Ley de Ciberresilencia Digital

Ley de Ciberresilencia Digital (CRA)

La Ley de Ciberresiliencia Digital (CRA, por sus siglas en inglés Cyber Resilience Act) aplica a fabricantes de productos con elementos digitales cuyo uso previsto, y razonablemente previsible, incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red.

Se entiende por un producto con elementos digitales a aquel consistente en programas o equipos informáticos y sus soluciones de tratamiento de datos a distancia. Se incluyen, también, los componentes de programas o equipos informáticos que se introduzcan en el mercado por separado.

Existen varias categorizaciones de los productos: producto con elementos digitales, producto crítico con elementos digitales y producto altamente crítico con elementos digitales. A medida que la categorización asciende de criticidad, las obligaciones a cumplir se ven reforzadas.

Entre las principales obligaciones de CRA se encuentran:

• La gestión de riesgos: es necesario hacer una evaluación de riesgos de ciberseguridad asociados al producto e implantar medidas de seguridad. El objetivo es minimizar los riesgos, prevenir incidentes y reducir sus posibles consecuencias.
• La documentación técnica: la documentación técnica del producto, entre otros, deberá incluirá la evaluación de riesgos, así como los detalles de cómo el producto cumple con determinados requisitos de CRA.
• La notificación de incidentes: existe la obligación de comunicar a Agencia de la Unión Europea para la Ciberseguridad (ENISA) cualquier incidente en el plazo de 24 horas. Además, es necesario comunicar a los usuarios del producto cualquier incidente sin demora indebida.
• La evaluación de conformidad: se debe llevar a cabo una evaluación de conformidad del producto, con emisión del certificado de conformidad. En ocasiones, el certificado deberá ser emitido por terceros.

CRA prevé sanciones de hasta 15 millones de euros o hasta el 4% del volumen de negocio total anual de la organización.