¿Qué es CRA y a quién aplica?

JD Services
Josemi 11 octubre 2024
Compartir:

Nota importante: Cada negocio es siempre el único responsable del cumplimiento de cualquier normativa que le sea aplicable. Este resumen es inexacto, está sobre-simplificado y tiene un fin meramente divulgativo y comercial. Podría, además, no estar actualizado.

Este resumen no supone asesoramiento legal ni reemplaza a una formación/certificación/auditoría. Consulte con su abogado antes de implementar cualquier medida. JD Services no presta servicios legales de ningún tipo. Le recomendamos recibir formación especializada al respecto. No proporcionamos ninguna garantía ni asumimos ninguna responsabilidad al respecto.

Esta entrada es propiedad intelectual de JD Services y todos sus derechos quedan reservados.

Información general

¿Qué es el Reglamento de Ciberresiliencia (CRA)?

La Cyber Resilience Act es el nuevo reglamento europeo sobre requisitos de ciberseguridad para productos digitales (hardware o software).

Es complementario a NIS2 (y a la AI Act), e impone numerosas obligaciones adicionales específicas para negocios que creen estos productos, tanto en su operativa empresarial, como en los propios productos.

Al ser un reglamento y no una directiva, tiene aplicación directa, sin necesidad de ser transpuesto a la legislación nacional.

¿A quién aplica CRA?

Generalmente, se aplica a los productos con elementos digitales comercializados cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red.

Por tanto, resulta relevante a cualquier operador económico de dichos productos.

Ninguna empresa queda excluida de CRA por su tamaño. Existen algunas obligaciones simplificadas para algunas microempresas.

¿Cuándo entrará en vigor?

Entrará en vigor 10 de diciembre de 2024 y se aplicará progresivamente en varias fases:

  • Notificación de los organismos de evaluación de la conformidad: 11 de junio de 2026
  • Obligaciones de información de los fabricantes: 11 de septiembre de 2026
  • Resto de artículos: 11 de diciembre de 2027

Definición de términos

A fin de entender correctamente la regulación, debemos tener siempre presente qué se entiende por ciertos términos:

  • Producto con elementos digitales: producto consistente en programas informáticos o equipos informáticos y sus soluciones de tratamiento de datos a distancia, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado
  • Operador económico: fabricante, representante autorizado, importador o distribuidor
  • Programa informático: la parte de un sistema electrónico de información consistente en un código informático
  • Equipo informático: sistema electrónico de información físico, o partes de este, capaz de tratar, almacenar o transmitir datos digitales
  • Tratamiento de datos a distancia: tratamiento de datos a distancia para el que el programa informático ha sido diseñado y desarrollado por el fabricante, o bajo su responsabilidad y cuya ausencia impediría que el producto con elementos digitales cumpliera alguna de sus funciones
  • Componente: programa o equipo informático destinado a su integración en un sistema electrónico de información
  • Sistema electrónico de información: sistema, incluidos los aparatos eléctricos o electrónicos, capaz de tratar, almacenar o transmitir datos digitales
  • Introducción en el mercado: la primera comercialización de un producto con elementos digitales en el mercado de la UE
  • Comercialización: el suministro, ya sea remunerado o gratuito, de un producto con elementos digitales para su distribución o utilización en el mercado de la Unión en el curso de una actividad comercial
  • Fabricante: persona física o jurídica que desarrolla o fabrica productos con elementos digitales o para quien se diseñan, desarrollan o fabrican productos con elementos digitales, y que los comercializa con su nombre o marca comercial, ya sea de manera remunerada, monetizada o gratuita
  • Distribuidor: persona física o jurídica que forma parte de la cadena de suministro, distinta del fabricante o el importador, que comercializa un producto con elementos digitales en el mercado de la Unión sin influir sobre sus propiedades
  • Finalidad prevista: el uso para el que un fabricante concibe un producto con elementos digitales, incluido el contexto y las condiciones de uso concretas, según la información facilitada por el fabricante en las instrucciones de uso, los materiales y las declaraciones de promoción y venta, y la documentación técnica
  • Uso razonablemente previsible: uso que no coincide necesariamente con la finalidad prevista indicada por el fabricante en las instrucciones de uso, los materiales y las declaraciones de promoción y venta y la documentación técnica, pero que puede derivarse de un comportamiento humano o de intervenciones e interacciones técnicas razonablemente previsibles
  • Conexión lógica: representación virtual de una conexión de datos realizada a través de una interfaz de programa informático
  • Conexión física: conexión entre sistemas electrónicos de información o componentes realizada por medios físicos, también mediante interfaces eléctricas, ópticas o mecánicas, cables u ondas de radio
  • Conexión indirecta: conexión a un dispositivo o red que no tiene lugar directamente, sino como parte de un sistema más amplio que puede conectarse directamente a dicho dispositivo o red;

Recursos útiles

¿Quiere contratar nuestros servicios? Solicitar información


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ingrese su nombre.
Ingrese su correo electrónico
Ingrese su comentario