Glosario
Términos y conceptos definidos en el Reglamento de Ciberresiliencia de la UE y orientación relacionada.
A
- Anexo I — Requisitos esenciales de ciberseguridad
- El anexo normativo del CRA que establece los requisitos esenciales de ciberseguridad que todos los productos con elementos digitales deben cumplir. La Parte I enumera los requisitos de propiedades de seguridad del producto; la Parte II enumera los requisitos de gestión de vulnerabilidades que deben satisfacerse durante el ciclo de vida del producto.
- Administrador de software de código abierto
- Una persona jurídica, distinta del fabricante, cuyo objeto u objetivo es proporcionar sistemáticamente, de forma sostenida, apoyo al desarrollo de productos específicos de software libre y de código abierto destinados a actividades comerciales, y que garantiza la viabilidad de dichos productos. Los administradores de OSS se benefician de un régimen regulatorio más ligero y adaptado en virtud del CRA.
D
- Divulgación coordinada de vulnerabilidades (CVD)
- Un proceso en el que los descubridores de vulnerabilidades informan al fabricante de forma privada para que este pueda desarrollar y publicar una corrección antes de que la vulnerabilidad sea públicamente divulgada. El CRA exige a los fabricantes que establezcan una política de CVD como parte de sus obligaciones de gestión de vulnerabilidades en el Anexo I, Parte II.
- Distribuidor
- Una persona física o jurídica en la cadena de suministro, distinta del fabricante o del importador, que pone a disposición un producto con elementos digitales en el mercado de la UE. Los distribuidores tienen obligaciones más ligeras que los fabricantes, pero deben verificar que el producto lleva el marcado CE y que el fabricante e importador han cumplido sus obligaciones.
- Declaración UE de conformidad (DoC UE)
- Un documento firmado por el fabricante en el que declara bajo su exclusiva responsabilidad que el producto con elementos digitales cumple los requisitos esenciales de ciberseguridad del CRA y cualquier otra legislación de armonización de la UE aplicable. La DoC UE debe elaborarse antes de la puesta en el mercado y estar disponible durante al menos diez años.
- Documentación técnica
- Un conjunto exhaustivo de documentos que el fabricante debe elaborar antes de poner un producto en el mercado y mantener durante todo el período de soporte, que contiene toda la información que demuestra que el producto y los procesos del fabricante cumplen los requisitos esenciales de ciberseguridad del Anexo I. El Anexo VII especifica el contenido mínimo. Debe conservarse al menos 10 años.
E
- Evaluación de la conformidad
- El proceso que lleva a cabo el fabricante (y, cuando proceda, un organismo notificado) para demostrar que un producto con elementos digitales cumple los requisitos esenciales de ciberseguridad establecidos en el Anexo I. El procedimiento aplicable depende de la clasificación del producto: predeterminado, importante (clase I o II) o crítico.
F
- Fabricante
- Una persona física o jurídica que desarrolla o fabrica productos con elementos digitales (o los encarga diseñar, desarrollar o fabricar) y los comercializa bajo su propio nombre o marca, ya sea de forma onerosa, mediante monetización o de forma gratuita. Es el papel principal que conlleva obligaciones en virtud del CRA.
I
- Importador
- Una persona física o jurídica establecida en la Unión Europea que pone en el mercado de la UE un producto con elementos digitales que lleva el nombre o la marca de una persona establecida fuera de la UE. Los importadores son responsables de verificar la conformidad antes de la puesta en el mercado y tienen obligaciones propias en virtud del CRA.
- Incidente grave
- Un incidente que tiene un efecto adverso real en la seguridad de los sistemas de redes e información de un fabricante utilizados para el desarrollo, la producción o el mantenimiento de un producto con elementos digitales. El descubrimiento de dicho incidente activa la obligación de notificación al CSIRT competente y a la ENISA en el plazo de 24 horas.
L
- Lista de materiales de software (SBOM)
- Un registro formal de los componentes, bibliotecas y módulos contenidos en un producto de software, elaborado en un formato de uso común y legible por máquina. En virtud del Anexo I, Parte II del CRA, los fabricantes deben producir un SBOM que cubra al menos las dependencias de primer nivel de su producto.
M
- Marcado CE
- La marca visible que indica que un producto con elementos digitales cumple los requisitos esenciales de ciberseguridad del CRA, así como los requisitos de cualquier otra legislación de armonización de la UE aplicable al producto. El marcado CE debe colocarse de forma visible, legible e indeleble en el producto o en su embalaje antes de la puesta en el mercado.
- Modificación sustancial
- Una modificación de un producto con elementos digitales, realizada tras su puesta en el mercado, que afecta a la conformidad del producto con los requisitos esenciales de ciberseguridad del Anexo I, Parte I, o que cambia el uso previsto declarado por el fabricante.
N
- Norma armonizada
- Una norma técnica adoptada por un organismo europeo de normalización (CEN, CENELEC o ETSI) sobre la base de una solicitud de la Comisión Europea, cuyas referencias se publican en el Diario Oficial de la UE. La aplicación de normas armonizadas que cubren los requisitos del Anexo I genera la presunción de conformidad con esos requisitos.
O
- Organismo notificado
- Un organismo de evaluación de la conformidad independiente y acreditado, designado por una autoridad de un Estado miembro y notificado a la Comisión Europea para llevar a cabo los procedimientos de evaluación de la conformidad por terceros en virtud del CRA. Los organismos notificados evalúan si los productos importantes y críticos cumplen los requisitos esenciales de ciberseguridad antes de la aplicación del marcado CE.
P
- Producto crítico
- Un producto con elementos digitales enumerado en el Anexo III del CRA que presenta el mayor nivel de riesgo de ciberseguridad. Los productos críticos se dividen en clase I y clase II, con distintas condiciones de evaluación de la conformidad. Estos productos deben seguir un esquema europeo de certificación de la ciberseguridad para demostrar su conformidad.
- Producto importante
- Un producto con elementos digitales enumerado en el Anexo II del CRA, dividido en clase I y clase II. Los productos importantes presentan un mayor riesgo de ciberseguridad que los productos predeterminados. Los productos importantes de clase I pueden acogerse a la autoevaluación de la conformidad (si aplican normas armonizadas), mientras que los de clase II requieren obligatoriamente un organismo notificado.
- Puesta a disposición en el mercado
- Todo suministro de un producto con elementos digitales para su distribución, consumo o uso en el mercado de la UE en el marco de una actividad comercial, con o sin carácter oneroso. A diferencia de la «puesta en el mercado» (que se refiere al primer suministro), la «puesta a disposición» abarca todo suministro posterior en la cadena de suministro, incluido el realizado por importadores y distribuidores.
- Producto con elementos digitales (PDE)
- Todo producto de software o hardware, y sus soluciones de tratamiento de datos remotas, cuyo uso previsto o razonablemente previsible incluye una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red. El CRA se aplica a los PDE, salvo que resulte aplicable una exclusión sectorial.
- Puesta en el mercado
- La primera puesta a disposición de un producto con elementos digitales en el mercado de la UE. Un fabricante pone un producto en el mercado cuando lo suministra por primera vez a un distribuidor, importador o usuario en la UE, en el marco de una actividad comercial, con o sin carácter oneroso. La fecha de la primera puesta en el mercado determina el inicio de las obligaciones del CRA para ese producto.
- Período de soporte
- El período durante el cual el fabricante está obligado a garantizar que las vulnerabilidades de un producto con elementos digitales se gestionan eficazmente de conformidad con el Anexo I, Parte II. El período de soporte debe ser de al menos cinco años, salvo que la vida útil prevista del producto sea más corta.
R
- Representante autorizado
- Una persona física o jurídica establecida en la Unión Europea que ha recibido un mandato por escrito de un fabricante establecido fuera de la UE para actuar en su nombre en relación con determinadas tareas especificadas en el CRA. Los fabricantes no establecidos en la UE que comercializan productos en el mercado de la UE deben designar un representante autorizado antes de la puesta en el mercado.
- Requisitos esenciales de ciberseguridad
- Los requisitos obligatorios de seguridad establecidos en el Anexo I del CRA que todo producto con elementos digitales debe cumplir. Se dividen en dos partes: la Parte I abarca las propiedades de seguridad del producto en sí, y la Parte II abarca los procesos de gestión de vulnerabilidades que el fabricante debe mantener durante el ciclo de vida del producto.
S
- Software libre y de código abierto (FOSS)
- Software cuyo código fuente está disponible bajo una licencia que concede a los usuarios el derecho de usar, estudiar, modificar y distribuir el software. El CRA establece que el software libre y de código abierto que se suministra fuera del ámbito de una actividad comercial queda fuera del alcance del reglamento, aunque existen matices importantes en torno a la financiación y la comercialización.
- Solución de tratamiento de datos remota (STDR)
- Un servicio remoto necesario para que un producto con elementos digitales realice alguna de sus funciones. Una STDR forma parte del PDE y está por tanto sujeta a las mismas obligaciones del CRA que el propio producto. La prueba de tres factores (tratamiento a distancia, dependencia funcional, responsabilidad del fabricante) determina si un servicio remoto es una STDR.
V
- Vulnerabilidad activamente explotada
- Una vulnerabilidad de la que existe evidencia de explotación activa en entornos reales. El CRA exige que los fabricantes notifiquen las vulnerabilidades activamente explotadas en sus productos al CSIRT designado y a la ENISA en un plazo de 24 horas tras tener conocimiento de ellas, en virtud del artículo 14(2)(a).
- Vigilancia del mercado
- Una autoridad nacional designada por un Estado miembro para supervisar y hacer cumplir la conformidad de los productos con elementos digitales con el CRA en el mercado. Las autoridades de vigilancia del mercado pueden solicitar documentación técnica, realizar auditorías y pruebas, y ordenar medidas correctoras o la retirada del mercado de los productos no conformes.
- Vulnerabilidad
- Una debilidad en un producto con elementos digitales que puede ser potencialmente explotada por un agente de amenaza para comprometer la seguridad de ese producto o de los sistemas conectados. El CRA impone numerosas obligaciones a los fabricantes para identificar, corregir y divulgar las vulnerabilidades durante todo el período de soporte.
Á
- Ámbito de aplicación
- Un producto con elementos digitales se considera dentro del ámbito de aplicación del CRA cuando es comercializado en el mercado de la UE en el marco de una actividad comercial y no queda excluido por una exención específica. Los principales factores para determinar si un producto está dentro del ámbito son: la presencia de elementos digitales, la conectividad y el suministro en el contexto de una actividad comercial.