I. Introducción
El Derecho digital europeo (1) cuenta con una relevante nueva norma en materia de ciberseguridad (2) . Se trata del Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024 (LA LEY 25994/2024), relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168/2013 (LA LEY 2704/2013) y el Reglamento (UE) 2019/1020 (LA LEY 11044/2019) y la Directiva (UE) 2020/1828 (LA LEY 23718/2020) (Reglamento de Ciberresiliencia o Reglamento CRA, por sus siglas inglesas de Cyber Resilience Act), que entró en vigor el pasado 10 de diciembre de 2024.
Esta nueva norma, que forma parte de la Estrategia Digital de la UE, tiene por objeto proteger a los consumidores y las empresas de los productos conectados a Internet y los programas informáticos con características de ciberseguridad insuficientes e introduce una serie de nuevos requisitos de cumplimiento para las empresas que comercializan estos productos en el mercado de la Unión Europea.
Con anterioridad al Reglamento de Ciberresiliencia, varias normas estatales y del Derecho digital europeo abordaban algunos de los desafíos de ciberseguridad de manera fragmentada y, en ocasiones, descoordinada. Y si bien la nueva Directiva NIS2 (3) y el Reglamento de Ciberseguridad (4) ya regulaban ciertos aspectos de la ciberseguridad, no habían establecido requisitos de seguridad obligatorios específicamente para productos con elementos digitales, que lleva a cabo esta nueva norma.
Este análisis resume las principales obligaciones para los fabricantes, importadores y distribuidores de estos productos digitales que impone la norma, las fechas en que se requerirá el cumplimiento y apunta algunos consejos prácticos sobre su cumplimiento.
II. Productos incluidos
El Reglamento de Ciberresiliencia se aplica a los «productos con elementos digitales». Se trata de todo producto «consistente en programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado».
La definición incluye productos que están conectados directa o indirectamente a otro dispositivo o a una red, como frigoríficos conectados, juguetes o dispositivos domésticos inteligentes del Internet de las Cosas (IoT) (5) . El término «producto» puede inducir a error, ya que no se refiere únicamente a productos físicos, sino que también comprende programas informáticos que proporcionan un componente almacenado localmente (por ejemplo, una App) y se conectan a Internet. Así, resulta más esclarecedora la denominación de «producto conectado», que utilizaremos como sinónimo de «producto con elementos digitales».
Por tanto, el ámbito de aplicación de la norma es bastante amplio. Y la mayoría de los señalados productos también entran en el ámbito de aplicación de la nueva Directiva (UE) 2024/2853 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024 (LA LEY 25793/2024), sobre responsabilidad por los daños causados por productos defectuosos y por la que se deroga la Directiva 85/374/CEE (LA LEY 1943/1985) del Consejo.
III. Sujetos obligados
En la práctica, todas los actores participantes en la cadena de valor entran en el ámbito de aplicación, si bien las principales obligaciones recaen en el fabricante.
El Reglamento de Ciberresiliencia abarca todo el ciclo de vida de los productos conectados. Los fabricantes, importadores y distribuidores de estos productos quedan sujetos al nuevo régimen regulador. Los requisitos difieren entre fabricantes e importadores o distribuidores, y dependiendo de si los productos con elementos digitales se definen como productos «importantes» (anexo III) o productos «críticos» (anexo IV).
El fabricante de los productos conectados deberá cumplir las principales obligaciones que impone la norma. Entre ellas, figuran las siguientes:
- a) Evaluación de los riesgos de ciberseguridad. Los fabricantes de productos con elementos digitales deben realizar una evaluación de los riesgos de ciberseguridad asociados al producto y tener en cuenta el resultado de dicha evaluación durante las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento del producto.
- b) Requisitos esenciales de ciberseguridad. El fabricante debe garantizar que el producto conectado ha sido diseñado, desarrollado y producido de acuerdo con los requisitos esenciales establecidos por la norma (incluyendo, por ejemplo, una configuración segura por defecto y la protección contra el acceso no autorizado).
- c) Evaluación de la conformidad. Los fabricantes tienen que evaluar la conformidad de los productos conectados y los procesos implantados para determinar si cumplen los requisitos esenciales. En general, puede llevarse a cabo mediante una autoevaluación, mientras que para los productos considerados «importantes» (por ejemplo, determinados dispositivos domésticos inteligentes o gestores de contraseñas) o «críticos» (por ejemplo, pasarelas de contadores inteligentes o tarjetas inteligentes) se aplican normas más estrictas y puede ser obligatoria una evaluación por terceros.
- d) Proceso de gestión de vulnerabilidades. El fabricante debe supervisar sus productos conectados durante todo su tiempo de uso previsto, pero en general al menos durante cinco años, y documentar los aspectos de ciberseguridad pertinentes. Cuando se detecta una vulnerabilidad, el fabricante tiene que abordar y corregir las vulnerabilidades sin demora, incluso proporcionando actualizaciones de seguridad (que se suministrarán por separado de las actualizaciones de funcionalidad).
- e) Obligaciones de información y transparencia. El fabricante tiene que redactar la documentación técnica y proporcionar instrucciones de uso de forma clara e inteligible en una lengua que puedan comprender fácilmente los usuarios y las autoridades de vigilancia del mercado.
Además, el reglamento establece determinadas obligaciones de diligencia debida para los importadores y distribuidores de productos conexos:
- a) Los importadores deben garantizar que los productos conectados cumplen los requisitos esenciales de ciberseguridad y llevan el marcado CE.
- b) Los distribuidores deben verificar el marcado CE y asegurarse de que los fabricantes e importadores han cumplido sus obligaciones en materia de etiquetado e instrucciones de uso.
El Reglamento de Ciberresiliencia positiviza un conjunto de medidas de ciberseguridad que deben ser aplicadas por los fabricantes y verificadas por los importadores y distribuidores, incluyendo la seguridad por diseño, la especial protección de productos críticos, disponer de un plan para gestionar las vulnerabilidades durante todo el ciclo de vida del producto y la seguridad en la cadena de suministro.
IV. Obligaciones de información y notificación de los fabricantes
El Reglamento de Ciberresiliencia establece una obligación de notificación escalonada para los fabricantes en caso de que se haya detectado una vulnerabilidad explotada activamente y en incidentes de ciberseguridad graves (art. 14). Los importadores y distribuidores deben notificar al fabricante la vulnerabilidad explotada activamente sin demora indebida.
El sistema de notificación obligatorio consta de tres etapas diferentes: (1) una alerta temprana en las 24 horas siguientes a tener conocimiento de ella (2) una notificación de la vulnerabilidad en las 72 horas siguientes, y (3) un informe final en los 14 días siguientes a disponer de una medida correctora o paliativa. Los usuarios deben ser informados oportunamente.
Estos requisitos de notificación tienen como objetivo garantizar la transparencia, la respuesta rápida y los esfuerzos colaborativos entre los fabricantes, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) del respectivo Estado (en España, es el INCIBE).
V. Régimen sancionador
Los Estados miembros establecerán el régimen de sanciones aplicables a las infracciones del reglamento y adoptarán todas las medidas necesarias para garantizar su aplicación. Tales sanciones serán efectivas, proporcionadas y disuasorias (art. 64.1).
La respectiva autoridad nacional de vigilancia del mercado ostenta amplias competencias para mitigar los riesgos derivados del incumplimiento del reglamento, incluida la posibilidad de retirar productos del mercado. La autoridad también estará facultada para imponer multas de hasta 15.000.000 de euros o, si el infractor es una empresa, de hasta el 2,5 % del volumen de negocio total anual mundial del ejercicio financiero anterior, si esta cuantía fuese superior.
VI. Conclusiones
La mayor parte del trabajo para garantizar el cumplimiento del Reglamento de Ciberresiliencia corresponde a los fabricantes.
Aunque la norma se aplicará a partir del 11 de diciembre de 2027, es conveniente tenerla presente desde ahora cuando se empiece a desarrollar un producto que entre en su ámbito de aplicación y que se prevea comercializar después del 11 de diciembre de 2027 para garantizar su conformidad con el reglamento. En el caso de los productos que se comercialicen antes de esa fecha, la norma solo se aplicará si se modifican sustancialmente con posterioridad.
Sin embargo, los fabricantes tendrán que cumplir las obligaciones de notificación de vulnerabilidades explotadas a partir del 11 de septiembre de 2026, independientemente de cuándo se haya comercializado el producto.
De este modo, resulta urgente que los fabricantes revisen su catálogo de productos en relación con el ámbito de aplicación de la norma y lleven a cabo una evaluación de los productos cuyo lanzamiento esté previsto a partir del 11 de diciembre de 2027 y que entren en el ámbito de aplicación del Reglamento de Ciberresiliencia.
También a mi juicio deben establecer con prontitud un proceso de gestión de vulnerabilidades y de notificación a los usuarios, fijando los periodos de asistencia pertinentes para cada producto y contemplando procedimientos para garantizar que las vulnerabilidades de cada producto se traten eficazmente, así como que se notifiquen adecuadamente en el futuro.