¿Qué es Cyber Resilience Act (CRA)?

La Cyber Resilience Act (CRA) es una directiva de la Unión Europea destinada a mejorar la seguridad de los productos con elementos digitales, tanto software como hardware, para fortalecer su resiliencia ante ciberataques. La normativa impone una serie de obligaciones a los fabricantes, con el objetivo de garantizar que la ciberseguridad se tiene en cuenta a lo largo de todo el ciclo de vida del producto (en el diseño, desarrollo y durante su comercialización).

En particular, todos los productos bajo la CRA tienen que cumplir los siguientes requisitos de ciberseguridad:

• Garantizar que el producto no tiene vulnerabilidades conocidas a la hora de ponerlo en el mercado, minimizando su superficie de ataque y el posible impacto de una vulnerabilidad.
• Ofrecerlo con una configuración segura por defecto y con la posibilidad de recibir actualizaciones automáticas de seguridad.
• Garantizar la confidencialidad de los datos gestionados por el producto; la integridad del software, los datos y su configuración; y garantizar la disponibilidad de las funciones esenciales del producto ante un posible ataque (por ejemplo, de DoS) mediante los mecanismos de mitigación adecuados, minimizando además su posible impacto en terceros.
• Incluir mecanismos de control de acceso adecuados.
• Recoger trazas de cualquier actividad relevante desde el punto de vista de la seguridad.
• Cumplir con el principio de minimización de datos.

Para garantizar estos requisitos, los productos tienen que ser sometidos a pruebas de seguridad (por ejemplo, pentesting) antes de su comercialización. Adicionalmente, los proveedores tienen que disponer de un análisis de riesgos del producto y elaborar cierta documentación técnica complementaria, que será utilizada para evaluar el cumplimiento con la CRA, y proporcionar actualizaciones y parches de seguridad durante al menos 5 años tras la puesta del producto en el mercado. Además, las empresas deben proporcionar a los usuarios instrucciones claras para el mantenimiento y la configuración segura de sus productos, facilitando la adopción de buenas prácticas de ciberseguridad.

Un aspecto destacado de la CRA es que introduce obligaciones en la gestión de las vulnerabilidades, lo que requiere que los fabricantes tengan que informar a las autoridades de cualquier vulnerabilidad explotada o incidente de seguridad grave asociado a sus productos. Estas notificaciones se realizan a través de la plataforma Single Report Platform (SRP), gestionada por ENISA y a la que también tienen acceso los CSIRTs europeos, y deberán realizarse en un plazo específico, que varía entre las 24 horas y los 30 días desde el momento de la detección del incidente. Las vulnerabilidades de todos los productos serán registradas posteriormente en una base de datos europea de vulnerabilidades.

El incumplimiento de la CRA puede acarrear sanciones significativas para los fabricantes, incluyendo multas de hasta 15 millones de euros o el 2.5% de los ingresos anuales globales de la empresa (el mayor de los dos), y la retirada del mercado del producto. La directiva ha sido aprobada en octubre de 2024 y será de obligado cumplimiento a los 36 meses, aunque ciertas obligaciones de los proveedores, como el reporte activo de vulnerabilidades e incidentes, entrarán en vigor a los 21 meses.