La Comisión Europea ha adoptado el Reglamento de Ejecución (UE) 2025/2392, que define las descripciones técnicas de las categorías de productos digitales importantes y críticos en el marco de la Ley de Ciberresiliencia (Reglamento (UE) 2024/2847). El objetivo es reforzar la ciberseguridad en la UE, aclarando qué productos requieren evaluaciones de conformidad más estrictas y, en algunos casos, certificación obligatoria por terceros.

Puntos clave

• Ámbito del reglamento
  Se aplica a productos digitales cuya funcionalidad principal se encuentra en las categorías de los anexos III y IV de la Ley de Ciberresiliencia, como sistemas operativos, VPN, routers y dispositivos inteligentes.

• Productos importantes
  Ejemplos:

  • Sistemas de gestión de identidad y control de acceso
  • Navegadores independientes o integrados
  • Gestores de contraseñas
  • Software antivirus y antimalware
  • Clientes y servidores VPN
  • Sistemas de gestión de redes
  • Asistentes virtuales y dispositivos de seguridad para el hogar

• Productos críticos
  Requieren el mayor nivel de seguridad y certificación europea. Ejemplos:

  • Módulos de seguridad hardware
  • Pasarelas de contadores inteligentes
  • Tarjetas inteligentes y elementos seguros

• Requisitos de cumplimiento
  Los fabricantes deben:

  • Realizar evaluaciones de riesgos de ciberseguridad
  • Implementar requisitos esenciales proporcionales al riesgo
  • Seguir procedimientos específicos de evaluación de conformidad