La Unión Europea ha aprobado el REGLAMENTO (UE) 2024/2847 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de octubre de 2024 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, una norma que establece requisitos obligatorios de ciberseguridad para todos los productos con elementos digitales. Conoce a quién aplica, qué exige y cómo beneficiará a consumidores y empresas en el mercado interior digital.
1. Contexto y Objetivo del Reglamento
La permanente y creciente digitalización en todos los sectores de la economía conlleva nuevas oportunidades, pero también mayores riesgos de ciberataques. Para responder a esta realidad, la unión europea ha dado un paso más hacia la seguridad digital con la adopción del Reglamento de Ciberresiliencia. Esta normativa, conocida oficialmente como Reglamento (UE) 2024/2847, establece requisitos horizontales obligatorios de ciberseguridad para cualquier producto con elementos digitales que se comercialice en el mercado interior de la UE.
El objetivo es: reducir las vulnerabilidades y mejorar la capacidad de respuesta frente a incidentes, protegiendo tanto a los usuarios finales como a la propia infraestructura digital europea.
2. ¿A quién se aplica el Reglamento de Ciberresiliencia?
La nueva norma afecta a toda la cadena de valor de los productos digitales:
Fabricantes: Son los primeros responsables. Deben garantizar que el diseño, desarrollo y producción cumplan con los requisitos de ciberseguridad desde el inicio.
Importadores: Antes de introducir un producto en la UE, están obligados a comprobar que cumple con el Reglamento.
Distribuidores: Deben verificar que los productos estén debidamente etiquetados y que la información de seguridad sea accesible. Si detectan incumplimientos, deben actuar informando a las autoridades o retirando el producto.
Otros actores de la cadena de suministro: Dependiendo de su rol (ej. integración de software de terceros), también pueden verse afectados por las obligaciones establecidas. En definitiva, cualquier organización que participe en la producción, distribución o comercialización de productos con componentes digitales en la UE tendrá que ajustar sus procesos y controles para cumplir con estos nuevos requisitos.
3. Requisitos Esenciales de Ciberseguridad
El Reglamento establece un conjunto de principios y exigencias técnicas, entre los que destacan:
Diseño seguro desde el origen: La ciberseguridad no debe ser un añadido posterior, sino integrarse desde la fase inicial de desarrollo.
Protección de datos y comunicaciones: Mecanismos de cifrado, autenticación sólida y protocolos seguros son esenciales para evitar accesos no autorizados.
Actualizaciones de seguridad continuas: Los fabricantes deberán ofrecer soporte y parches durante un período razonable tras el lanzamiento del producto.
Notificación de vulnerabilidades: Las empresas deben informar de forma ágil a las autoridades y, cuando proceda, a los usuarios, sobre fallos de seguridad críticos.
4. Obligaciones de los Fabricantes
Los fabricantes desempeñan un papel clave en el cumplimiento del Reglamento de Ciberresiliencia, ya que deben asegurar que sus productos con elementos digitales sean seguros desde el momento de su concepción. Entre sus principales obligaciones destacan:
Diseño y Desarrollo Seguro: Integrar la ciberseguridad desde el inicio del proceso de diseño del producto, siguiendo el principio de “seguridad por diseño”. Garantizar que se implementen medidas técnicas y organizativas adecuadas para prevenir accesos no autorizados, manipulación de datos o uso indebido de las funciones del producto.
Evaluación de Riesgos y Conformidad Técnica: Realizar evaluaciones de riesgos de ciberseguridad, identificando vulnerabilidades y amenazas potenciales. Elaborar y mantener documentación técnica que demuestre el cumplimiento con los requisitos esenciales del Reglamento, incluyendo el detalle de las medidas de seguridad adoptadas.
Actualizaciones y Soporte Continuo: Proporcionar actualizaciones de seguridad y parches de forma periódica o tan pronto como se detecten vulnerabilidades críticas. Mantener un soporte activo durante un período razonable tras la comercialización del producto, garantizando que los usuarios puedan protegerse frente a nuevas amenazas emergentes.
Transparencia y Comunicación: Informar de manera clara y accesible a los usuarios sobre las características de ciberseguridad del producto, incluyendo instrucciones para su uso seguro.
Notificar rápidamente a las autoridades competentes y, en su caso, a los usuarios, sobre vulnerabilidades críticas o incidentes de seguridad relevantes que puedan afectar al producto o sus datos.
Colaboración con la Cadena de Suministro: Trabajar conjuntamente con proveedores, importadores y distribuidores para garantizar que los componentes y servicios integrados en el producto cumplan con las exigencias de ciberseguridad.
Si el fabricante no puede abordar una vulnerabilidad por sí mismo, debe coordinarse con otros actores en la cadena de suministro para encontrar una solución efectiva.
5. Obligaciones de los Importadores
Los importadores desempeñan un rol esencial al introducir productos con elementos digitales en el mercado de la Unión Europea. Según el Reglamento de Ciberresiliencia, deben:
Verificación de la Conformidad: Asegurarse de que el producto cumpla con todos los requisitos esenciales de ciberseguridad antes de su puesta en el mercado. Revisar la documentación técnica, la declaración de conformidad del fabricante y el marcado CE, garantizando así que el producto haya sido evaluado correctamente.
Cooperación con las Autoridades de Vigilancia: Mantener a disposición de las autoridades nacionales la documentación técnica y toda la información que acredite el cumplimiento del producto.
Facilitar las inspecciones y comprobaciones solicitadas, aportando datos o muestras del producto si así se requiere.
Responsabilidad por el Producto Comercializado: No introducir en el mercado ningún producto que no cumpla con las exigencias de seguridad establecidas. En caso de detectar incumplimientos tras la introducción del producto en el mercado, el importador debe informar inmediatamente a las autoridades competentes y, cuando proceda, al propio fabricante o a los distribuidores.
Identificación y Comunicación: Incluir en el producto o su embalaje, así como en cualquier documentación que lo acompañe, su nombre, razón social o marca registrada, y la dirección postal de contacto. Comunicar claramente a los usuarios la información necesaria para un uso seguro del producto, siguiendo las instrucciones y advertencias proporcionadas por el fabricante.
Cooperación en la Cadena de Suministro: Trabajar conjuntamente con fabricantes y distribuidores para asegurar que, desde el origen hasta la venta al público, los productos no pierdan su nivel de seguridad. Adoptar medidas correctoras si detectan riesgos para la ciberseguridad, incluso retirando o suspendiendo la venta del producto cuando sea necesario.
6. Obligaciones de los Distribuidores
Los distribuidores actúan como nexo entre el importador o fabricante y el consumidor final. Según el Reglamento de Ciberresiliencia, deben:
Verificación antes de la Venta: Comprobar que el producto exhiba el marcado CE y que cuente con la documentación técnica e información pertinentes. Asegurarse de que las instrucciones y advertencias de ciberseguridad estén disponibles en el idioma oficial del país en el que se va a comercializar el producto.
Diligencia en la Cadena de Suministro: Mantenerse informados sobre la conformidad del producto. Si el distribuidor sospecha que un producto no cumple con los requisitos de ciberseguridad, debe abstenerse de comercializarlo hasta que se subsanen las irregularidades.
Revisar periódicamente las actualizaciones o notificaciones proporcionadas por el fabricante o importador, asegurando que la información y las medidas de seguridad más recientes lleguen al usuario final.
Respuesta ante Detectar Riesgos: Si el distribuidor tiene razones para creer que un producto ya comercializado no cumple con el Reglamento (por ejemplo, ante la notificación de una vulnerabilidad), debe informar de inmediato a las autoridades nacionales competentes. Cooperar en la adopción de medidas correctivas, como la retirada del producto del mercado, la emisión de alertas o la difusión de actualizaciones de seguridad proporcionadas por el fabricante.
Identificación y Trazabilidad: Conservar la información necesaria para identificar al fabricante o importador responsable del producto. Esto facilita la trazabilidad en caso de incidencias y asegura que las medidas correctivas sean rápidas y eficaces.
7. Posibles sanciones
Infracciones graves (incumplimiento de requisitos esenciales): Hasta 15 millones de euros, O hasta el 2,5 % del volumen de negocios anual total a nivel mundial de la empresa infractora, el que resulte mayor.
Infracciones menos graves (otros incumplimientos de las obligaciones): Hasta 10 millones de euros, O hasta el 2 % del volumen de negocios anual total a nivel mundial, el que resulte mayor.
Suministro de información incompleta o engañosa a las autoridades: Hasta 5 millones de euros, O hasta el 1 % del volumen de negocios anual total a nivel mundial, el que resulte mayor.
Estos importes buscan ser disuasorios y proporcionales. Se aplicarán dependiendo de la naturaleza, duración, gravedad y consecuencias de la infracción, así como del tamaño y los recursos de la empresa afectada. A medida que se publiquen actos de ejecución o directrices complementarias, se podrían concretar mejor los criterios de cálculo, pero estas cifras sirven como referencia inicial del nivel de sanciones.
8. Entrada en vigor
A partir del 11 de diciembre de 2027: Se hará efectiva la aplicación general de la mayoría de los requisitos esenciales del Reglamento. A partir de este momento, las empresas deberán cumplir plenamente con las obligaciones de ciberseguridad sobre el diseño, la conformidad técnica, el marcado, la documentación, las actualizaciones de seguridad y el resto de las disposiciones clave.
A partir del 11 de septiembre de 2026: Comenzarán a aplicarse ciertas obligaciones específicas, en especial las relativas a la gestión y notificación de vulnerabilidades. Esto significa que, desde esta fecha, los operadores económicos deberán tener establecidos procedimientos para detectar, informar y corregir fallos de seguridad.
A partir del 11 de junio del 2026: Desde esta fecha comenzarán a aplicarse las primeras obligaciones relacionadas con la gestión y notificación interna de vulnerabilidades. Esto implica que los operadores económicos (principalmente fabricantes) deben contar con procedimientos establecidos para identificar, evaluar y documentar las vulnerabilidades en sus productos, así como prepararse para su notificación externa cuando corresponda.