Boletín de Actualidad de Derecho Civil

Reglamento de Ejecución (UE) 2025/2392: Descripción técnica de productos con elementos digitales sujetos al Reglamento de Ciberresiliencia

Publicación: Diario Oficial de la Unión Europea, Serie L, 1 de diciembre de 2025
Entrada en vigor: 21 de diciembre de 2025

Objeto y fundamento jurídico

La Comisión Europea ha adoptado el Reglamento de Ejecución (UE) 2025/2392, de 28 de noviembre de 2025, que establece la descripción técnica de las categorías de productos importantes y críticos con elementos digitales conforme al Reglamento (UE) 2024/2847 (Reglamento de Ciberresiliencia).

El fundamento jurídico de esta norma se encuentra en el artículo 7, apartado 4, del Reglamento de Ciberresiliencia, que habilita a la Comisión para desarrollar las especificaciones técnicas de los productos enumerados en sus anexos III y IV.

Criterio determinante: la funcionalidad principal

El Reglamento precisa que la clasificación de un producto con elementos digitales como “importante” o “crítico” depende de su funcionalidad principal. Esta aproximación tiene consecuencias prácticas relevantes:

  • La integración de un componente que, aisladamente, constituiría un producto importante o crítico no determina automáticamente la sujeción del producto final a procedimientos de evaluación más estrictos.
  • El fabricante debe evaluar la seguridad del producto completo, considerando la seguridad de los componentes integrados.
  • El desempeño de funciones adicionales no excluye la clasificación si la funcionalidad principal coincide con una categoría regulada.

Estructura de la clasificación

Productos importantes (Anexo I)

El Reglamento distingue dos clases de productos importantes:

Clase I incluye, entre otras categorías:

  • Sistemas de gestión de identidad y acceso privilegiado
  • Navegadores independientes e integrados
  • Gestores de contraseñas
  • Programas de detección de software malicioso
  • Redes privadas virtuales
  • Sistemas de gestión de redes
  • Sistemas SIEM
  • Cargadores de arranque
  • Sistemas de gestión de certificados digitales y claves criptográficas
  • Interfaces físicas y virtuales de red
  • Sistemas operativos
  • Enrutadores, módems y conmutadores
  • Microprocesadores, microcontroladores, ASIC y FPGA con funcionalidades de seguridad
  • Asistentes virtuales domésticos inteligentes
  • Productos conectados de seguridad física doméstica
  • Juguetes conectados con funciones interactivas o de seguimiento de ubicación
  • Dispositivos ponibles de seguimiento médico o destinados a menores

Clase II comprende productos sujetos a procedimientos de evaluación más exigentes:

  • Hipervisores y sistemas de ejecución de contenedores
  • Cortafuegos
  • Sistemas de detección y prevención de intrusiones
  • Microprocesadores y microcontroladores resistentes a manipulaciones con nivel AVA_VAN 2 o 3

Productos críticos (Anexo II)

Se califican como productos críticos:

  • Dispositivos de seguridad de hardware con protección física contra manipulaciones
  • Pasarelas de contadores inteligentes
  • Elementos seguros con nivel de protección AVA_VAN.4 o superior
  • Tarjetas inteligentes y dispositivos similares

Metodología de evaluación

El Reglamento incorpora los niveles AVA_VAN establecidos en los Criterios Comunes y la Metodología Común de Evaluación como parámetro para diferenciar categorías de productos según su resistencia frente a la explotación de vulnerabilidades. Esta aproximación permite distinguir, particularmente, entre microprocesadores y microcontroladores de Clase I y Clase II, así como identificar los elementos seguros que constituyen productos críticos.

Obligaciones de los fabricantes

Los fabricantes de productos con elementos digitales deben:

  1. Determinar si la funcionalidad principal de su producto corresponde a alguna categoría regulada.
  2. Aplicar los requisitos esenciales de ciberseguridad del anexo I, parte I, del Reglamento de Ciberresiliencia de forma proporcionada a los riesgos.
  3. Realizar una evaluación exhaustiva de riesgos de ciberseguridad.
  4. Seguir los procedimientos de evaluación de la conformidad específicos cuando proceda.

Aplicabilidad

El Reglamento es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro desde su entrada en vigor.

Referencia normativa:
Reglamento de Ejecución (UE) 2025/2392 de la Comisión, de 28 de noviembre de 2025
[DO L, 2025/2392, 1.12.2025]
ELI: http://data.europa.eu/eli/reg_impl/2025/2392/oj

Post Views: 41