Cyber Resilience Act: què significa per a la videoconferència
Arreu d'Europa, les expectatives reguladores per als productes digitals canvien ràpidament. La seguretat ja no es tracta com una funció opcional ni com un element diferenciador competitiu. S'està convertint en un requisit de base integrat en com es dissenya, es lliura i es manté el programari.
El Cyber Resilience Act (CRA) és un dels passos més significatius en aquesta direcció. Reforça la seguretat dels productes connectats al mercat de la UE establint obligacions clares per a fabricants i proveïdors de programari. El reglament va entrar en vigor el 10 de desembre de 2024. Els fabricants hauran de començar a notificar activament les vulnerabilitats explotades a ENISA a partir de l'11 de setembre de 2026, i el compliment íntegre de tots els requisits és obligatori a partir de l'11 de desembre de 2027.
Per a les organitzacions que construeixen o despleguen plataformes de comunicació, aquest article explica el context regulador, descriu què implica el compliment i aclareix quins tipus de productes i serveis realment entren a l'àmbit d'aplicació.
Continguts
Per què importa la ciberseguretat per a la videoconferència
Què és el Cyber Resilience Act?
Compliment del CRA: requisits centrals
Suport d'implementació i preparació per al compliment
Com Digital Samba s'alinea amb els principis del CRA
Per acabar
FAQ
Per què importa la ciberseguretat per a la videoconferència
Les plataformes de videoconferència són centrals per a com operen moltes organitzacions. S'utilitzen en educació, sanitat, procediments judicials i col·laboració corporativa, fet que significa que gestionen una quantitat substancial de dades sensibles.
Les plataformes de comunicació tracten:
- Fluxos d'àudio i vídeo
- Informació personal i sensible
- Metadades sobre participants i interaccions
Això les converteix en objectius atractius per als atacants. Els reptes específics inclouen protegir el mèdia en temps real contra interceptacions, evitar l'accés no autoritzat a les sessions, assegurar enregistraments i transcripcions, i garantir que les dades es gestionen d'acord amb la regulació aplicable. Regulacions com el CRA estan dissenyades per abordar aquests riscos de manera sistemàtica, en lloc de deixar que cada organització els resolgui pel seu compte.
Què és el Cyber Resilience Act?
El CRA és un marc regulador dissenyat per garantir que els productes digitals siguin segurs al llarg del seu cicle de vida. S'aplica a productes de maquinari i programari connectats a xarxes, incloent aplicacions utilitzades en entorns empresarials i de consum.
El reglament desplaça la responsabilitat cap als fabricants i proveïdors de programari. En lloc de confiar en els usuaris o les organitzacions per assegurar els sistemes que compren, exigeix que els productes es construeixin amb seguretat des de l'inici i es mantinguin amb atenció contínua.
El reglament es construeix al voltant de quatre principis bàsics:
- Seguretat per disseny i per defecte. Els controls de seguretat s'han d'integrar des de les primeres etapes de disseny i activar-se automàticament, en lloc d'afegir-se després o deixar-se com a opcionals.
- Gestió contínua de vulnerabilitats. Les organitzacions han de monitorar, identificar i abordar activament les vulnerabilitats al llarg de tot el cicle de vida del producte, no només al llançament.
- Transparència en com els productes gestionen els riscos de seguretat. Els usuaris i les parts interessades han de tenir informació clara sobre com s'identifiquen, es divulguen i es gestionen els riscos.
- Responsabilitat al llarg del cicle de vida del producte. La responsabilitat de la seguretat no acaba amb el desplegament. S'estén a actualitzacions, períodes de suport i la retirada eventual del producte.
La política digital europea s'ha estat movent en aquesta direcció des de fa un temps, tractant la confiança, la transparència i la protecció de dades com a requisits base més que extres opcionals.
Àmbit i cobertura del CRA
Què cobreix el CRA (i què no cobreix)
Aquí és on molts resums del CRA es desvien, així que val la pena ser directe.
El CRA és un reglament de productes. Apunta a "productes amb elements digitals", és a dir, maquinari i programari venuts com a productes diferenciats i col·locats al mercat de la UE. No és un reglament de serveis.
Les plataformes SaaS pures generalment queden excloses de l'àmbit del CRA. Un servei de videoconferència lliurat enterament via navegador o API, sense instal·lació local, queda fora del reglament tal com està escrit. La raó que dóna la Comissió Europea és que els proveïdors SaaS purs ja estan coberts per NIS2, una directiva separada centrada en obligacions de ciberseguretat per a proveïdors de serveis digitals i operadors de serveis essencials.
L'única excepció és estreta: un servei al núvol entra a l'àmbit del CRA quan és essencial per al funcionament d'un producte de maquinari o incrustat, i ha estat desenvolupat pel fabricant d'aquell producte. Pensa en un dispositiu intel·ligent que no pot funcionar sense el seu servei al núvol acompanyant. Aquest servei al núvol entra a l'àmbit perquè és inseparable del producte. Una SaaS de videoconferència autònoma no encaixa amb aquesta definició.
Així doncs, el CRA és més directament rellevant per a proveïdors que venen productes de programari amb instal·lació local o components de maquinari. Per a les organitzacions que simplement despleguen una eina SaaS de tercers, els marcs més aplicables són NIS2 i el RGPD.
Dit això, els principis del CRA (desenvolupament secure-by-design, seguretat al llarg del cicle de vida, gestió de vulnerabilitats) representen una bona pràctica independentment de quina regulació s'apliqui. I per a qualsevol organització que desenvolupi productes de programari amb elements digitals, les obligacions de sota s'aplicaran a partir del desembre de 2027.
Productes que el CRA sí que cobreix
Per als productes que entren a l'àmbit, el reglament s'aplica àmpliament:
- Aplicacions de programari lliurades localment o via el núvol que són part integral d'un producte amb elements digitals
- Dispositius connectats i productes IoT: dispositius físics amb programari incrustat que es connecten a xarxes, com sensors intel·ligents, càmeres o dispositius wearables
- Components integrats en sistemes més grans, incloent mòduls de programari individuals o biblioteques que formen part d'un producte més ampli
Obligacions del cicle de vida del programari
El CRA adopta una visió de cicle de vida sobre la seguretat. Les obligacions no acaben quan es publica un producte.
Els fabricants han d'integrar consideracions de seguretat al llarg del desenvolupament, des de l'arquitectura inicial fins a la prova i el desplegament. Els productes s'han de monitorar per a vulnerabilitats descobertes recentment. Les debilitats identificades s'han de pegar ràpidament. I els fabricants han d'indicar clarament durant quant de temps un producte rebrà actualitzacions de seguretat.
Consideracions de cadena de subministrament
El reglament també estableix expectatives sobre la seguretat de la cadena de subministrament. S'espera que els fabricants tinguin visibilitat sobre els components dels quals depèn el seu programari, avaluïn les biblioteques de tercers respecte a riscos de seguretat i estat de manteniment, i s'assegurin que els seus proveïdors segueixen pràctiques de seguretat reconegudes.
Un matís important: el programari lliure i de codi obert no comercial està exempt del CRA. Els projectes que són accessibles, modificables i redistribuïbles lliurement però no formen part d'una oferta comercial queden fora de l'àmbit del reglament. Tanmateix, quan s'utilitzen components de codi obert en un producte comercial, el fabricant d'aquest producte segueix sent responsable de la seguretat d'aquests components. Així que l'exempció s'aplica al projecte de codi obert en si, no a tothom qui el faci servir.
Compliment del CRA: requisits centrals
Per als fabricants de productes dins l'àmbit, aconseguir el compliment significa alinear els processos interns amb un conjunt d'expectatives de seguretat definides. Aquests requisits no són purament tècnics; també cobreixen governança, documentació i pràctiques operatives.
-
Pràctiques de desenvolupament segur. S'espera que els fabricants implementin metodologies de desenvolupament segur: modelatge d'amenaces durant el disseny, estàndards de codificació segura, procediments de revisió i prova de codi, i seguretat integrada als pipelines CI/CD. L'objectiu és reduir les vulnerabilitats abans que els productes arribin al mercat.
-
Gestió de vulnerabilitats. Un requisit central és la capacitat de detectar, gestionar i divulgar vulnerabilitats. Això vol dir establir un procés de divulgació coordinada de vulnerabilitats, monitorar amenaces descobertes recentment, respondre dins de terminis definits i comunicar-se clarament amb usuaris i parts interessades.
-
Documentació. El reglament dóna molta importància a la transparència a través de la documentació. Els fabricants han de mantenir documentació tècnica que descrigui les funcions de seguretat, instruccions per a la configuració i l'ús segurs, i registres d'avaluacions de risc i mesures de mitigació. Això dóna suport tant a la responsabilitat interna com a la verificació externa.
-
Gestió de riscos. La gestió de riscos sota el CRA és contínua. Vol dir identificar amenaces potencials i vectors d'atac, avaluar la probabilitat i l'impacte, implementar mitigacions i revisar les avaluacions amb el temps.
Certificació i conformitat sota el CRA
Certificació vs autoavaluació
No tots els productes necessiten certificació de tercers. El CRA utilitza un enfocament basat en el risc:
- Els productes per defecte poden seguir un procés d'autoavaluació.
- Els productes de més alt risc (Classe I) poden fer servir autoavaluació si s'apliquen estàndards harmonitzats; altrament, es requereix avaluació per tercers.
- Els productes de més alt risc (Classe II) requereixen una avaluació obligatòria per tercers per part d'un organisme notificat.
Accés al mercat i sancions
El compliment està directament lligat a l'accés al mercat. Els productes que no compleixin els requisits del CRA a partir del desembre de 2027 poden quedar restringits per a la distribució dins la UE, fer cara a escrutini per part de reguladors i comportar risc reputacional.
Les sancions econòmiques són significatives. Les violacions dels requisits essencials de ciberseguretat o les principals obligacions del fabricant poden resultar en multes de fins a 15 milions d'euros o el 2,5 % de la facturació anual mundial, segons quin sigui més alt. Les violacions d'altres obligacions comporten multes de fins a 10 milions d'euros o el 2 % de la facturació global.
Per a les organitzacions en sectors regulats, això converteix l'alineació amb els requisits del CRA en una preocupació pràctica de negoci, no només un exercici de compliment.
Etiquetatge de conformitat
El CRA introdueix etiquetatge per assenyalar la conformitat. Aquestes etiquetes diuen als clients i als equips de contractació que un producte compleix els requisits de seguretat, donen suport a decisions de compra informades i fan més fàcil comparar productes sota un estàndard comú.
Suport d'implementació i preparació per al compliment
Preparar-se per al compliment del CRA requereix preparació tècnica i organitzativa. Els passos pràctics inclouen fer una anàlisi de bretxa contra els requisits, revisar els processos de desenvolupament i desplegament, mapejar les dependències de programari i els riscos de la cadena de subministrament, configurar fluxos de gestió de vulnerabilitats i actualitzar la documentació i els marcs de governança.
Per a moltes organitzacions, l'experiència externa pot accelerar-ho. Codific proporciona orientació estructurada sobre estratègies d'implementació del CRA, ajudant les organitzacions a traduir els requisits en passos accionables. Els seus recursos actuals de compliment estan disponibles a complycra.eu/cyber-resilience-act-compliance/.
Com Digital Samba s'alinea amb els principis del CRA
Digital Samba és una plataforma europea de videoconferència. Com a servei SaaS pur, el CRA no s'aplica automàticament de la mateixa manera que ho faria a un fabricant que ven un producte amb elements digitals. L'avaluació de conformitat formal i el marcatge CE només seran legalment requerits a partir del desembre de 2027 per a productes que entrin a l'àmbit, i no s'ha completat cap avaluació d'aquest tipus en aquesta fase.
El que reflecteix la plataforma Digital Samba és un enfocament de desenvolupament estretament alineat amb els principis subjacents del CRA: seguretat construïda des de l'inici, manteniment continu i transparència sobre com es gestionen les dades.
- Arquitectura privacy-first amb allotjament europeu. Totes les dades es processen dins una infraestructura amb seu a la UE sota jurisdicció europea, fet que dóna suport a requisits estrictes de residència de dades i redueix l'exposició a marcs legals en conflicte.
- Xifratge en múltiples capes, incloent d'extrem a extrem. Més enllà del xifratge estàndard de transport WebRTC, Digital Samba implementa xifratge d'extrem a extrem a la capa d'aplicació, perquè els fluxos de mèdia i les dades associades quedin inaccessibles a intermediaris, incloent els proveïdors d'infraestructura.
- Desenvolupament segur i lliurament continu. La plataforma segueix un cicle de llançament iteratiu amb actualitzacions freqüents, fet que permet una resposta ràpida a vulnerabilitats emergents, coherent amb les expectatives del CRA pel que fa al manteniment de seguretat continu.
- Control transparent sobre les funcions que generen dades. Les organitzacions poden triar si activen enregistraments, transcripcions i altres sortides de dades, fet que dóna suport als principis de minimització de dades i fa més fàcil gestionar el compliment.
- Control d'accés basat en rols i gestió segura de sessions. Els permisos granulars i els mecanismes d'autenticació garanteixen que només els usuaris autoritzats puguin accedir a les sessions i a les funcions.
- Visibilitat operativa i configuració. A través del seu panell de control i la seva API, Digital Samba proporciona visibilitat sobre les configuracions de sala, el comportament dels participants i l'ús de funcions, fet que dóna suport a la documentació i a la preparació per a auditoria.
Aquestes pràctiques reflecteixen com una plataforma de videoconferència pot posar els conceptes centrals del CRA (seguretat per disseny, gestió contínua de vulnerabilitats, responsabilitat al llarg del cicle de vida) en pràctica. Per als equips que construeixen sobre una plataforma de vídeo, triar un proveïdor que ja segueixi aquests principis fa més fàcil complir els seus propis requisits de seguretat i compliment.
Per acabar
El Cyber Resilience Act canvia com es regula la seguretat digital arreu d'Europa, i les obligacions que introdueix són reals i, a partir del desembre de 2027, executables. Per als fabricants de productes connectats, el compliment vol dir construir seguretat des de l'inici, mantenir-la amb el temps i documentar-la correctament.
Per a les organitzacions que despleguen plataformes de comunicació, la situació és menys directa. Les plataformes SaaS pures cauen sota NIS2 en lloc del CRA, i els dos reglaments funcionen al costat del RGPD en lloc de substituir-lo. Entendre quin marc s'aplica a la teva situació és el primer pas per actuar-hi.
La seguretat s'ha d'incorporar al disseny, donar-li suport mitjançant processos continus i documentar-la clarament. Això és cert tant si l'obligació ve del CRA, de NIS2 o de tots dos. Treballant amb socis tecnològics que ja adopten aquest enfocament, les organitzacions poden reduir tant el seu risc de seguretat com la complexitat de complir els marcs que les governen.
FAQ
Què significa CRA en regulació de ciberseguretat?
CRA significa Cyber Resilience Act, una regulació europea centrada a millorar la seguretat dels productes connectats i del programari amb elements digitals.
El CRA s'aplica a plataformes SaaS com els serveis de videoconferència?
Generalment, no. Les plataformes SaaS pures queden excloses de l'àmbit del CRA. Un servei de videoconferència lliurat via navegador o API, sense un producte instal·lat localment, normalment es regula sota NIS2 en lloc del CRA. Hi ha una excepció quan un servei al núvol és essencial per al funcionament d'un producte de maquinari i ha estat desenvolupat pel mateix fabricant.
Quan entren en vigor les obligacions del CRA?
El Cyber Resilience Act va entrar en vigor el 10 de desembre de 2024. Els fabricants han de començar a notificar activament les vulnerabilitats explotades a ENISA a partir de l'11 de setembre de 2026. El compliment íntegre de tots els requisits és obligatori a partir de l'11 de desembre de 2027.
Quines són les sancions per incompliment del CRA?
Les violacions greus, com no complir els requisits essencials de ciberseguretat, poden resultar en multes de fins a 15 milions d'euros o el 2,5 % de la facturació anual global, segons quin sigui més alt. Altres violacions poden comportar multes de fins a 10 milions d'euros o el 2 % de la facturació.
Quins són els requisits principals per al compliment del CRA?
Els requisits clau inclouen pràctiques de disseny i desenvolupament segurs, gestió contínua de vulnerabilitats, avaluació de risc i manteniment de documentació tècnica adequada per a productes dins l'àmbit.
El Cyber Resilience Act requereix certificació?
No per a tots els productes. Els productes de menor risc poden seguir un procés d'autoavaluació, mentre que els productes de més risc requereixen avaluació de conformitat per tercers per part d'un organisme notificat.
Com es relaciona el CRA amb NIS2 i el RGPD?
Aquestes regulacions operen al costat l'una de l'altra. El CRA s'aplica als fabricants de productes connectats, NIS2 s'aplica als proveïdors de serveis digitals i als operadors de serveis essencials, i el RGPD regula el tractament de dades personals. Les organitzacions poden necessitar complir múltiples marcs en funció de les seves activitats.
Hi ha un procés d'auditoria o avaluació sota el Cyber Resilience Act?
Sí. Segons la classificació de risc del producte, els fabricants realitzen una autoavaluació o se sotmeten a una avaluació de conformitat per tercers. A partir del desembre de 2027, els productes dins l'àmbit han de portar el marcatge CE per demostrar el compliment.
Share this
You May Also Like
These Related Stories

Seguretat en videoconferències: riscos, bones pràctiques i com funciona el xifratge

El RGPD obliga a allotjar les dades a la UE? El que cal saber

