El presente trabajo aborda la conexión entre el Reglamento (UE) 2024/2847, sobre ciberseguridad de los productos con elementos digitales (RCR) y la Directiva (UE) 2024/2853, sobre responsabilidad por daños causados por productos defectuosos
(DRP). La digitalización e interconexión de los productos con elementos digitales ha propiciado que estos productos sean vulnerables frente ataques malintencionados de terceros que tienen lugar en el ciberespacio. El RCR trata de garantizar, ex ante, la conformidad de los productos con elementos digitales cuando se introducen en el mercado o son puestos en servicio, además de imponer obligaciones, ex post, a los fabricantes de velar por la ciberseguridad del producto durante el periodo de soporte.
Por su parte, la DRP regula la responsabilidad de los fabricantes por daños causados por sus productos. Ambas regulaciones presentan algunas interconexiones en materia de vulnerabilidades de ciberseguridad de los productos que son tratadas en este trabajo.

Como conclusiones más relevantes se destaca la desarmonía entre el periodo de soporte de cinco años del art. 13.8 RCR y el plazo de caducidad de las acciones de diez años del art. 17 DRP; la posible aplicación de la excepción de responsabilidad por los riesgos del desarrollo a las vulnerabilidades de ciberseguridad; una lectura
en clave de ciberseguridad de la causa de defectuosidad del art. 7.2.d) DRP sobre el efecto razonablemente previsible de la interconexión de productos y la no concurrencia de la causa de defectuosidad del art. 7.2.f) DRP cuando el producto con elementos digitales cumpla los requisitos esenciales de ciberseguridad del anexo I, parte I RCR, a pesar de poder estar afectado de vulnerabilidades no conocidas cuando se introduce en el mercado.

—

Cybersecurity vulnerabilities in products with digital elements and their impact on the manufacturer's liability

This paper explores the interplay between Regulation (EU) 2024/2847 on the cybersecurity of products with digital elements (Cyber Resilience Act, CRA) and Directive (EU) 2024/2853 on liability for defective products (Product Liability Directive, PLD). The digitalisation and interconnection of products with digital elements have made these products increasingly vulnerable to malicious third-party attacks in cyberspace. The CRA aims to ensure, ex ante, the conformity of products with digital elements when they are placed on the market or put into service, while also imposing ex post obligations on manufacturers to maintain the cybersecurity of the product throughout the support period. For its part, the PLD governs the liability
of manufacturers for damage caused by their products. Both legal instruments present various interconnections concerning cybersecurity vulnerabilities in products, which
are analysed in this paper.

Among the main conclusions, the paper highlights the lack of alignment between the five-year support period under Article 13(8) CRA and the ten-year limitation period
for bringing claims under Article 17 PLD; the applicability of the development risk defence to cybersecurity vulnerabilities; a cybersecurity-focused interpretation of the defectiveness criterion under Article 7(2)(d) PLD regarding the reasonably foreseeable effect of product interconnection; and the non-applicability of the defectiveness criterion under Article 7(2)(f) PLD in cases where the product with digital elements meets the essential cybersecurity requirements set out in Part I of Annex I to the CRA, even if unknown vulnerabilities are present at the time of placing the product on the market.