Ir al contenido principal

Cyber Resilience Act

Servicios integrados para convertir en oportunidades de negocio los desafíos de la nueva regulación

El nuevo Reglamento Cyber Resilience Act (CRA) de la Unión Europea llega para cambiar profundamente la forma en que los productos con elementos digitales se diseñan, desarrollan y comercializan en el mercado de la UE.

Contáctanos

Esta legislación introduce nuevas obligaciones para los fabricantes de tecnología de la UE y de fuera de ella, así como para las empresas que distribuyen esos productos.

Esto exige una planificación estratégica inmediata y una evaluación del impacto en los aspectos legales y de ciberseguridad, ya que las primeras obligaciones entrarán en vigor en septiembre de 2026.

¿Por qué es necesaria la CRA?
En determinadas condiciones, todos los productos con elementos digitales integrados o conectados a un sistema de información más amplio, pueden servir de vector de ataque. Como consecuencia, incluso el hardware y el software considerado menos crítico podría facilitar un ciberataque que afecte a la información o a la continuidad de los servicios.

Los requisitos de ciberseguridad que incluye la norma tienen como objetivo final mejorar la ciberseguridad tanto para los productos en sí, como la de los consumidores y las empresas.

Quienes se anticipen, liderarán el mercado.
La CRA no es solo una obligación regulatoria, sino una palanca estratégica para fortalecer la ventaja competitiva y ganar posición en el mercado europeo de productos digitales.

Aspectos clave de la CRA

Objetivos de la CRA

Más información

¿Qué productos se ven afectados?

Más información

¿Qué productos tienen normativa específica?

Más información

¿Quién será la autoridad de supervisión?

Más información

¿Qué calendario de aplicación tiene?

Más información

Nuestros servicios en ciberresiliencia

Navegar por esta nueva regulación del derecho europeo constituye todo un desafío. En Deloitte hemos desarrollado un paquete de servicios integral e integrado —que abarca aspectos legales, de consultoría y de ciberseguridad— para garantizar su cumplimiento antes de la entrada en vigor completa de la norma y aprovechar así las oportunidades de negocio que abre esta nueva regulación.

Nuestros equipos multidisciplinares ofrecen la combinación de la defensa técnica (consultoría cibernética) con el cumplimiento de las normas europeas e internacionales (asesoramiento legal).

Identificación de productos con elementos digitales

Más información

Informe de aplicabilidad

Más información

Identificación de gaps

Más información

Evaluación de riesgos

Más información

Catálogo de medidas

Más información

Consultoría

Más información

 

 

Descubre más sobre ámbito de aplicación de la CRA

Requisitos específicos del operador

  • Garantizar el cumplimiento de los requisitos esenciales de ciberseguridad.
  • Realizar evaluaciones de conformidad, incluidas evaluaciones de riesgos de ciberseguridad.
  • Due diligence al integrar componentes y asegurar la cadena de suministro.
  • Cumplir con las obligaciones de información y soporte durante por lo menos 5 años.
  • Obtener el marcado CE.
  • Compartir la responsabilidad con los fabricantes durante la comercialización de productos: garantizar la evaluación de la conformidad, el marcado CE y la documentación técnica antes de importar productos en el mercado de la UE.
  • Compartir la responsabilidad con los fabricantes: verificar la conformidad, cuando sea necesario, por intermediario con el importador, antes de distribuirla en el mercado de la UE.
  • Garantizar la conformidad de los productos para quienes los comercializan.
  • Cumplir con los requisitos esenciales de ciberseguridad para aquellos que se asimilan a los fabricantes y a los administradores de código abierto.

Requisitos específicos del producto

  • Los productos importantes y críticos son aquellos que tienen funcionalidades básicas y que contribuyen críticamente a la ciberseguridad.
  • Deben someterse a procedimientos de evaluación de la conformidad de acuerdo con los requisitos esenciales de ciberseguridad y en su caso realizados por un tercero.
  • Los sistemas de IA de alto riesgo se incluyen en esta categoría.
  • La seguridad debe integrarse en la fase de desarrollo del producto, incluida la identificación proactiva, la mitigación de posibles amenazas y la gestión de vulnerabilidades a lo largo del ciclo de vida del producto y la trazabilidad de todos los componentes del producto.
  • Para ello, es obligatorio el cumplimiento de un conjunto de requisitos de ciberseguridad y de gestión de vulnerabilidades antes de poner en el mercado productos.
  • La documentación completa debe demostrar el cumplimiento de los requisitos de la CRA.
  • El fabricante es responsable de crear, mantener y compartir esta documentación con todos los participantes en la cadena de suministro del producto.
  • Se debe especificar el período de soporte y se aplican criterios estrictos para determinar su duración.
  • Los fabricantes deben crear, mantener y poner a disposición de todos los agentes de la cadena de suministro del producto y de las autoridades una declaración UE de conformidad.
  • El proceso y el contenido están estrictamente regulados, y deben estar disponibles para los usuarios junto con la documentación. 
  • Se aplican otras distinciones de conformidad, como el marcado CE.
  • Los fabricantes deben implementar políticas transparentes de divulgación de vulnerabilidades y manejo de incidentes.
  • Todos los actores de la cadena de suministro deben informar o ser informados sobre vulnerabilidades.
  • Los incidentes graves y las vulnerabilidades explotadas deben notificarse a las autoridades nacionales y a ENISA.

Conoce a nuestro experto

Vicente Moret

Vicente Moret

Counsel de Deloitte Legal