El Reglamento (UE) 2024/2847, el Reglamento de Ciberresiliencia, tiene por objeto reforzar la ciberseguridad en toda la Unión Europea (UE). Establece un marco completo para garantizar que los productos y servicios digitales:
sean seguros desde su diseño;
resilientes frente a las ciberamenazas; y
capaces de ofrecer una protección continua a lo largo de su ciclo de vida.
Aborda los retos cada vez mayores de ciberseguridad que plantean la conectividad creciente de los dispositivos y el aumento de los ciberataques, que tienen importantes repercusiones económicas y sociales.
PUNTOS CLAVE
El Reglamento de Ciberresiliencia tiene varios objetivos fundamentales.
Mejorar la ciberseguridad en toda la UE estableciendo requisitos obligatorios de ciberseguridad para los productos con elementos digitales.
Promover prácticas seguras animando a los fabricantes a integrar la ciberseguridad en las fases de diseño y desarrollo de los productos.
Garantizar la transparencia y la responsabilidad exigiendo a los fabricantes que proporcionen información clara sobre las características de ciberseguridad de sus productos y que asuman la responsabilidad de abordar las vulnerabilidades.
Fomentar un mercado único de la ciberseguridad armonizando las normas en todos los Estados miembros de la UE para reducir la fragmentación y garantizar la igualdad de condiciones.
Ámbito de aplicación
El Reglamento se aplica a una amplia gama de productos con elementos digitales comercializados en la UE, independientemente de dónde tenga su sede el fabricante, que puedan conectarse directa o indirectamente a otros dispositivos o redes, entre ellos:
productos de «hardware» (por ejemplo, dispositivos de internet de las cosas [IdC], electrodomésticos inteligentes, sistemas de control industrial, microchips);
productos de «software» (por ejemplo, videojuegos, aplicaciones, programas informáticos).
Quedan excluidos algunos productos, como:
los productos sanitarios que ya estén regulados por reglamentos específicos de la UE;
los productos de aviación y automoción regulados por una normativa sectorial específica;
los equipos marinos.
Requisitos clave para los fabricantes
Seguros desde el diseño
Los fabricantes deben integrar la ciberseguridad en el diseño y el desarrollo de los productos. Esto incluye, entre otras cosas, configuraciones seguras por defecto, niveles adecuados de cifrado y mecanismos de control de acceso.
Evaluación y mitigación de riesgos
Los fabricantes están obligados a realizar una evaluación de riesgos y mantenerla actualizada, así como a aplicar medidas para hacer frente a las vulnerabilidades detectadas durante el ciclo de vida del producto.
Si los fabricantes recurren a componentes o servicios de terceros, deben actuar con la diligencia debida al integrarlos en sus productos.
Transparencia y documentación
Los fabricantes deben proporcionar una documentación clara y completa, que incluya:
una descripción de las características de ciberseguridad del producto;
instrucciones para una instalación, configuración y uso seguros;
información sobre cómo notificar vulnerabilidades;
una declaración de conformidad que confirme el cumplimiento del Reglamento.
Notificación de incidentes
Los fabricantes deben:
notificar sin demora indebida los incidentes graves de ciberseguridad y las vulnerabilidades explotadas activamente a las autoridades nacionales pertinentes y a la Agencia de Ciberseguridad de la Unión Europea (ENISA);
informar a los usuarios sobre los riesgos potenciales y proporcionar orientación para mitigarlos.
Actualizaciones de «software» y soporte
Los fabricantes deben proporcionar actualizaciones de seguridad durante el periodo de soporte del producto, que debe reflejar el periodo en que se espera que el producto esté en uso.
Las actualizaciones deben abordar las vulnerabilidades y garantizar la seguridad continua del producto.
Obligaciones para importadores y distribuidores
El Reglamento también impone responsabilidades a los importadores y distribuidores para garantizar que los productos cumplen los requisitos de ciberseguridad.
Los importadores deben comprobar que los fabricantes han cumplido la normativa y asegurarse de que los productos están etiquetados y documentados correctamente.
Los distribuidores deben asegurarse de que los productos llevan el marcado CE y de que se ha facilitado información e instrucciones al usuario, antes de comercializarlos.
Los productos llevarán el marcado CE para indicar que cumplen los requisitos del Reglamento de Ciberresiliencia.
Los fabricantes de fuera de la UE deben cumplir el reglamento para acceder al mercado de la UE, lo cual puede influir en las normas mundiales de ciberseguridad.
Aplicación
Para garantizar el cumplimiento, el Reglamento establece un sólido marco de aplicación.
Las autoridades nacionales de vigilancia del mercado controlarán el cumplimiento y llevarán a cabo inspecciones.
El incumplimiento puede acarrear importantes sanciones, que pueden incluir:
multas de hasta el 2,5 % de la facturación anual global del fabricante;
la prohibición o restricción de la disponibilidad de un producto;
la orden de retirada o recuperación de un producto.
Las autoridades de los Estados miembros compartirán información y coordinarán las medidas de ejecución.
¿DESDE CUÁNDO ESTÁ EN VIGOR EL REGLAMENTO?
El Reglamento entrará en vigor a partir del , con algunas excepciones:
las obligaciones de notificación relativas a vulnerabilidades activamente explotadas e incidentes graves entrarán en vigor a partir del ;
la notificación de los organismos de evaluación de la conformidad entrará en vigor a partir del .
Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de , relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia) (DO L 2024/2847 de ).
Las modificaciones sucesivas de la Directiva (UE) 2024/2847 se han incorporado al texto original. Esta versión consolidada solo tiene valor documental.
DOCUMENTOS CONEXOS
Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de , por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.o 300/2008, (UE) n.o 167/2013, (UE) n.o 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial) (DO L 2024/1689 de ).
Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de , relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de , pp. 80-152).
Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de , relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO L 409 de , pp. 1-27).
Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de , relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de , pp. 15-69).
Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de , relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) n.o 765/2008 y (UE) n.o 305/2011 (DO L 169 de , pp. 1-44).
Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo, de , relativo a los requisitos de homologación de tipo de los vehículos de motor y de sus remolques, así como de los sistemas, componentes y unidades técnicas independientes destinados a esos vehículos, en lo que respecta a su seguridad general y a la protección de los ocupantes de los vehículos y de los usuarios vulnerables de la vía pública, por el que se modifica el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) n.o 78/2009, (CE) n.o 79/2009 y (CE) n.o 661/2009 del Parlamento Europeo y del Consejo y los Reglamentos (CE) n.o 631/2009, (UE) n.o 406/2010, (UE) n.o 672/2010, (UE) n.o 1003/2010, (UE) n.o 1005/2010, (UE) n.o 1008/2010, (UE) n.o 1009/2010, (UE) n.o 19/2011, (UE) n.o 109/2011, (UE) n.o 458/2011, (UE) n.o 65/2012, (UE) n.o 130/2012, (UE) n.o 347/2012, (UE) n.o 351/2012, (UE) n.o 1230/2012 y (UE) 2015/166 de la Comisión (DO L 325 de , pp. 1-40).
Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de , sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) n.o 2111/2005, (CE) n.o 1008/2008, (UE) n.o 996/2010, (CE) n.o 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo, y se derogan los Reglamentos (CE) n.o 552/2004 y (CE) n.o 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) n.o 3922/91 del Consejo (DO L 212 de , pp. 1-122).
Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de , sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) n.o 178/2002 y el Reglamento (CE) n.o 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de , pp. 1-175).
Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de , sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión (DO L 117 de , pp. 176-332).
Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de , relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO L 157 de , pp. 1-18).
Directiva 2014/90/UE del Parlamento Europeo y del Consejo, de , sobre equipos marinos, y por la que se deroga la Directiva 96/98/CE del Consejo (DO L 257 de , pp. 146-185).
Reglamento (UE) n.o168/2013 del Parlamento Europeo y del Consejo, de , relativo a la homologación de los vehículos de dos o tres ruedas y los cuatriciclos, y a la vigilancia del mercado de dichos vehículos (DO L 60 de , pp. 52-128).