Reglamento (UE) 2024/2847 sobre requisitos horizontales de ciberseguridad para los productos con elementos digitales (Ley de Ciberresiliencia - CRA)

En vigor desde 11/12/2024

Resumen: Esta normativa impone obligaciones estrictas de ciberseguridad a cualquier tienda online que venda productos con componentes digitales (desde juguetes conectados hasta software y SaaS). Obliga a garantizar que los productos sean seguros 'por diseño', a ofrecer actualizaciones de seguridad durante al menos 5 años y a notificar vulnerabilidades activas. Afecta a fabricantes, importadores y distribuidores (comerciantes online), con un regimen sancionador severo y plazos de cumplimiento escalonados hasta 2027.

Acciones concretas

1. Identificar productos con elementos digitales en el catalogo actual
2. Solicitar a proveedores la Declaracion UE de Conformidad bajo el CRA
3. Verificar que los productos incluyen informacion sobre el periodo de soporte de seguridad
4. Establecer un canal de recepcion de notificaciones de vulnerabilidades
5. Actualizar las condiciones generales de venta para incluir garantias de ciberseguridad
6. Implementar un proceso de retirada de productos si se detecta riesgo de ciberseguridad grave

1. Contexto y marco normativo previo

El Reglamento (UE) 2024/2847, conocido como la Ley de Ciberresiliencia (Cyber Resilience Act - CRA), surge para cubrir un vacio legal critico en el Mercado Unico Digital. Hasta su aparicion, la seguridad de los productos se centraba mayoritariamente en la seguridad fisica (Directiva 2001/95/CE de seguridad general de los productos, ahora sustituida por el Reglamento GPSR 2023/988). Sin embargo, la dimension logica y digital carecia de una normativa horizontal que obligara a los fabricantes a proteger los productos contra ciberataques durante todo su ciclo de vida.

Esta norma complementa y expande el marco de la Directiva de Equipos Radioelectricos (2014/53/UE), que solo cubria aspectos muy limitados de ciberseguridad para dispositivos con conexion inalambrica. El CRA se integra con el Reglamento (UE) 2019/881 (Cybersecurity Act) y la Directiva NIS2 (UE) 2022/2555, estableciendo que si un producto es 'con elementos digitales', su seguridad no es opcional ni un añadido 'premium', sino un requisito de acceso al mercado.

El regimen anterior permitia que productos IoT (Internet de las Cosas) llegaran a los consumidores con contraseñas por defecto inalterables o sin posibilidad de actualizacion, generando botnets masivas. El CRA liquida esta negligencia regulatoria estableciendo el marcado CE como prueba de ciberresiliencia.

2. Origen y proceso legislativo

Publicado en el DOUE el 23 de octubre de 2024, el CRA es el resultado de una propuesta de la Comision Europea de septiembre de 2022. Tras un intenso proceso de negociacion en el que el Parlamento Europeo endurecio los requisitos de transparencia para los fabricantes, se llego a un acuerdo en diciembre de 2023, formalizado en 2024.

Los Considerandos 3, 7 y 15 son fundamentales: el 3 destaca la interconectividad de los productos; el 7 subraya el coste economico de los incidentes de ciberseguridad para los consumidores; y el 15 aclara que el software es, per se, un producto que debe ser seguro independientemente de si se aloja en un hardware o se vende de forma independiente.

La normativa entro en vigor a los 20 dias de su publicacion (diciembre 2024), con un periodo de transicion general de 36 meses, aunque las obligaciones de notificacion de incidentes y vulnerabilidades tienen un plazo mas corto (21 meses).

3. Ambito subjetivo - A QUIEN aplica

El CRA aplica a cuatro figuras clave, siendo las tres primeras criticas para el ecommerce:

1. Fabricantes: Cualquier persona fisica o juridica que desarrolle o fabrique productos con elementos digitales o que los comercialice bajo su propio nombre o marca. Esto incluye a tiendas online que hacen 'white label' (marca blanca) de productos importados.
2. Importadores: Entidades que introducen en el mercado de la UE productos procedentes de terceros paises (fuera de la UE). Tienen la obligacion legal de verificar que el fabricante ha cumplido con el CRA.
3. Distribuidores (Tiendas Online): Cualquier persona de la cadena de suministro, distinta del fabricante o el importador, que comercialice el producto. Esto incluye practicamente a todo el retail online (Shopify, PrestaShop, Amazon sellers).
4. Representantes autorizados: Designados por fabricantes extranjeros para actuar en su nombre ante las autoridades de la UE.

Excepciones: Se excluyen productos de sectores ya regulados especificamente como productos sanitarios (aunque hay puentes normativos), vehiculos a motor, aviacion civil y productos desarrollados exclusivamente para fines militares o de seguridad nacional. El software de codigo abierto no comercial tambien queda fuera, a menos que se monetice dentro de una actividad comercial.

4. Ambito objetivo - QUE actividades y productos cubre

La norma cubre cualquier 'producto con elementos digitales' (PDE). Esto es: cualquier software o hardware (incluidos sus componentes) cuya finalidad prevista o razonablemente previsible incluya una conexion de datos logica o fisica directa o indirecta a un dispositivo o red.

Tipos de tienda afectados:

• Modo 1 (Fisico): Tiendas de electronica, jugueterias (juguetes con wifi/bluetooth), tiendas de electrodomesticos (smart home), ferreterias (cerraduras inteligentes), tiendas de deporte (relojes GPS).
• Modo 2 (Software/SaaS): Marketplaces de aplicaciones, venta de licencias de antivirus, sistemas operativos, suites de ofimatica, servicios de almacenamiento en la nube, plataformas de gestion empresarial.
• Modo 3 (Infoproductos/Contenido): Aunque un PDF es estatico, si el infoproducto incluye el acceso a una plataforma de software o aplicacion de pago para consumir el contenido, esa plataforma/software queda bajo el CRA.

Clasificacion de productos:

• Productos por defecto: Sin riesgo critico (ej. un raton inalambrico).
• Clase I (Importantes): Navegadores, gestores de contraseñas, firewalls, interfaces de red.
• Clase II (Criticos): Sistemas operativos, hipervisores, PKI de confianza publica.

5. Obligaciones concretas - exegesis del articulado

1. Diseño y desarrollo seguro (Art. 10): El producto debe entregarse sin vulnerabilidades conocidas explotables. Interpretacion: No se pueden vender productos con 'backdoors' o contraseñas genericas.
2. Ciclo de vida y actualizaciones (Art. 10.6): El fabricante debe garantizar actualizaciones de seguridad durante el periodo de vida util esperado o un minimo de 5 años. Caso practico: Una tienda de tablets debe informar claramente hasta que año recibira parches de seguridad el dispositivo.
3. Verificacion de conformidad (Art. 18-24): Antes de poner el producto en la web, el importador/distribuidor debe comprobar que lleva el marcado CE y que existe una Declaracion UE de Conformidad.
4. Obligacion del Distribuidor (Art. 14): Las tiendas online deben actuar con la 'diligencia debida'. Si sospechan que un producto no es ciberseguro, deben abstenerse de venderlo y alertar a la autoridad.
5. Documentacion tecnica (Art. 10.10): Los productos deben ir acompañados de instrucciones claras sobre como configurarlos de forma segura y como reportar vulnerabilidades.
6. Notificacion de incidentes (Art. 11): Los fabricantes deben notificar a ENISA (Agencia de Ciberseguridad de la UE) cualquier vulnerabilidad explotada activamente o incidente de seguridad en un plazo de 24 horas tras tener conocimiento.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO

Caso 1: Tienda online de Juguetes Conectados. Un ecommerce vende un peluche que se conecta a una App para hablar con el niño. Bajo el CRA, el dueño de la tienda debe exigir al fabricante (o verificar si es importador) que el peluche no use comunicaciones sin cifrar. Si el fabricante cierra la empresa a los 2 años, la tienda podria ser responsable de seguir vendiendo un producto que ya no recibe actualizaciones de seguridad obligatorias.

Caso 2: SaaS de Gestion de RRHH. Una empresa española vende una suscripcion mensual para gestionar nominas. El software es un PDE. Debe implementar un sistema de 'vulnerability disclosure' (divulgacion de vulnerabilidades). Si un hacker descubre un fallo, la empresa tiene 24h para avisar a ENISA y un plazo breve para parchearlo y avisar a sus clientes.

Caso 3: Marketplace de productos de Electronica. Amazon o PcComponentes (como marketplaces) deben verificar que los vendedores externos cumplen con el marcado CE/CRA. Si detectan un producto chino (importador no identificado en UE) que es vulnerable, el marketplace debe retirarlo fulminantemente bajo el regimen de seguridad de productos.

Caso 4: Dropshipper de Gadgets. Un autonomo hace dropshipping de camaras IP desde China. El autonomo es legalmente el IMPORTADOR si es quien introduce el producto en la UE. Asume TODA la responsabilidad del fabricante: debe crear el expediente tecnico, garantizar las actualizaciones por 5 años y responder legalmente si la camara es hackeada por falta de seguridad base.

Caso 5: Tienda de Aplicaciones (App Store propia). Si una web vende plugins de WordPress de terceros, debe asegurar que esos plugins cumplen con los requisitos de seguridad antes de listarlos, actuando como distribuidor responsable.

7. Plazos clave

| Fecha | Hito | Quien | Consecuencia si no se cumple | | :--- | :--- | :--- | :--- | | 2024-10-23 | Publicacion en el DOUE | Comision Europea | Inicio del periodo de adaptacion | | 2024-12-11 | Entrada en vigor oficial | Todos | Comienzo del computo de plazos | | 2026-08-11 | Obligaciones de notificacion | Fabricantes | Multas por no reportar vulnerabilidades en 24h | | 2027-10-11 | Aplicacion total del CRA | Fabricantes/Tiendas | Prohibicion de venta de productos sin marcado CE-CRA | | 2027-10-11 | Vigilancia de mercado | Autoridades Nacionales | Campañas de inspeccion y retirada de productos | | 2028-01-01 | Revision de categorias | Comision Europea | Posible inclusion de nuevos productos criticos |

8. Sanciones y regimen sancionador

El CRA establece multas que haran que el RGPD parezca leve en comparacion para el sector hardware/software:

• Incumplimiento de requisitos esenciales de ciberseguridad: Hasta 15.000.000 EUR o el 2,5% del volumen de negocios anual mundial (lo que sea mayor).
• Incumplimiento de obligaciones de notificacion: Hasta 10.000.000 EUR o el 2% del volumen de negocios anual mundial.
• Suministro de informacion incorrecta o engañosa: Hasta 5.000.000 EUR o el 1% del volumen de negocios.

En España, la autoridad competente sera previsiblemente el INCIBE (Instituto Nacional de Ciberseguridad) en colaboracion con el Ministerio de Transformacion Digital. La responsabilidad puede ser solidaria entre importador y fabricante si el primero no realizo las comprobaciones de diligencia debida.

9. Comparativa antes y despues

| Aspecto | Regimen anterior | Nuevo regimen (CRA) | Impacto practico | | :--- | :--- | :--- | :--- | | Responsabilidad software | 'As is' (tal cual, sin garantia) | Obligacion de seguridad por diseño | El software ya tiene 'garantia de seguridad' | | Actualizaciones | Voluntarias/comerciales | Obligatorias (min. 5 años) | Coste de mantenimiento a largo plazo | | Marcado CE | Solo seguridad fisica/electrica | Incluye Ciberseguridad | Nuevo logo/proceso de certificacion | | Vulnerabilidades | Se callan por reputacion | Notificacion obligatoria 24h | Mayor transparencia y presion publica | | Tiendas Online | Meros despachadores | Vigilantes de conformidad | Auditoria de proveedores obligatoria | | Juguetes | Seguridad fisica | Seguridad logica/privacidad | Fin de juguetes espia mal protegidos | | Contraseñas | Por defecto (admin/admin) | Prohibidas por defecto | Configuracion obligatoria al inicio | | Fin de vida util | Indeterminado | Comunicado antes de la compra | Fecha de caducidad digital clara |

10. Como cumplir paso a paso - Guia operativa

1. Auditoria de Inventario: Listar todos los SKUs que tengan Wifi, Bluetooth, Ethernet o sean puramente software.
2. Clasificacion de Riesgo: Identificar si vendes productos 'criticos' (Clase I o II) que requieren certificacion externa.
3. Revision de Contratos: Enviar una clausula a todos los proveedores exigiendo el cumplimiento del CRA y la entrega de la Declaracion de Conformidad.
4. Actualizacion de Fichas de Producto: Añadir un campo 'Soporte de Seguridad garantizado hasta: [FECHA]'.
5. Check de Importador: Si compras fuera de la UE, designar un responsable de cumplimiento tecnico CRA.
6. Protocolo de Retirada: Crear un boton de 'Reportar fallo de seguridad' en el footer de la web.
7. Formacion: Instruir al equipo de compras para no adquirir stock que no garantice parches de seguridad.
8. Digital Search: Verificar en bases de datos de vulnerabilidades (CVE) si los productos que vendes tienen fallos conocidos.
9. Marcado CE: Asegurarse de que el marcado CE en el packaging ahora hace referencia al cumplimiento del CRA.
10. Manuales de Usuario: Comprobar que los manuales digitales/fisicos explican como resetear el dispositivo de forma segura.
11. Configuracion de CMS: En PrestaShop/WooCommerce, crear atributos especificos para la ciberseguridad del producto.
12. Seguro de Ciberriesgo: Revisar si la poliza cubre la responsabilidad civil derivada de vender productos no conformes con CRA.

11. Errores frecuentes

1. Pensar que 'yo solo soy el vendedor': El CRA otorga responsabilidad directa al distribuidor si vende algo que 'sabe o deberia saber' que es inseguro.
2. No pedir la Declaracion de Conformidad: Es el unico documento que te protege legalmente ante una inspeccion.
3. Confundir ciberseguridad con proteccion de datos (RGPD): El CRA es sobre la integridad del producto, no solo sobre los datos personales.
4. Ignorar el software gratuito: Si vendes un servicio y regalas un software 'como extra', ese software debe cumplir el CRA.
5. No vigilar el periodo de soporte: Seguir vendiendo un producto cuya fecha de actualizaciones ha expirado es un riesgo legal alto.
6. Dropshipping sin control: Muchos dropshippers seran multados al actuar como importadores de facto de productos chinos inseguros.
7. Falta de notificacion: Ocultar un hackeo del que se tiene constancia para no dañar la marca.
8. Documentacion solo en ingles: La informacion de seguridad debe estar en el idioma del consumidor (castellano en España).

12. Jurisprudencia y criterios oficiales

Al ser un Reglamento de 2024, la jurisprudencia del TJUE es inexistente aun. Sin embargo, los criterios de ENISA y las directrices de la Comision Europea sobre la Directiva de Equipos Radioelectricos serviran de base doctrinal. Se espera que el INCIBE publique guias especificas para PYMEs en 2025.

13. FAQ extensa

¿Si vendo solo a España, me afecta esta normativa UE?

Si, al ser un Reglamento es de aplicacion directa en todos los Estados Miembros sin necesidad de transposicion. Cualquier producto vendido en España debe cumplirlo.

Soy autonomo y vendo Apps pequeñas, ¿estoy exento?

No. El CRA no tiene umbrales minimos de facturacion para la seguridad basica. Solo hay ciertos alivios administrativos para microempresas, pero el software debe ser seguro.

Vendo en Amazon, ¿quien es responsable: yo o Amazon?

Ambos. Tu como vendedor eres el distribuidor (o importador). Amazon, como prestador de servicios de mercado online, tiene obligaciones bajo la DSA y el GPSR de colaborar en la retirada de productos inseguros, pero la responsabilidad legal del producto es tuya.

¿Que pasa si el fabricante es de China y no contesta?

Si eres quien introduce el producto en la UE, asumes legalmente el rol de fabricante. Si no puedes garantizar el cumplimiento del CRA, no puedes vender el producto legalmente.

¿Puedo vender stock antiguo despues de 2027?

Solo si el producto se 'introdujo en el mercado' antes de la fecha de aplicacion. No obstante, las autoridades pueden exigir su retirada si presenta un riesgo sistematico grave.

¿El CRA aplica a los servicios de hosting?

No directamente al servicio, pero si el hosting incluye la venta/distribucion de software (ej. instaladores de CMS), ese software debe ser conforme.

¿Como demuestro que un software es seguro?

Mediante la autoevaluacion de conformidad (para productos normales) o certificacion por terceros (para productos criticos), documentada en el expediente tecnico.

¿Que es el 'periodo de soporte'?

Es el tiempo durante el cual el fabricante se compromete a lanzar parches de seguridad. Debe ser proporcional a la vida util del producto (ej. 5-10 años para un frigorifico inteligente).

¿Las actualizaciones deben ser gratuitas?

Si, las actualizaciones de seguridad para corregir vulnerabilidades no pueden tener un coste adicional para el usuario final.

¿Me pueden cerrar la tienda online por esto?

En casos de incumplimiento reiterado y riesgo grave para la seguridad nacional o los consumidores, las autoridades pueden ordenar el cese de la actividad de comercializacion de esos productos.

¿El CRA afecta a los reacondicionados?

Si el reacondicionamiento supone una 'modificacion sustancial' del software o hardware, el reacondicionador pasa a ser considerado fabricante bajo el CRA.

¿Como afecta a los infoproductores que venden cursos con plantillas de software?

Si la plantilla es un script o software funcional, entra en el ambito del CRA. Debe ser entregada sin vulnerabilidades conocidas.

14. Normativas relacionadas

• Reglamento (UE) 2023/988 (GPSR): Seguridad general de los productos (CELEX: 32023R0988).
• Directiva (UE) 2022/2555 (NIS2): Ciberseguridad de las redes y sistemas (CELEX: 32022L2555).
• Reglamento (UE) 2016/679 (RGPD): Proteccion de datos personales.
• Directiva 2014/53/UE (RED): Equipos radioelectricos.
• Reglamento (UE) 2024/1689 (AI Act): Ley de Inteligencia Artificial (CELEX: 32024R1689).

15. Recursos oficiales y herramientas recomendadas

• Página oficial de la Comisión Europea sobre el CRA.
• ENISA (Agencia de la UE para la Ciberseguridad): Publicará los estándares técnicos armonizados.
• INCIBE: Herramientas de autodiagnóstico para empresas españolas.
• Vulnerability Disclosure Policy (VDP) Generator: Herramientas para crear políticas de recepción de vulnerabilidades.

16. Conclusion practica y valoracion

El CRA representa el cambio mas radical en la venta de productos tecnologicos en la historia de la UE. Para una tienda online, la criticidad es maxima. Ya no basta con vender un producto que 'funcione'; ahora debe ser 'resistente'. El esfuerzo de adaptacion es medio para distribuidores (gestion documental) pero muy alto para importadores y marcas propias (ingenieria y soporte).

El riesgo de no actuar no es solo una multa administrativa; es la posibilidad de enfrentarse a demandas colectivas si un producto vendido por tu tienda facilita un ciberataque masivo a tus clientes. El roadmap recomendado es empezar YA con la auditoria de proveedores para estar listos antes de 2026/2027.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Fuente oficial: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32024R2847

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.