® 
CRA (Llei de Resiliència Cibernètica)
Definicio
La CRA és la legislació de la UE que exigeix que els productes amb elements digitals compleixin els requisits de ciberseguretat durant tot el seu cicle de vida. És la primera legislació de la UE que fa aplicable el "disseny segur".
La Llei de Ciberresiliencia (CRA) es un reglament europeu que estableix requisits obligatoris de ciberseguretat per a tots els productes amb elements digitals venuts al mercat de la UE. La CRA va ser adoptada el 2024 i entra en vigor per fases fins al 2027, afectant centenars de milers de productes de maquinari i programari.
Com funciona la CRA?
La CRA introdueix la seguretat per disseny com a obligacio legal per als fabricants. Els productes han de complir requisits essencials abans de ser comercialitzats: sense vulnerabilitats explotables conegudes en el llancament, configuracions segures per defecte, proteccio de dades emmagatzemades i transmeses, funcionalitat minima i capacitat d'instal-lar actualitzacions de seguretat. Els fabricants han de proporcionar actualitzacions durant la vida util esperada del producte.
Categories de productes
La CRA distingeix tres classes de risc. Els productes estandard (classe 0) poden realitzar autoavaluacio. Els productes importants (classe I) com gestors de contrasenyes, programari VPN i tallafocs requereixen estandards harmonitzats o avaluacions de tercers. Els productes critics (classe II) com targetes intel-ligents i moduls de seguretat requereixen certificacio obligatoria per un organisme notificat.
Impacte per a les organitzacions
La CRA afecta fabricants, importadors i distribuïdors de productes digitals. Els fabricants han d'implementar un proces de gestio de vulnerabilitats, reportar vulnerabilitats a ENISA en 24 hores i mantenir un Software Bill of Materials (SBOM). El programari de codi obert no ofert comercialment esta majoritariament exempt. Les multes poden arribar a 15 milions d'euros o el 2,5% de la facturacio anual mundial.
Proteccio i compliment
Els fabricants han d'implementar seguretat per disseny i practiques de desenvolupament segur. Aixo inclou modelatge d'amenaces, codificacio segura, revisions de codi, escaneig de dependencies i proves de seguretat automatitzades al pipeline CI/CD. Una politica de divulgacio de vulnerabilitats es obligatoria.
Com ajuda DEFION
DEFION dona suport als fabricants amb el compliment de la CRA mitjancant Code Security Reviews, Web Application Pentests i Secure Development Training. El CRA Readiness Assessment avalua les practiques de seguretat actuals.