Si la teva empresa fabrica, desenvolupa o importa qualsevol producte que porti programari — des d’una app o un SaaS fins a una màquina industrial, un dispositiu IoT o un component electrònic — el Reglament de Ciberresiliència t’afecta. I no és una directiva que cada país adapta a la seva manera: és un reglament (UE 2024/2847), d’aplicació directa i idèntica a tota la Unió Europea.
La idea de fons és simple: fins ara, el marcatge CE garantia que un producte no t’electrocuta ni s’incendia. A partir del CRA, també haurà de garantir que no és una porta d’entrada per als atacants. Sense complir-lo, no es podrà vendre al mercat europeu.
A qui afecta
A gairebé tota la cadena: fabricants (incloent-hi qui desenvolupa programari comercial), importadors i distribuïdors de “productes amb elements digitals” — maquinari o programari que es connecta, directament o indirectament, a un dispositiu o a una xarxa.
Queden fora els àmbits ja regulats per normes pròpies (dispositius mèdics, automoció, aviació) i, amb matisos, el programari de codi obert no comercial. Tota la resta — el gruix del que fa una pime tecnològica o industrial — hi entra.
Què exigeix, en essència
- Seguretat des del disseny. El producte ha de sortir al mercat sense vulnerabilitats conegudes explotables, amb configuració segura per defecte, actualitzacions possibles i protecció de les dades que tracta (annex I del reglament).
- Gestió de vulnerabilitats durant tot el cicle de vida. Identificar i documentar components (SBOM — inventari de programari), publicar política de divulgació coordinada, distribuir pegats de seguretat gratuïts durant el període de suport (com a norma general, mínim 5 anys).
- Notificació d’incidents i vulnerabilitats explotades: alerta primerenca a l’ENISA i al CSIRT nacional en 24 hores des que en tens coneixement, notificació completa en 72 hores i informe final al cap d’un mes.
- Avaluació de conformitat i marcatge CE. Per a la majoria de productes, autoavaluació; per a les categories “importants” i “crítiques” (gestors de contrasenyes, tallafocs, hipervisors…), avaluació més exigent, sovint amb tercers.
Les dates que has d’apuntar
- En vigor des del 10 de desembre de 2024.
- 11 de setembre de 2026: entren en aplicació les obligacions de notificació d’incidents i vulnerabilitats explotades.
- 11 de desembre de 2027: aplicació completa. Tot producte amb elements digitals posat al mercat a partir d’aquesta data ha de complir el reglament sencer.
Sembla lluny, però no ho és: si el teu producte té un cicle de desenvolupament d’un any i mig, el que estàs dissenyant avui és el que hauràs de certificar el 2027.
Què fer aquest trimestre
- Determina si hi entres. Llista els teus productes i pregunta’t: porten programari? Es connecten a alguna cosa? Es venen a la UE?
- Fes inventari de components. Sense un SBOM (de què està fet el teu producte, biblioteques incloses) no pots ni començar.
- Revisa el teu procés de vulnerabilitats. Tens manera de rebre avisos de tercers, corregir i distribuir pegats? Tens definit qui notifica què en 24 hores?
- Classifica el producte (per defecte, important o crític) per saber quin camí d’avaluació de conformitat et toca.
El CRA és un dels marcs de compliment que gestionem per als nostres clients, amb les evidències documentades. Si fabriqueu o desenvolupeu producte i voleu saber en quin punt sou, escriviu-nos a hola@cynderlab.com.