El Reglamento (UE) 2024/2847, conocido como reglamento de ciberresiliencia o CRA, ya está en vigor. Aunque hasta diciembre de 2027 no se aplicará plenamente, el régimen para los organismos de evaluación de la conformidad será aplicable a partir del 11-06-2026, y, desde el 11-09-2026, las obligaciones de los fabricantes de informar sobre vulnerabilidades aprovechadas activamente e incidentes graves que afecten a la seguridad de los productos. Desde esta segunda fecha, los fabricantes deberán notificar simultáneamente al CSIRT designado como coordinador y a ENISA cualquier vulnerabilidad aprovechada activamente, así como cualquier incidente grave que repercuta en la seguridad del producto.El CRA es una norma horizontal que pretende dotar de mayores garantías de ciberseguridad a los productos digitales, es decir, que los productos con elementos digitales lleguen al mercado con menos vulnerabilidades, actualizaciones de seguridad más previsibles y usuarios mejor informados.

Uno de los puntos clave para entender cuándo estamos en el ámbito de aplicación del CRA, es entender qué es un "producto con elementos digitales". La norma lo define como: «producto consistente en programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado». Hay que reconocer que no es una........

© El Confidencial