Hace ya muchos años que Europa lidera el panorama legislativo a nivel de ciberseguridad, sirviendo de ejemplo al resto de países de fuera de la Unión.
Diversas propuestas en estos años tales como la publicación de la GDPR (2016), Directiva NIS 1 (2017) y NIS2 (2022), el Cybersecurity Act (2019) o el 5G Toolbox (2020) refuerzan la postura de Europa como referente en el ámbito de la ciberseguridad.¿Qué es el Cybersecurity Resilience Act (CRA)?
El CRA es una iniciativa que tiene por objeto garantizar que los vendedores establezcan las salvaguardas de ciberseguridad adecuadas en los productos digitales que venden. Al establecer requisitos de ciberseguridad antes y después de la comercialización de un producto, el CRA reforzará la seguridad y la resistencia de toda la cadena de suministro en beneficio de las empresas y los consumidores finales.
El Cybersecurity Resilience Act tiene como principal misión cubrir los vacíos existentes en la legislación mediante la creación de una legislación horizontal que defina los estándares de ciberseguridad europeos para productos y servicios digitales, ya que, actualmente, la legislación de la UE sobre productos específicos abarca, sobre todo, aspectos relacionados con la seguridad y aborda la ciberseguridad sólo de forma parcial.
Requisitos de ciberseguridad para fabricantes de productos digitales.
El CRA impondrá una serie de requisitos a los fabricantes de productos digitales que deseen comercializarlos en los países miembro de la Unión Europea.
Estos requisitos se dividirán en dos categorías principales: requisitos para los productos "ordinarios" (todos los que entran en el ámbito de aplicación de la CRA) y requisitos para los productos "sensibles" (los que se utilizan para manejar información secreta relacionada con la seguridad y la defensa nacionales).
Los requisitos para los productos ordinarios incluirán:
¿Qué productos son considerados en el CRA?
Incluirá todos los productos digitales y productos auxiliares, entendiendo tanto software como hardware con fines comerciales, tal y como muestra el siguiente gráfico:
Los productos que no se encuentran dentro del alcance de esta propuesta son:
Relación entre el CRA y los sistemas de certificación de la UE
El framework de certificación de ciberseguridad de la UE se define en el Cybersercurity Act (CSA) como sistemas voluntarios. EL CRA no modificará el CSA ni en su contenido ni en su gobernanza. Ambas leyes están diseñadas para ser complementarias. De esta manera, se facilitará a las empresas a evaluar y certificar sus productos bajo los sistemas, esquemas y metodología europeos.
La única novedad es que la Comisión Europea está estudiando la posibilidad de exigir, para la categoría de productos de mayor riesgo, la certificación obligatoria antes de su comercialización, utilizando los esquemas del Cybersecurity Act.
Próximos pasos
El CRA está siendo redactado por la Comisión Europea en la DG CNECT.H.2. después de una consulta pública sobre la propuesta en la que han podido contribuir diferentes organismos.
Hoy se ha publicado formalmente la propuesta, por lo que el texto será enviado al Parlamento Europeo y al Consejo. Para el primer trimestre de 2024 se espera que haya un consenso y que se apruebe formalmente antes de que entre en vigencia.
