marco GDPR, la Directiva de Equipos de Radio (RED), el Reglamento de Dispositivos Médicos, el Reglamento de Dispositivos Médicos de Diagnóstico In Vitro, el Reglamento General de Seguridad de Vehículos, las Reglas Comunes para Aviación Civil y el Reglamento de Maquinaria.
El CRA, actualmente en debate en el Parlamento Europeo y el Consejo de la UE, pretende introducir requisitos horizontales de ciberseguridad para productos con elementos digitales. Esta iniciativa busca armonizar las normas de ciberseguridad para la comercialización de productos y software con elementos digitales y aumentar la resiliencia en el mercado único de la UE. El CRA establece requisitos de ciberseguridad que cubren las etapas de planificación, diseño, desarrollo y mantenimiento de estos productos, con obligaciones específicas para cada fase de la cadena de valor, así como la obligación de mantener un alto nivel de atención y responsabilidad respecto a la seguridad durante todo el ciclo de vida del producto.
Tras su adopción, los productos llevarán una marca CE, que indica conformidad y libertad para ser comercializados en el mercado interno. Esta debería ser la única señal que garantice que los productos con elementos digitales cumplen los requisitos de ciberseguridad establecidos en el reglamento. En términos simples, la “marca CE” es un indicador por el cual un fabricante afirma que un producto digital, junto con los procesos asociados, cumple con los requisitos fundamentales de ciberseguridad especificados, así como con otras regulaciones armonizadas de la UE que permiten la aplicación de esta marca.
Los principales objetivos del CRA son garantizar que los productos digitales en el mercado de la UE sean seguros y obligar a los fabricantes a considerar la seguridad durante todo el ciclo de vida del producto. Según las nuevas regulaciones, todos los productos digitales conectados directa o indirectamente a una red deberán cumplir con los requisitos del CRA. Además, el nuevo reglamento identifica dos grandes categorías de productos digitales según su nivel de riesgo: productos críticos, como tarjetas inteligentes, y productos no críticos, como electrodomésticos.
Los fabricantes también estarán obligados a probar regularmente sus productos, mantener registros de vulnerabilidades y abordar cualquier problema de seguridad identificado. El incumplimiento de las normas del CRA podría dar lugar a multas de hasta 15 millones de euros o el 2,5% de la facturación anual global.
El Cyber Resilience Act introduce un enfoque ambicioso y unificado sobre la seguridad de los productos digitales, estableciendo un estándar europeo que también podría convertirse en una referencia global. La propuesta aún está en discusión, con una implementación prevista en un plazo de 36 meses, dando a las empresas el tiempo adecuado para alinear sus sistemas de seguridad con el reglamento.
Para obtener más información o realizar consultas adicionales, no dude en ponerse en contacto con nosotros:
➡ Teléfono: (+4) 031 426 0745
📧 Correo electrónico: office@grecupartners.ro
Estamos aquí para ayudar y brindar apoyo legal para todas sus necesidades. Esperamos con interés hablar con usted.
Abogada Mihaela Murariu
