Como respuesta al reto que supone la ciberseguridad para la Unión Europea, se aprobó el Reglamento (UE) 2024/2847 (Reglamento de Ciberresiliencia, en aplicación este 2026), que pasa a formar parte del Nuevo Marco Legislativo de la Unión Europea aplicable a productos del mercado europeo.
¿QUÉ ES EL REGLAMENTO DE CIBERRESILIENCIA?
El Reglamento de Ciberresiliencia (CRA por sus siglas en inglés) establece requisitos esenciales de ciberseguridad aplicables en el diseño, desarrollo y gestión de vulnerabilidades en productos con elementos digitales. Es de aplicación directa a fabricantes, importadores y distribuidores bajo el contexto de dicho Reglamento, excluyendo sectores específicos como dispositivos médicos o maquinaria pesada ya regulados. Su objetivo es armonizar el mercado interior, reduciendo vulnerabilidades y asegurando soporte posterior a la venta, con énfasis en la libre circulación de productos, así como establecer condiciones para permitir el desarrollo de productos con elementos esenciales seguros.
En cuanto a su ámbito de aplicación, aplica directamente los productos con elementos digitales (entendiéndose dentro de esta categoría todo producto consistente en programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado) comercializados cuya finalidad o uso razonablemente previsto incluya conexiones directas o indirectas de datos a un dispositivo o red, ya sea lógica o física.
¿A QUIÉN APLICA EL REGLAMENTO DE CIBERRESILIENCIA?
El CRA establece obligaciones para una serie de operadores económicos mencionados en la norma, como son los fabricantes, distribuidores, importadores y representantes autorizados, así como cualquier otra persona física o jurídica sujeta a obligaciones con respecto a la fabricación o comercialización de productos con elementos digitales.
Dichos operadores económicos deben tener en cuenta especialmente las obligaciones que les son de obligatorio cumplimiento considerando los plazos establecidos para este 2026, ya que el reglamento entrará en aplicación de manera escalonada.
EN QUÉ APLICA EL REGLAMENTO DE CIBERRESILIENCIA ESTE 2026
En su artículo 71, el CRA señala que entrarán en aplicación este 2026 los preceptos contenidos tanto en el artículo 14 de la norma como en su capítulo IV. Entre ellos, se encuentra lo siguiente:
- Obligaciones de información de los fabricantes, en concreto relativas a vulnerabilidades activamente aprovechadas e incidentes graves que puedan afectar a la seguridad del producto. Dicha notificación deberá realizarse ante ENISA y el CSIRT correspondiente, por medio de la plataforma única de notificación definida en el artículo 16 del CRA.
- Las mencionadas notificaciones deberán incluir diversa información sobre la vulnerabilidad o incidente grave, incluyendo, entre otras, información sobre la misma, su impacto o las medidas correctoras o paliativas tomadas al respecto.
- Plazos con relación a la información que debe incluirse en la notificación, que puede ir desde 24 horas hasta 1 mes, dependiendo del tipo de información que se haya entregado en un inicio, o de si se está llevando a cabo la entrega de un informe final, entre otras circunstancias específicas a tener en cuenta para la determinación de los plazos.
- De igual manera, entran en aplicación las reglas relativas a la notificación de organismos de evaluación de conformidad, incluyendo los distintos requisitos de notificación de los mismos y las pautas procedimentales a seguir para su obtención, entre otras reglas.
¿CÓMO PODEMOS AYUDARTE A CUMPLIR CON EL REGLAMENTO DE CIBERRESILIENCIA?
En Torres Gallardo Abogados contamos con expertos en derecho de las nuevas tecnologías y en normativa de productos europea, con experiencia y conocimientos en procedimientos de evaluación de conformidad, y en normativa de ciberseguridad aplicable a tus productos y tu organización. Ayudamos a clientes en España y la Unión Europea a cumplir con el Reglamento de Ciberresiliencia mediante la preparación de planes de cumplimiento, documentación necesaria y mediante la gestión integral de procesos y actividades necesarias para la obtención del marcado CE. Ofrecemos de igual manera asesoría legal personalizada para tu organización, incluyendo desde un análisis de las obligaciones aplicables desde 2026 hasta la representación ante autoridades de vigilancia de mercado.
Además, ofrecemos apoyo en la adaptación de sistemas de gestión existentes para la inclusión de la conformidad con el Reglamento de Ciberresiliencia, incluyendo la redacción de políticas y estrategias para el cumplimiento con la norma.
Contacta con nosotros sin compromiso para más información experta sobre cómo cumplir con el Reglamento de Ciberresiliencia.