® 
CRA (Ley de Resiliencia Cibernética)
Definicion
La CRA es la legislación de la UE que exige que los productos con elementos digitales cumplan los requisitos de ciberseguridad durante todo su ciclo de vida. Es la primera legislación de la UE que hace aplicable el "diseño seguro".
La Ley de Ciberresiliencia (CRA) es un reglamento europeo que establece requisitos obligatorios de ciberseguridad para todos los productos con elementos digitales vendidos en el mercado de la UE. La CRA fue adoptada en 2024 y entra en vigor por fases hasta 2027, afectando a cientos de miles de productos de hardware y software.
Como funciona la CRA?
La CRA introduce la seguridad por diseno como obligacion legal para los fabricantes. Los productos deben cumplir requisitos esenciales antes de ser comercializados en el mercado europeo: sin vulnerabilidades explotables conocidas en el lanzamiento, configuraciones seguras por defecto, proteccion de datos almacenados y transmitidos, funcionalidad minima y capacidad de instalar actualizaciones de seguridad. Los fabricantes deben proporcionar actualizaciones durante la vida util esperada del producto.
Categorias de productos
La CRA distingue tres clases de riesgo. Los productos estandar (clase 0) pueden realizar autoevaluacion. Los productos importantes (clase I) como gestores de contrasenas, software VPN y cortafuegos requieren estandares armonizados o evaluaciones de terceros. Los productos criticos (clase II) como tarjetas inteligentes y modulos de seguridad requieren certificacion obligatoria por un organismo notificado.
Impacto para las organizaciones
La CRA afecta a fabricantes, importadores y distribuidores de productos digitales. Los fabricantes deben implementar un proceso de gestion de vulnerabilidades, reportar vulnerabilidades a ENISA en 24 horas y mantener un Software Bill of Materials (SBOM). El software de codigo abierto no ofrecido comercialmente esta mayormente exento. Las multas pueden alcanzar 15 millones de euros o el 2,5% de la facturacion anual mundial. Para empresas tecnologicas espanolas y holandesas que comercializan productos en el mercado de la UE, el cumplimiento de la CRA es esencial.
Proteccion y cumplimiento
Los fabricantes deben implementar seguridad por diseno y practicas de desarrollo seguro. Esto incluye modelado de amenazas, codificacion segura, revisiones de codigo, escaneo de dependencias y pruebas de seguridad automatizadas en el pipeline CI/CD. Una politica de divulgacion de vulnerabilidades es obligatoria. Los pentests regulares validan la seguridad de los productos.
Como ayuda DEFION
DEFION apoya a los fabricantes con el cumplimiento de la CRA mediante Code Security Reviews, Web Application Pentests y Secure Development Training. El CRA Readiness Assessment evalua las practicas de seguridad actuales frente a los requisitos de la CRA.