Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Actualidad

Ley de ciberresiliencia europea (CRA): preguntas y respuestas actualizadas en 2025

13 Mar 2024

La Ley de Ciberresiliencia de la Unión Europea (CRA, por sus siglas en inglés) es la primera legislación a gran escala en la UE que establece requisitos obligatorios de ciberseguridad para productos digitales a lo largo de todo su ciclo de vida. Este reglamento, basado en la Estrategia de Ciberseguridad de la UE de 2020 y la Estrategia para una Unión de la Seguridad, tiene como objetivo proteger a los consumidores y empresas, asegurando altos estándares de seguridad en el diseño, desarrollo y mantenimiento de hardware y software.

Como su nombre lo indica, la ley de ciberresiliencia pretende otorgar protección a los consumidores en torno a los posibles vulnerabilidades de ciberseguridad en productos con elementos digitales, y así garantizar la ciberresiliencia

Este concepto supone la capacidad de los sistemas para resistir y/o recuperarse ante ataques cibernéticos. Por ello, propone actuaciones en dos frentes: proteger los activos digitales y facilitar su continuidad ante este tipo de incidentes. Anticipación, detección y respuesta rápida son tres de las claves de la ciberresiliencia, que ahora está sobre la mesa con la llegada de esta ley.

En nuestro ebook sobre la Ley de Ciberresiliencia de la UE encontrarás toda la información necesaria para cumplir con los requisitos y estar preparado, ya que desde su entrada en vigor este año, las empresas tienen 36 meses para adaptarse a ella. 

¿Qué es la nueva ley de ciberresiliencia?

La ley de ciberresiliencia o Cyber Resilience Act es  una ley europea que refuerza las normas de ciberseguridad en productos de software y hardware dentro del mercado interno europeo. 

En caso de que quieras leer el texto completo, puedes verlo aquí.

¿Qué establece la Ley de Ciberresiliencia europea (CRA)?

La Ley introduce una serie de requisitos y obligaciones para los fabricantes de productos digitales:

  • Requisitos de ciberseguridad obligatorios: Todos los productos con elementos digitales deben cumplir con normas estrictas de seguridad en su diseño, desarrollo y mantenimiento. Esto incluye la eliminación proactiva de vulnerabilidades y la implementación de actualizaciones periódicas para garantizar la seguridad continua.

  • Actualizaciones continuas: Las empresas están obligadas a proporcionar soporte y actualizaciones de seguridad a lo largo de la vida útil del producto, asegurando que las vulnerabilidades se corrijan a medida que se descubren. Esto incluye la implementación de sistemas automatizados que detecten y solucionen fallos de manera rápida y efectiva.

  • Notificación de vulnerabilidades: Los fabricantes deben notificar a las autoridades competentes sobre cualquier vulnerabilidad descubierta dentro de las 24 horas posteriores a su detección. Esta medida busca minimizar riesgos y proteger a los usuarios de posibles ataques.

  • Supervisión del mercado: La ley exige que se establezcan mecanismos para supervisar los productos vendidos en el mercado europeo, garantizando que cumplan con los estándares de ciberseguridad. Esto implica auditorías periódicas y controles para retirar del mercado productos que no cumplan con la normativa.

  • Transparencia para los consumidores: Información clara y actualizada sobre las características de seguridad de los productos. Esto permitirá a los consumidores tomar decisiones informadas y confiar en los productos adquiridos.

¿A quiénes afecta la Ley de Ciberresiliencia europea (CRA)?

Esta legislación afecta a:

  • Fabricantes de productos digitales: Tanto dentro como fuera de la UE, siempre que comercialicen sus productos en el mercado europeo.

  • Distribuidores e importadores: Que actúen como intermediarios en la cadena de suministro de productos digitales.

De esta manera, quedan excluidos aquellos sectores regulados por normativas específicas, como el automotriz o el de dispositivos médicos.

Aunque puede parecer simple, la nueva ley ofrece una compleja categorización de empresas y organizaciones implicadas. Nuestros expertos detallan los criterios en este vídeo:



¿Qué deben hacer las empresas frente a la Ley de Ciberresiliencia europea (CRA)?

Las organizaciones alcanzadas por la normativa están obligadas a:

  1. Realizar auditorías de productos: Revisar que todos los productos digitales cumplan con los requisitos de ciberseguridad establecidos.

  2. Establecer procesos de actualización: Garantizar soporte y actualizaciones de seguridad continuas.

  3. Garantizar la capacitación: Asegurar que los equipos de desarrollo estén al tanto de las nuevas normativas.

  4. Notificar vulnerabilidades: Implementar mecanismos internos para reportar brechas en menos de 24 horas.

  5. Cumplir con el marcado CE: Verificar que los productos cumplan con los requisitos para llevar este marcado.

En este vídeo, nuestros expertos explican el detalle los requisitos técnicos:



¿Qué sanciones contempla la Ley de Ciberresiliencia europea (CRA)?

Las sanciones por incumplimiento pueden incluir multas de hasta el 2% de los ingresos anuales globales de la empresa o 15 millones de euros, lo que sea mayor. Además, las autoridades podrán exigir la retirada de productos inseguros del mercado.

¿Cuándo entra en vigor la Ley de Ciberresiliencia europea (CRA)?

La Ley de Ciberresiliencia fue aprobada en 2024. Las principales obligaciones para los fabricantes entrarán en vigor el 11 de diciembre de 2027. Sin embargo, las empresas deben prepararse desde ya para cumplir con los nuevos requisitos.

¿Cómo se vincula la Ley de Ciberresiliencia con la NIS2?

La Ley de Ciberresiliencia complementa la directiva NIS2, que busca reforzar la ciberseguridad de redes y sistemas de información en sectores críticos. Mientras que la CRA se centra en los productos digitales, la NIS2 regula la gestión de riesgos cibernéticos en infraestructuras esenciales.

Juntas, estas normativas fortalecen la postura de ciberseguridad de la UE, abordando tanto la seguridad de los productos como la de las redes y sistemas donde operan.

¿Cómo se aplicará la ley de ciberresiliencia en la práctica?

Para cumplir sus objetivos, la Cyber Resilience Act busca establecer un marco de medidas que sean accionables y transparentes, evitando la creación de nuevas incertidumbres para los productores.

La Evaluación de Conformidad de los dispositivos la realizará el fabricante bajo su propia responsabilidad, con la colaboración de los organismos de evaluación según la categoría de producto. Estos últimos serán “organismos externos independientes de la organización o del producto que evalúan”.

A nivel práctico, la Cyber Resilience Act prevé que una gran mayoría de productos se enmarquen dentro de la categoría que se considera no crítica. En estos casos, será preciso llevar a cabo una evaluación de riesgos de seguridad por cuenta propia y bajo la propia responsabilidad de la empresa. 

No obstante, los productos categorizados como de mayor riesgo (según hemos explicado más arriba) requieren de la intervención de terceros para verificar que se cumplen los requisitos legales.

A su vez, se debe tener en cuenta que la ley de ciberresiliencia entiende este concepto desde un punto de vista de monitoreo y mejora continua. El hecho de que un producto sea evaluado como seguro hoy no garantiza que lo siga siendo en el futuro. A medida que se descubren nuevas vulnerabilidades, la evaluación de dispositivos deberá realizarse de forma periódica. Se propone así un esquema de certificación continua. 

De este modo, la Cyber Resilience Act pone en marcha cambios profundos en la estrategia de ciberseguridad de las organizaciones. Al otro lado esperan los beneficios de cumplir con una normativa europea que abre la puerta al comercio en el mercado único europeo y todas las oportunidades que ello implica. 

En esta transformación para la estrategia digital de los productos, resulta fundamental encontrar los aliados especializados en ciberseguridad más adecuados. 

Desde S2 Grupo ofrecemos nuestra amplia experiencia en ciberseguridad a través de nuestro servicio para el Gobierno, Riesgo y Cumplimiento. A través de nuestros servicios de consultoría y auditoría, ayudamos a las empresas a cumplir con la legislación vigente en materia de ciberseguridad, incluyendo los nuevos requisitos establecidos por la Cyber Resilience Act y otros como el Reglamento General Europeo de Protección de Datos.

Descárgate nuestro ebook Cyber Resilience Act y ponte en contacto con nuestro equipo para ver cómo podemos ayudarte. 

Artículos relacionados
Ver todas →
Actualidad
Sextorsión: la exposición de la intimidad
Leer más →
Actualidad
El ransomware de triple extorsión ciberamenaza a las empresas
Leer más →
Actualidad
¿Qué es ransomware? Todo lo que debes saber
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día