ISGroup Consultoría de Ciberseguridad

Directiva (UE) 2024/2853 y Vulnerability Assessment: obligaciones y responsabilidades para los fabricantes

La Directiva (UE) 2024/2853 sobre responsabilidad por daños causados por productos defectuosos introduce obligaciones de control continuo que afectan directamente a quienes desarrollan o distribuyen software y servicios conectados. Para los fabricantes, demostrar que el producto es monitoreado y actualizado a lo largo del tiempo ya no es una buena práctica: es un requisito con consecuencias legales. El análisis de vulnerabilidades (vulnerability assessment) es una de las herramientas más eficaces para construir y documentar esta evidencia.

Este artículo forma parte de la miniguía sobre la Directiva (UE) 2024/2853. Para obtener una visión general, consulte el centro de recursos dedicado a la directiva sobre responsabilidad de productos y el análisis detallado sobre productos digitales y software conectado.

Control posventa: qué exige la directiva al fabricante

La Directiva 2024/2853 establece que el fabricante está obligado a monitorear el producto durante todo el periodo en el que sea capaz de proporcionar actualizaciones. Si un defecto depende de la falta de actualizaciones o mejoras de software necesarias para la seguridad, la responsabilidad sigue recayendo en el fabricante incluso después de la venta. La omisión de actualizaciones para corregir vulnerabilidades de ciberseguridad no exime al productor de su responsabilidad civil.

En este contexto, el análisis de vulnerabilidades desempeña una función concreta: permite identificar las vulnerabilidades presentes en el producto, clasificarlas por prioridad e iniciar un proceso estructurado de remediación. La periodicidad de los escaneos y la gestión del registro de correcciones (backlog) se convierten en elementos documentables, útiles para demostrar que el control continuo se ha ejercido efectivamente.

Registro de remediación (backlog) y gestión de actualizaciones

Uno de los aspectos más relevantes para los fabricantes de software es la gestión del registro de vulnerabilidades identificadas. No basta con detectar los problemas: es necesario realizar un seguimiento de las decisiones tomadas sobre cada vulnerabilidad, los tiempos de intervención y las justificaciones de cualquier aplazamiento. Un proceso de análisis de vulnerabilidades bien documentado genera informes periódicos que pueden utilizarse como evidencia en caso de disputa o divulgación.

La directiva no prescribe herramientas específicas, pero la conexión con la Ley de Ciberresiliencia (Cyber Resilience Act) —mencionada también por la Ley de delegación europea 2025 (Ley 36/2026)— introduce requisitos técnicos precisos para los productos con elementos digitales. El incumplimiento de estas normas determina, en el ámbito civil, la presunción automática de defecto del producto. Por tanto, contar con un proceso de análisis de vulnerabilidades trazable es fundamental también para la defensa en juicio.

Daños indemnizables e impacto en los datos

La Directiva 2024/2853 amplía los daños indemnizables incluyendo, por primera vez, la destrucción o corrupción de datos no utilizados con fines profesionales. Un análisis de vulnerabilidades eficaz reduce el riesgo de incidentes que comprometan los datos o las bases de datos de los usuarios finales. La prevención de estos eventos disminuye la probabilidad de tener que asumir tanto los costes materiales de restauración como las consecuencias legales derivadas de la defectuosidad del producto.

Para profundizar en las implicaciones específicas para el software, consulte el artículo sobre la responsabilidad del software en la directiva de la UE. Para entender cómo el test de penetración (penetration test) se integra con el análisis de vulnerabilidades en la gestión de evidencias, lea el análisis sobre test de penetración y responsabilidad del fabricante.

FAQ: Directiva (UE) 2024/2853 y análisis de vulnerabilidades

  • ¿Es el análisis de vulnerabilidades obligatorio por ley según la Directiva 2024/2853?
  • La directiva no menciona explícitamente el análisis de vulnerabilidades, pero impone al fabricante el deber de monitorear el producto y publicar actualizaciones de seguridad. El análisis de vulnerabilidades es una de las herramientas más adecuadas para cumplir con esta obligación de forma documentable y verificable.
  • ¿Cuándo entra en vigor la obligación de control continuo?
  • La Directiva 2024/2853 será plenamente aplicable a partir del 9 de diciembre de 2026. Los fabricantes que operan en el mercado de la UE tienen interés en iniciar los procesos de cumplimiento con suficiente antelación.
  • ¿Qué sucede si se identifica una vulnerabilidad pero no se corrige en un plazo razonable?
  • Si el daño es atribuible a una vulnerabilidad conocida y no corregida, el fabricante puede ser considerado responsable. La documentación del registro de remediación —con las decisiones tomadas y las razones de los aplazamientos— es un elemento relevante para la defensa en caso de disputa.
  • ¿Se aplica la Ley de Ciberresiliencia a las mismas empresas?
  • La Ley de Ciberresiliencia (Cyber Resilience Act) se aplica a los productos con elementos digitales introducidos en el mercado de la UE e introduce requisitos técnicos específicos, incluidos los relativos a la gestión de vulnerabilidades. La Ley 36/2026 vincula ambos instrumentos normativos en el ordenamiento jurídico italiano.

[Callforaction-VA-Footer]

In