La Comisión Europea ha abierto a consulta pública el borrador de orientaciones sobre la aplicación del Cyber Resilience Act, una de las normas más relevantes del nuevo marco europeo de ciberseguridad digital.
El documento pretende aclarar diversos aspectos interpretativos de esta regulación, aprobada en 2024 como Reglamento (UE) 2024/2847, y que establece requisitos obligatorios de ciberseguridad para los productos con elementos digitales comercializados en el mercado europeo.
La consulta pública permanecerá abierta hasta el 31 de marzo de 2026, lo que permitirá a empresas tecnológicas, expertos jurídicos y organismos regulatorios formular observaciones antes de su adopción definitiva.
El Cyber Resilience Act (CRA) constituye la primera regulación europea que impone requisitos obligatorios de ciberseguridad a hardware y software con elementos digitales, incluidos dispositivos IoT, aplicaciones o componentes tecnológicos.
La lógica del reglamento es clara:
- muchos productos digitales se comercializan con vulnerabilidades conocidas;
- los fabricantes no siempre proporcionan actualizaciones de seguridad adecuadas;
- los consumidores y empresas carecen de información clara sobre el nivel de seguridad de los productos.
Para corregir esta situación, el CRA introduce obligaciones que afectan a todo el ciclo de vida del producto digital, desde su diseño hasta su mantenimiento posterior.
Entre las obligaciones principales destacan:
- diseño seguro (secure-by-design);
- gestión y divulgación de vulnerabilidades;
- actualizaciones de seguridad durante el periodo de soporte;
- evaluación de riesgos antes de comercializar el producto;
- notificación de incidentes de seguridad.
El reglamento entró en vigor el 10 de diciembre de 2024, aunque la mayor parte de sus obligaciones se aplicarán a partir del 11 de diciembre de 2027, con obligaciones de notificación de incidentes desde septiembre de 2026.
El borrador de orientaciones publicado por la Comisión tiene un propósito fundamental: facilitar la interpretación y aplicación práctica del reglamento por parte de empresas y autoridades nacionales.
En particular, el documento aborda cuestiones que han generado dudas en el sector tecnológico:
- delimitación del ámbito de aplicación del CRA;
- tratamiento del software de código abierto;
- definición del periodo de soporte de seguridad;
- obligaciones relativas a servicios de procesamiento remoto;
- coordinación con otras normas europeas digitales.
Estas orientaciones, aunque no tienen carácter jurídicamente vinculante, reflejan la interpretación oficial de la Comisión y serán determinantes para una aplicación armonizada del reglamento en toda la Unión.
Desde una perspectiva jurídica, el Cyber Resilience Act introduce un cambio estructural en la regulación tecnológica europea.
Hasta ahora, gran parte de la responsabilidad en materia de seguridad digital recaía en los usuarios o en las organizaciones que implementaban los productos. El CRA desplaza esa responsabilidad hacia los fabricantes y desarrolladores.
En otras palabras, la seguridad deja de ser una opción competitiva para convertirse en un requisito regulatorio obligatorio.
Este cambio recuerda, en cierta medida, al impacto que tuvo el Reglamento General de Protección de Datos (GDPR)en el ámbito de la privacidad: el cumplimiento normativo pasa a integrarse desde la fase de diseño del producto (compliance by design).
Otro aspecto especialmente relevante es la creciente interconexión del ecosistema regulatorio digital europeo.
El Cyber Resilience Act no opera de forma aislada, sino que se integra con otras normas del marco digital europeo, entre ellas:
- el Reglamento de Inteligencia Artificial (AI Act)
- el Reglamento de Servicios Digitales (Digital Services Act)
- la Directiva NIS2 sobre seguridad de redes y sistemas de información.
El resultado es un sistema regulatorio cada vez más sofisticado que pretende garantizar seguridad, confianza y resiliencia digital en el mercado interior europeo.
Desde una perspectiva práctica, el CRA tendrá un impacto profundo en el sector tecnológico.
Las empresas que comercialicen productos con elementos digitales en la UE deberán:
- implementar procesos formales de gestión de vulnerabilidades;
- mantener documentación técnica durante largos periodos;
- garantizar actualizaciones de seguridad durante el ciclo de vida del producto;
- realizar evaluaciones de riesgo antes de la comercialización;
- asumir responsabilidades regulatorias comparables a las de otros sectores industriales.
En términos regulatorios, estamos ante un proceso de “industrialización jurídica de la ciberseguridad”, donde la seguridad informática pasa a integrarse en el marco del derecho del mercado interior y del derecho de productos.
La publicación de estas orientaciones constituye un paso importante en la implementación del Cyber Resilience Act.
Más allá de su dimensión técnica, el CRA refleja una transformación profunda del Derecho tecnológico europeo: la ciberseguridad deja de ser una cuestión meramente técnica para convertirse en un elemento estructural del mercado interior digital.
Para juristas, reguladores y empresas tecnológicas, el desafío será doble:
comprender el nuevo marco normativo y, al mismo tiempo, integrar la seguridad digital como un componente esencial del diseño de productos y servicios.
En definitiva, el Cyber Resilience Act inaugura una nueva etapa en la gobernanza jurídica de la ciberseguridad en Europa.
