Un gestor de software de código abierto es cualquier persona jurídica que proporciona apoyo sistemático al desarrollo de un producto de software libre y de código abierto cuyo uso previsto pueda razonablemente esperarse que sea comercial.
Datos clave
›Nueva categoría introducida por el CRA para abordar el OSS sin penalizar a los desarrolladores individuales
›Obligaciones más ligeras que los fabricantes (sin marcado CE, sin DoC)
›Debe establecer una política de ciberseguridad y cooperar con las autoridades
›El criterio de actividad comercial determina si un proyecto OSS está dentro del ámbito de aplicación
›El estado de gestor no se aplica a los usuarios intermedios que empaquetan/distribuyen el software
Plazos clave
1
11 de diciembre de 2024 — El CRA entra en vigor
El reglamento tiene efecto legal. Los productos comercializados desde esta fecha deben cumplir con el CRA una vez alcanzadas las fechas de aplicación.
11 de septiembre de 2026 — Se aplican las obligaciones de notificación de vulnerabilidades
La notificación de vulnerabilidades e incidentes a ENISA conforme al art. 14 se vuelve obligatoria. Este es el primer plazo firme. Los fabricantes deben tener sus procesos de notificación en marcha antes de esta fecha.
3
11 de junio de 2027 — Notificación de organismos de evaluación de la conformidad
Los Estados miembros deben notificar a la Comisión los organismos de evaluación de la conformidad.
4
11 de diciembre de 2027 — Se aplica el reglamento completo
Todos los requisitos del CRA se aplican a todos los productos en su ámbito de aplicación. Ningún nuevo producto no conforme podrá comercializarse en el mercado de la UE.
Todos los operadores económicos deben ser capaces, cuando las autoridades de vigilancia del mercado lo soliciten, de identificar (a) cualquier operador económico que les haya suministrado un producto y (b) cualquier operador económico al que hayan suministrado un producto. Los registros deben conservarse durante 10 años a partir de cada transacción.
Los administradores de software de código abierto deben establecer y documentar una política de ciberseguridad que fomente el desarrollo de un producto seguro y permita la gestión eficaz de las vulnerabilidades en los componentes de software de código abierto que administran.
Los administradores de software de código abierto deben notificar al CSIRT pertinente designado como coordinador, sin demora injustificada, cualquier vulnerabilidad activamente explotada contenida en sus componentes de software de código abierto, así como cualquier incidente grave que afecte a la seguridad de dichos componentes.
Los administradores de software de código abierto deben cooperar con las autoridades de vigilancia del mercado cuando se les solicite y proporcionar toda la información necesaria para el desempeño de sus tareas de supervisión.
A petición de las autoridades de vigilancia del mercado, los administradores de software de código abierto deben elaborar y mantener actualizada la documentación técnica de los componentes de software de código abierto que administran, en la medida suficiente para permitir la evaluación de la conformidad en materia de ciberseguridad.
Art. 24(4)
Open-source steward
¿Listo para profundizar?
Explore la biblioteca completa de obligaciones, comprenda su papel o consulte el calendario.
