Global es
Hotline
Persona de contacto
Global | español

Cyber Resilience Act

El Cyber Resilience Act supone la incorporación de una serie de nuevos requisitos. ¿Qué requisitos se aplicarán en adelante?

Desde el 11 de diciembre de 2027 solo podrán comercializarse en la Unión Europea los productos que cumplan los requisitos del Cyber Resilience Act (CRA). En el CRA se establecen los requisitos relativos a la ciberseguridad de productos que contienen elementos digitales.

¿Qué nuevos requisitos se especifican en el Cyber Resilience Act? ¿Qué productos se incluyen en el CRA? ¿A qué tareas se enfrentan las empresas? Hemos resumido los datos más importantes.

Dos hombres conversando en el lugar de trabajo

Las preguntas más frecuentes sobre el Cyber Resilience Act (Reglamento de Ciberresiliencia) (FAQ)

¿Qué es el Cyber Resilience Act?

El Cyber Resilience Act (CRA) es un Reglamento de la UE que define requisitos de protección industrial (Industrial Security) para los productos con elementos digitales. Será necesario tener en cuenta consideraciones básicas y la adecuación de los productos afectados. Esto es obligatorio porque desde diciembre de 2027 solo podrán comercializarse los productos que cumplan los requisitos del CRA.

¿Cuándo entra en vigor el Cyber Resilience Act?

El CRA se publicó en el Diario oficial de la UE el 20 de noviembre de 2024. Entró en vigor el 10 de diciembre de 2024 y será de aplicación vinculante en la UE a partir del 11 de diciembre de 2027. Sin embargo, la obligación de los fabricantes de informar de las vulnerabilidades explotadas se aplicará según el CRA a partir del 11 de septiembre de 2026.

¿Qué requisitos exige exactamente el CRA?

El objetivo del CRA es ofrecer a consumidores y empresas una protección más eficaz contra los ciberataques. El CRA abarca numerosos requisitos para fabricantes, importadores y distribuidores de productos con elementos digitales capaces de comunicarse con otros productos. Incluidos productos de hardware y software. Esto abarca el ciclo de vida completo del producto, es decir, diseño, desarrollo, fabricación, entrega y mantenimiento del producto, así como su vida útil en las instalaciones del cliente.

¿El Cyber Resilience Act es un Reglamento o una Directiva?

El Cyber Resilience Act es un Reglamento de la UE y se aplica en todos los Estados miembros de la Unión Europea sin necesidad de transposición a la legislación nacional.

¿Qué productos entran en el ámbito de aplicación del Reglamento CRA?

El CRA se refiere a componentes, especialmente productos con elementos digitales, para los que se exigirá una evaluación de la conformidad.

El Cyber Resilience Act (CRA) se aplica a todos los productos que contienen componentes digitales -como software o sistemas de IA de alto riesgo- y están conectados a redes u otros dispositivos. En consecuencia, el ámbito de aplicación del CRA es muy amplio e incluye, entre otros, los siguientes grupos de productos:

  • Hardware y software industrial, como dispositivos IoT, controles lógicos programables (PLC) y sensores
  • Soluciones de software, como aplicaciones de escritorio, web y móviles y sistemas operativos.
  • Dispositivos inteligentes de uso privado, tanto hardware como software

Estos productos se clasifican en categorías según su potencial de riesgo. Dentro de las clases de riesgo más alto encontramos, en particular, los sistemas utilizados en infraestructuras críticas, producción industrial o en los sectores energético e industrial. Los requisitos del procedimiento de evaluación de la conformidad de estos productos cambian porque pueden tener un impacto significativo en la seguridad pública y la estabilidad económica.

¿Qué hay que hacer? ¿Qué requisitos deben cumplir las empresas?

Un fabricante de productos con elementos digitales debe cumplir los requisitos de protección del CRA. Las tareas que se derivan de ello son la elaboración de un análisis de riesgos y la definición e implementación de medidas de reducción de posibles riesgos. Asimismo, es obligatorio crear y mantener actualizada una documentación sobre la evaluación de riesgos (y de las medidas de reducción de riesgos de protección aplicadas) y conservarla durante al menos 10 años. También son obligatorias la supervisión continua de posibles vulnerabilidades de protección, el suministro gratuito de actualizaciones de protección durante la vida útil típica de un producto (al menos 5 años) y la notificación de vulnerabilidades de protección detectadas en un plazo de 24 horas a ENISA y, en su caso, a los organismos nacionales competentes.

Incluso los productos que cumplen los requisitos del Reglamento CRA y no se modifican deben verificarse y evaluarse según reglas transparentes. Los resultados de la verificación se documentan y deben conservarse durante diez años. Además, deberá elaborarse una Software Bill of Materials (lista de materiales del software) y demostrarse que se ha desarrollado y probado de forma segura según criterios de protección industrial (Industrial Security).

¿Qué significado tiene la declaración UE de conformidad en relación con el CRA?

La declaración UE de conformidad seguirá siendo emitida por el fabricante y sirve para acreditar el cumplimiento de los requisitos básicos de ciberseguridad. Para el fabricante, significa que el cumplimiento de los requisitos relativos a la evaluación de riesgos, gestión de vulnerabilidades y documentación se verifica mediante una evaluación de la conformidad. Si se cumplen todos los requisitos, se emite una declaración de conformidad. 

¿Sigue existiendo una declaración UE de conformidad para toda la legislación de la Unión?

Cuando un producto con elementos digitales esté sujeto a varias normativas de la Unión Europea y cada una de estas normativas exija una declaración UE de conformidad, se emitirá una única declaración UE de conformidad para todas las normativas aplicables de la Unión. En esta declaración se especificarán las disposiciones pertinentes de la Unión y sus referencias en el Diario Oficial.

¿Cuánto tiempo ha de estar disponible la declaración UE de conformidad?

El fabricante redactará una declaración de conformidad escrita para cada modelo de producto y deberá guardarla a disposición de los organismos nacionales competentes durante un período de diez años después de la comercialización inicial del producto con elementos digitales o durante el período de soporte técnico, si este último es más largo. En la declaración de conformidad debe indicarse el modelo de producto para el que se ha emitido. Se entregará una copia de la declaración de conformidad a los organismos competentes que lo soliciten.

¿Qué diferencia existe entre el Cyber Resilience Act y la Directiva SRI 2?

  • El Reglamento CRA contiene requisitos básicos de ciberseguridad para el diseño, desarrollo y fabricación de productos con elementos digitales y las obligaciones de los operadores económicos en relación con estos productos en materia de ciberseguridad.
  • La Directiva SRI 2 está dirigida a las empresas y exige que adopten medidas organizativas y técnicas para reducir los riesgos de protección industrial (Industrial Security) en la empresa.
  • Reforzar la ciberseguridad en la UE: las dos normativas -el Reglamento CRA y la Directiva NIS2- se complementan porque abordan distintos niveles de ciberseguridad: el CRA se centra en la seguridad de los productos, mientras que la NIS2 está enfocada en la seguridad de las infraestructuras y los servicios esenciales. Juntos contribuyen en gran medida a la mejora integral de la ciberseguridad en la Unión Europea.

¿Cumplen los productos Pilz los requisitos del Cyber Resilience Act?

Pilz ya estableció desde hace unos años su proceso de desarrollo conforme a la normativa IEC 62443-4-1. En esta normativa se define como "norma básica de protección industrial (Industrial Security)" un desarrollo seguro de productos, el proceso "Security Development Lifecycle". El TÜV SÜD ha confirmado mediante una auditoría la conformidad de nuestros procesos de desarrollo. Los desarrollos de Pilz no son solo seguros, sino también protegen.

Esto es importante para nuestros clientes, porque con el Reglamento (UE) 2024/2847 - Cyber Resilience Act (CRA), además del nuevo Reglamento de Máquinas (Reglamento (UE) 2023/1230), en 2027 será obligatoria la aplicación de un nuevo Reglamento relativo a la protección.

Concretamente, esto significa que se reequiparán los productos actuales según sea necesario, los productos nuevos se desarrollarán de acuerdo al CRA y la conformidad (Marcado CE) se ajustará según las especificaciones aplicables. Los productos que no cumplan las especificaciones dejarán de fabricarse o seguirán suministrándose exclusivamente como piezas de recambio. En este último caso, sin embargo, no está permitido utilizarlas en instalaciones nuevas.

 

Más información sobre el Cyber Resilience Act

Whitepaper Protección industrial (Industrial Security) de Pilz

Protección industrial (Industrial Security)

Más información sobre el tema de la protección industrial (Industrial Security), incluido nuestro whitepaper gratuito, en la siguiente página.

Más sobre protección industrial (Industrial Security)
Empleados con auriculares sentados frente a pantallas y llamando por teléfono.

¡Contacte con nosotros!

¿Tiene más preguntas sobre el CRA o necesita asesoramiento para implantarla en su empresa? Consulte a nuestro experimentado equipo de Consulting.

Contactar ahora
Top
Sede central

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Alemania

Teléfono: +49 711 3409-0
Correo-e: info@pilz.de

Asistencia técnica

Teléfono: +49 711 3409 444
Correo-e: support@pilz.com

América

  • Canadá: +1 888-315-PILZ (315-7459)
  • México: +52 55 5572 1300
  • Estados Unidos de América (gratuito): +1 877-PILZUSA (745-9872)
  • Brasil: + 55 11 4942-7032

Europa

  • Suiza: +41 62 889 79 32
  • Portugal: +351 229 407 594
  • Alemania: +49 711 3409 444
  • Rusia: +7 495 6654993
  • Finlandia: +358 10 3224030 / +45 74436332
  • Países Bajos: +31 347 320477
  • Suecia: +46 300 13990 / +45 74436332
  • Italia: +39 0362 1826711
  • Irlanda: +353 21 4804983
  • España: +34 938497433
  • Bélgica: +32 9 321 75 70
  • Austria: +43 1 7986263-444
  • Francia (gratuito): +33 3 88104000
  • Dinamarca: +45 74436332
  • Reino Unido de Gran Bretaña e Irlanda del Norte: +44 1536 460866
  • Turquía: +90 216 577 55 52

Pacífico asiático

  • Taiwán: +886 70 1015 0068 (當地網路電話)
  • Nueva Zelanda: +64 9 6345350
  • Australia (gratuito): +61 3 9560 0621 / 1300 723 334
  • Tailandia: +66 210 54613
  • China: +86 400-088-3566
  • Japón: +81 45 471 2281
  • Corea del Sur: +82 31 778 3390
  • Singapur: +65 6829 2920
  1. Pilz
    2. /
  2. Asistencia
    3. /
  3. Derecho y normas
    4. /
  4. Fabricantes y empleadores/usuarios
    5. /
  5. Cyber Resilience Act
Abrir el formulario de contacto
Teléfono:+49 711 3409 444
Correo electrónico: support@pilz.com
Cookie settings

¿Qué podemos hacer por usted?

Soy conocedor de que los datos personales recabados sin mediar consentimiento expreso por mi parte se utilizarán exclusivamente para la ejecución del contrato y el procesamiento de mis solicitudes. Aquí encontrará información adicional en relación con la protección de datos y los datos de contacto de nuestro responsable de protección de datos: Protección de datos Pilz
Puede revocar el consentimiento en cualquier momento (p. ej., por correo electrónico).
* Campo obligatorio