• CRA
• La CRA como piedra angular del ecosistema ciberseguridad de la UE

La CRA como piedra angular del ecosistema ciberseguridad de la UE

Enderstanding the Cyber Resilience Act (CRA)

La CRA se aplica a una categoría de productos extremadamente amplia, esencialmente a cualquier producto que incluya o interactúe con componentes digitales. Esto incluye dispositivos y software que:

• contienen componentes electrónicos o digitales,

• procesar, transmitir o almacenar datos

• confiar en la conectividad de red para operar de forma eficaz,

• incorporar software embebido o independiente.

Este alcance abarca todo, desde aparatos inteligentes, routers, usables, PLCs industriales, software médico y vehículos conectados a plataformas de seguridad empresarial, firmware y sistemas administrados en la nube. El CRA cubre tanto hardware como software, incluyendo productos distribuidos a través de canales digitales.

Los cuatro objetivos del CRA

El Reglamento pretende crear un ecosistema de seguridad profundamente coordinado y transparente, cuyos cuatro objetivos principales son:

1. Reducir los riesgos de ciberseguridad en todo el ciclo de vida : los fabricantes deben abordar la ciberseguridad desde las decisiones de diseño más tempranas a través del despliegue del mundo real y el mantenimiento a largo plazo.

2. Armonizar los requisitos de ciberseguridad en el mercado interior de la UE – El CRA reemplaza las iniciativas nacionales fragmentadas por un conjunto común de requisitos de seguridad.

3. Incrementar la confianza de los consumidores y de las empresas – Una base de seguridad más alta y consistente permite a los usuarios elegir con seguridad los productos que cumplen con los requisitos.

4. Mejorar la transparencia y la responsabilidad : los fabricantes, importadores y distribuidores reciben obligaciones legales claramente definidas, minimizando la ambigüedad.

La CRA no funciona de forma aislada: complementa la Directiva NIS2, la EUCC (certificación de ciberseguridad basada en criterios comunes), la Directiva sobre equipos de radio (DED) y marcos específicos del sector como el Reglamento sobre dispositivos médicos (RDM). Juntas, estas políticas constituyen la columna vertebral del enfoque integrado de la UE en materia de ciberseguridad.

Elementos Núcleos de Conformidad: Módulo A y Presumción de Conformidad

La evaluación de la conformidad con el CRA garantiza que los productos cumplan con los requisitos esenciales de ciberseguridad enumerados en el Anexo I. Estas incluyen prácticas de desarrollo seguro, manejo de vulnerabilidades, configuración predeterminada segura, protección contra acceso no autorizado, y robustez contra métodos de ataque conocidos.

Módulo A – Control de Producción Interna

El módulo A es una de las rutas de evaluación de conformidad más aplicables. Requiere a los fabricantes para:

• llevar a cabo la validación interna de los requisitos de ciberseguridad.

• procesos de desarrollo de documentos, controles de diseño y resultados de pruebas

• mantener evidencia de cumplimiento continuo a lo largo del ciclo de vida,

• demostrar que las actividades post-mercado (por ejemplo, parchear y responder a la vulnerabilidad) responden a las expectativas de regulación.

El Módulo A pone toda la responsabilidad en el fabricante de implementar un riguroso sistema de control interno soportado por documentación técnica precisa.

Presumción de conformidad (PoC)

Un producto obtiene la Presunción de Conformidad cuando cumple con los estándares europeos armonizados (hENs) enumerados en el Diario Oficial de la Unión Europea (OJEU). Estos estándares están siendo desarrollados actualmente por CEN, CENELEC, y ETSI a través del mandato conjunto M/606.

Una vez finalizados y aprobados estos estándares:

• los fabricantes que los aplican correctamente ganan PoC,

• las autoridades de vigilancia del mercado deben asumir que el producto cumple los requisitos esenciales a menos que las pruebas indiquen lo contrario,

• La evaluación de la conformidad se vuelve más predecible y alineada en toda la UE.

Sin embargo, debido a que las hENs todavía están en desarrollo, su estructura final, su nivel de detalle y cobertura siguen siendo objeto de cambios. En las zonas en las que no cubren plenamente los requisitos del Anexo I, los fabricantes deben llevar a cabo análisis de riesgos adicionales, pruebas o evaluación por parte de terceros.

Módulo A permite la validación de conformidad interna, mientras que el cumplimiento de los próximos estándares armonizados otorga una presunción de conformidad. Fuente: Freepik

Obligaciones de fabricante bajo el CRA

La CRA introduce algunas de las obligaciones de ciberseguridad más detalladas y continuas jamás exigidas por la legislación de la UE.

• Realizar evaluaciones de riesgo para cada tipo de producto y versión, incluyendo modelización de amenazas y análisis de superficie de ataque.

• Implementar procesos de desarrollo seguro, incluyendo codificación segura, pruebas, revisión de código y fortalecimiento de la configuración.

• Asegurar la gestión de vulnerabilidades, incluyendo procesos coordinados de divulgación de vulnerabilidades (CVD), monitoreo y parches de seguridad continuos.

• Proporcionar actualizaciones de seguridad regulares y mantener el soporte durante toda la vida útil del producto.

• Crear documentación técnica completa de acuerdo con el anexo II.

• Emitir una Declaración de Conformidad de la UE y fijar la marca CE antes de la colocación del mercado.

• Notificar a las autoridades sobre vulnerabilidades explotadas activamente e incidentes de seguridad sin demora.

Los fabricantes también deben garantizar que sus socios (importadores, desarrolladores, integradores, distribuidores) cumplan con sus propias obligaciones de CRA, lo que crea una cadena de responsabilidad para todo el ecosistema.

Los laboratorios independientes de seguridad y los organismos de evaluación de la conformidad desempeñan un papel esencial en la verificación de la madurez de los procesos de ciberseguridad de los fabricantes, ofreciendo pruebas estructuradas y orientación experta.

Conclusión

La Ley de Resiliencia Cibernética establece una nueva línea de referencia de la ciberseguridad para todos los productos digitales comercializados en el mercado de la UE. Reforma la forma en que los fabricantes diseñan, desarrollan y apoyan sus productos, convirtiendo la ciberseguridad en un requisito legal en lugar de una mejora opcional.

Los hitos clave próximos incluyen:

• la finalización y publicación de normas armonizadas

• el establecimiento de organismos notificados para las evaluaciones de CRA,

• alineación de procesos de ciclo de vida y flujos de trabajo de gestión de vulnerabilidades,

• preparación para la aplicabilidad completa de la CRA a partir de 11 de diciembre de 2027.

Organizaciones que comienzan a adaptarse ahora mejorando el desarrollo seguro, la calidad de la documentación, y los procesos de seguridad del ciclo de vida no sólo lograrán el cumplimiento, sino que también se posicionarán como líderes confiables en el panorama digital europeo en evolución.

Cómo QIMA CCLab soporta el cumplimiento de CRA

Como laboratorio de ciberseguridad acreditado con amplia experiencia en la evaluación de productos digitales y estándares de seguridad. QIMA CCLab proporciona apoyo integral a los fabricantes que se preparan para la conformidad con CRA.

Nuestros servicios incluyen:

• Análisis de brechas CRA – evaluación del estado actual de la ciberseguridad del producto en comparación con los estándares CRA.

• Soporte de evaluación de conformidad – guía a los fabricantes a través de la documentación del módulo A, los controles internos y los procesos de ciclo de vida.

• Testing and Consulting Based on hEN Development – aligning security practices with emerging standards from CEN/CENELEC/ETSI.

• Evaluación de la gestión de la vida y vulnerabilidad – evaluación de los procesos de parche, flujos de trabajo de respuesta a incidentes y mecanismos de actualización seguros.

• formación y desarrollo de capacidades – ayuda a los equipos a entender los requisitos de CRA e integrarlos en flujos de trabajo de diseño y desarrollo seguros.

QIMA CCLab actúa no sólo como laboratorio de pruebas, sino también como socio estratégico, apoyando a las empresas desde etapas tempranas de diseño a través de la evaluación final, permitiéndoles crear productos seguros, compatibles y resistentes.

PREGUNTAS FRECUENTES

¿Cuándo se aplica completamente el Acta de Resiliencia Cibernética (CRA)?

Si bien la CRA entró en vigor formalmente el 10 de diciembre de 2024, sólo será plenamente aplicable el 11 de diciembre de 2027. Este período de transición de tres años permite a los fabricantes ajustar sus procesos de desarrollo y apoyo. Después de esta fecha, cualquier producto con elementos digitales que no cumpla los requisitos de CRA no puede comercializarse legalmente en el mercado de la UE.

¿Cómo se relacionan la Directiva de Equipamiento de Radio con el Acta Delegada (RED-DA) y el CRA?

Tanto el RED-DA como el CRA imponen requisitos obligatorios de ciberseguridad exigibles a través del marcado CE. El RED-DA se aplica a los equipos de radio conectados a Internet, mientras que el CRA se aplica a todos los productos digitales, incluyendo software. El RED-DA será revocado el 11 de diciembre de 2027, el mismo día en que la CRA se aplique plenamente. permitiendo que la CRA tenga prioridad y cree un único marco de ciberseguridad en streaming.

¿Cómo apoyan las normas armonizadas (hEN) el cumplimiento del CRA?

Los estándares armonizados forman la columna vertebral técnica para demostrar el cumplimiento del CRA. Se espera que la serie EN 18031—originalmente utilizada para RED-DA—forme la base para los estándares armonizados futuros del CRA. Al seguir estos estándares una vez publicados en el Diario Oficial de la Unión Europea, los fabricantes pueden ganar una "Presunción de Conformidad." (Nota importante: Actualmente, no existen estándares armonizados bajo el CRA, por lo que los fabricantes deben depender de métodos de evaluación alternativos hasta que sean finalizados).