Cuenta atrás para la Ley de Ciberresiliencia: las pymes tienen dos años para adaptarse a las nuevas exigencias europeas en seguridad digital

La Ley de Ciberresiliencia (CRA) es una normativa europea que busca reforzar la seguridad digital de todos los productos con software o conexión a Internet. Afecta tanto a fabricantes como a distribuidores, importadores y usuarios empresariales.

Su objetivo es garantizar que cualquier dispositivo conectado —desde un ordenador o un router hasta una aplicación de gestión— cumpla unos mínimos de seguridad y pueda mantenerse protegido durante toda su vida útil.

Aunque la norma está pensada para grandes fabricantes tecnológicos, las pymes deberán adaptarse si:

• Desarrollan o venden productos con componentes digitales.

• Ofrecen servicios online con tratamiento de datos personales o empresariales.

• Utilizan software de terceros que debe acreditar medidas de ciberseguridad.

Esto incluye a empresas de sectores muy diversos: desde asesorías o comercios electrónicos hasta talleres o servicios profesionales que usen plataformas digitales en su operativa.

La CRA entró en vigor el 10 de diciembre de 2024 y será obligatoria a partir del 11 de diciembre de 2027.

Durante este periodo, las pymes deberán revisar sus sistemas informáticos, proveedores tecnológicos y protocolos internos para garantizar la protección frente a vulnerabilidades y ciberataques.

El incumplimiento podrá conllevar multas de hasta 15 millones de euros o el 2,5 % de la facturación anual, según la gravedad de la infracción.

Es recomendable que las empresas empiecen cuanto antes con un diagnóstico de ciberseguridad y una revisión de sus contratos con proveedores tecnológicos.
Además, será clave:

• Documentar los procedimientos de actualización de software.

• Garantizar la trazabilidad de los incidentes.

• Implementar políticas de protección de datos y formación del personal.

Una planificación temprana reducirá costes y riesgos cuando la normativa entre en vigor.