A partir de finales de 2027, todos los dispositivos conectados vendidos en la Unión Europea deberán estar diseñados bajo el principio de ‘Seguridad por Diseño’. Los fabricantes se enfrentan a adaptaciones exhaustivas.
La UE, con la Ley de Resiliencia Cibernética (CRA, por sus siglas en inglés), establece por primera vez requisitos de ciberseguridad para teléfonos inteligentes y otros dispositivos conectados. Los fabricantes deberán vender únicamente dispositivos que hayan sido diseñados con seguridad desde sus cimientos a partir de finales de 2027. La regulación tiene como objetivo proteger mejor a los consumidores de los ataques cibernéticos.
La ‘Seguridad por Diseño’ se convierte en obligatoria
La CRA traslada la responsabilidad de la seguridad de nuevo a los fabricantes. El principio de ‘Seguridad por Diseño’ se consolida legalmente. Concretamente, para los nuevos teléfonos inteligentes, esto implica:
- Configuración segura predeterminada: Los dispositivos deben entregarse “seguros por defecto”.
- Mejor protección de acceso: Sistemas seguros de autenticación y gestión de identidades serán obligatorios.
- Integridad de los datos: Los datos almacenados y transmitidos deben estar protegidos mediante un cifrado moderno.
- Actualizaciones duraderas: Los fabricantes deben gestionar las vulnerabilidades de seguridad durante todo el ciclo de vida de un producto y proporcionar actualizaciones.
Plazos clave para los fabricantes
La implementación de la CRA sigue un calendario estricto. Tras su entrada en vigor en diciembre de 2024, ahora se están ejecutando los plazos de transición.
- A partir del 11 de septiembre de 2026, los fabricantes deberán notificar inmediatamente a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) las vulnerabilidades de seguridad explotadas activamente y los incidentes graves.
- A partir del 11 de diciembre de 2027, solo se podrán vender en la UE productos que cumplan con todos los requisitos de la CRA. El marcado CE señalará entonces el cumplimiento de los nuevos estándares de ciberseguridad.
Refuerzo a través de la revisión del Acta de Ciberseguridad
La CRA forma parte de una estrategia más amplia de la UE. Se complementa con una revisión planificada del Acta de Ciberseguridad existente. El objetivo es fortalecer el papel de la ENISA y simplificar las certificaciones de ciberseguridad.
Anzeige
Muchas empresas subestiman la rapidez con la que las nuevas regulaciones de la UE, como la Ley de Resiliencia Cibernética, exigen medidas concretas. Los expertos advierten que una gran parte de las empresas no están suficientemente preparadas para los ciberataques. La guía gratuita en formato de libro electrónico explica de forma práctica qué medidas de protección los equipos de TI pueden implementar de inmediato, cómo gestionar las obligaciones de notificación y qué certificados serán relevantes en el futuro. Descarga ahora la guía gratuita de ciberseguridad
En el futuro, los certificados según el Acta de Ciberseguridad también se utilizarán como prueba de conformidad con la CRA. Este enfoque integrado tiene como objetivo reducir la burocracia y crear un marco regulatorio coherente para toda la cadena de suministro digital.
Oportunidad para la confianza, carga para la industria
Las nuevas regulaciones marcan un cambio de paradigma. Los expertos ven en ellas una oportunidad para que los fabricantes europeos utilicen la seguridad como una ventaja competitiva. Por primera vez, se crea un marco legal unificado para la ciberseguridad de los productos.
Al mismo tiempo, la industria expresa su preocupación. Las asociaciones industriales advierten sobre los altos costos y la implementación compleja. En particular, los operadores de telefonía móvil temen que las inversiones en seguridad se produzcan a expensas de la muy necesaria expansión de la red. El debate muestra el equilibrio entre una mayor seguridad y la viabilidad económica.
¿Se convertirá la CRA en un estándar global?
Los próximos meses son cruciales para la industria de los teléfonos inteligentes. Los fabricantes deben adaptar sus procesos para cumplir con el plazo de 2027. A corto plazo, el enfoque está en el establecimiento de la obligación de notificar las vulnerabilidades de seguridad a partir de septiembre de 2026.
A largo plazo, la CRA podría tener un impacto global similar al del RGPD. Los altos estándares de la UE podrían convertirse en el punto de referencia internacional para la seguridad de los productos. Para los consumidores de aquí, el mensaje es claro: a partir de finales de 2027, esperan un nivel de seguridad legalmente garantizado más alto para sus teléfonos inteligentes.
Anzeige
PD: Si usted, como fabricante, responsable de TI o tomador de decisiones, quiere tomar las medidas correctas ahora, la guía gratuita y compacta le ayudará: resume los requisitos, las vías de certificación y las sencillas medidas de protección con las que puede reducir los riesgos de cumplimiento y cumplir con los plazos de 2026/2027. Listas de verificación prácticas y consejos de implementación incluidos. Descarga gratuita del libro electrónico: Tendencias de concienciación sobre ciberseguridad
