La ciberseguridad de los ciudadanos se ha convertido en uno de los principales retos para la Unión Europea ante su preocupación por los altos niveles de cibercriminalidad identificados en los últimos años.
Los ciberataques están considerados un asunto de interés público por su impacto, no solo en la economía de la UE, sino también en la salud y en la seguridad de los consumidores.
El Instituto Nacional de Ciberseguridad (INCIBE) gestionó 83.517 incidentes de ciberseguridad durante el año 2023, según el informe anual que elabora este instituto. Esta cifra corresponde a un aumento de un 24%con respecto a 2022, cuando se registraron 16.408 ciberataques menos.
De estos ciberataques denunciados, un 87% fueron sobre fraudes económicos mediante el uso de instrumentos tecnológicos como ordenadores, smartphones u otros dispositivos portátiles. Ante estos datos, y teniendo en cuenta el gran número de dispositivos conectados que utilizamos en el día a día, la UE ha considerado necesario establecer un marco jurídico uniforme, relativo a los requisitos de ciberseguridad y ciberresiliencia que deben cumplir los productos con elementos digitales que se introduzcan en la UE.
Este refuerzo se ha materializado a través del Reglamento (UE) 2024/2847, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, conocido como Reglamento de Ciberresiliencia o CRA, publicado en el Diario Oficial de la UE a finales de noviembre.
¿Qué es el reglamento de ciberresiliencia?
El CRA cuenta con diferentes plazos de cumplimiento en función del tipo de obligaciones. A nivel general, los fabricantes, importadores y distribuidores de productos con elementos digitales deberán notificar vulnerabilidades e incidentes graves de sus productos a los organismos competentes antes del mes de septiembre de 2026. En relación con el resto de las obligaciones, establecidas por CRA, se deberán cumplir antes del 11 de diciembre de 2027.
Aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o a una red, salvo determinadas excepciones, como dispositivos de seguimiento médico, aviación civil o vehículos, cuya regulación en materia de ciberseguridad ya se aborda en otras normas.
Desde Secure&IT, Juan Manuel Valiente, responsable del Área Jurídica explica: “Con la publicación de este Reglamento, se pretende hacer frente, entre otros, a dos problemas importantes que suponen un aumento de costes para los ciudadanos y la sociedad”.
El primero de ellos es el bajo nivel de ciberseguridad de los productos con elementos digitales que se comercializan actualmente, ya que se han detectado multitud de vulnerabilidades y una oferta insuficiente de actualizaciones de seguridad para hacerles frente.
El segundo problema identificado por la UE es la insuficiencia de la comprensión de la información ofrecida por los fabricantes de estos productos, y del acceso a ella por parte de los ciudadanos. Esto impide que los usuarios seleccionen productos con las características de ciberseguridad adecuadas o que los puedan utilizar de forma segura.
En este sentido, Valiente indica: “El objetivo de este Reglamento es claro: que los productos con elementos digitales comercializados en la UE sean ciberseguros y que los usuarios de estos productos tengan en cuenta la ciberseguridad a la hora de elegirlos y utilizarlos, debido a que contarán con información más adecuada”.
¿Cómo se va a proteger a los usuarios?
La normativa establece obligaciones tanto para los fabricantes como para los importadores y distribuidores de este tipo de productos. Entre las obligaciones más importantes, encontramos la realización de análisis de riesgos de los productos en materia de ciberseguridad; la implantación de medidas de seguridad en las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento de los productos; la realización de todas las pruebas necesarias en materia de ciberseguridad del producto; así como garantizar una adecuada gestión de vulnerabilidades e incidentes de seguridad antes de su comercialización.
“Desde el punto de vista del usuario, la información que el fabricante deberá poner a su disposición en materia de ciberseguridad será más amplia que la actual. Los usuarios deberán ser informarnos sobre los riesgos de ciberseguridad asociados al producto; las medidas implantadas en materia de ciberseguridad para mitigarlos; la posibilidad de eliminar de manera segura los datos y parámetros tratados en el producto; la posibilidad de transferir los datos a otro producto o sistema, así como información sobre el apoyo técnico en ciberseguridad ofrecido por el fabricante”, explica Juan Manuel Valiente.
Además, con esta normativa se prevé la necesidad de que estos productos cuenten con una declaración de conformidad en la que el fabricante garantice que cumple con las disposiciones de la normativa que, en aquellos productos considerados más críticos, deberá ser emitida por terceros acreditados.
