La CRA (Cyber Resilience Act), o Ley de Ciberresiliencia, se propuso por primera vez en Europa en septiembre de 2022. Se trata de un marco legal que describe los requisitos de ciberseguridad para los productos de hardware y software comercializados en el mercado de la Unión Europea. Ahora, los fabricantes están obligados a tomarse en serio la seguridad durante todo el ciclo de vida de un producto.
Antes de la Ley Europea de Ciberresiliencia, los diversos actos e iniciativas adoptados a nivel de la Unión y nacional solo abordaban parcialmente los problemas y riesgos identificados relacionados con la ciberseguridad, creando un mosaico legislativo dentro del mercado interior.
Las instituciones de la UE ya habían anunciado un acuerdo provisional el 30 de noviembre, donde se informó que alcanzaron un consenso sobre “la mayoría de los aspectos técnicos de la ley”. El acuerdo alcanzado está ahora sujeto a la aprobación formal tanto del Parlamento Europeo como del Consejo. Una vez adoptada, la Ley de Ciberresiliencia entrará en vigor el vigésimo día siguiente a su publicación en el Diario Oficial.
A partir de la entrada en vigor, a primeros de 2024, los fabricantes, importadores y distribuidores de productos hardware y software tendrán 36 meses para adaptarse a los nuevos requisitos, con excepción de un periodo de gracia más limitado de 21 meses en relación con la obligación de informar de las incidencias y vulnerabilidades de los fabricantes. En términos de calendario, la CRA entrará en vigor durante un período de transición gradual que comenzará a finales de 2025.
Una vez que entre en vigor la Ley de Ciberresiliencia, los fabricantes de hardware y software tendrán que implementar medidas de ciberseguridad a lo largo de todo el ciclo de vida del producto, desde el diseño y el desarrollo hasta después de su comercialización. Los productos de software y hardware llevarán el marcado CE para indicar que cumplen con los requisitos del Reglamento y, por tanto, pueden venderse en la UE.
La ley también introducirá la obligación legal para los fabricantes de proporcionar a los consumidores actualizaciones de seguridad oportunas durante varios años después de la compra. Este período debe reflejar el tiempo que se espera que se utilicen los productos. A través de estas medidas, la nueva Ley permitirá a los usuarios tomar decisiones mejor informadas y más seguras, ya que los fabricantes tendrán que volverse más transparentes y responsables con respecto a la seguridad de sus productos.
