La Ley de Ciberresiliencia (CRA) es una ley pionera en el ámbito de la ciberseguridad. Establece obligaciones claras para los fabricantes de productos digitales, especialmente en lo que respecta a la aplicación de una estrategia según el principio de seguridad por diseño (Security by Design). Para recibir la codiciada marca CE, los futuros productos deberán cumplir unos requisitos mínimos de seguridad. La CRA aborda aspectos esenciales como la protección del acceso, la confidencialidad, la integridad y la disponibilidad a lo largo de todo el proceso de desarrollo. En este artículo se examinan los retos y oportunidades que la CRA plantea a los fabricantes y se aborda el posible papel de la norma internacional IEC 62443 como elemento clave en este contexto.
Descubra el futuro de la ciberseguridad de los productos digitales con la Ley de Ciberresiliencia (CRA): directrices claras, estándares más estrictos y una estrategia pionera para una era digital más segura.
La Ley de Ciberresiliencia (CRA) establece directrices claras para los fabricantes de productos digitales, que ahora están obligados a seguir una estrategia según el principio de seguridad por diseño (Security By Design). Para recibir la codiciada marca CE, los productos sujetos a la CRA deberán cumplir en el futuro unos requisitos mínimos de seguridad. El texto de la ley hace mucho hincapié en aspectos como la protección del acceso, la confidencialidad, la integridad y la disponibilidad, que deben integrarse en todo el proceso de desarrollo. Además, la CRA regula la gestión de vulnerabilidades y el plazo en el que los fabricantes están obligados a proporcionar las actualizaciones de seguridad.
El objetivo de la CRA es reforzar la confianza en la infraestructura digital de la Unión Europea y aumentar la competitividad de las empresas europeas a escala mundial. Como ley de la UE, no requiere una aplicación nacional y previsiblemente entrará en vigor en toda la UE a partir de 2024.
La norma IEC 62443, como estándar internacional, desempeña un papel fundamental, ya que abarca tanto el proceso de desarrollo seguro necesario como los requisitos técnicos de productos y sistemas. Debido a esta congruencia, la norma IEC 62443 podría servir de prometedora base para lograr una norma CRA armonizada. Para cumplir los requisitos de gestión de vulnerabilidades, es necesario disponer de una lista de materiales de software (Software Bill of Material, SBOM) normalizada para todos los productos. Esta visión global de todos los componentes de software resulta esencial. Además, las vulnerabilidades conocidas deben registrarse en formato digital, por ejemplo, a través del sistema Common Vulnerability Scoring System (CVSS).
La Ley de Ciberresiliencia (CRA) es una ley de la UE que afecta a todos los productos con elementos digitales que tengan capacidad de comunicación. La CRA cubre tanto el hardware como el software y se basa en el Nuevo Marco Legislativo (New Legislative Framework). La ley establece requisitos vinculantes que deben cumplirse al comercializar los productos. Los productos que cumplen estas normas ostentan la marca CE.
Por el contrario, esto implica que los productos no conformes ya no pueden comercializarse. Además, el proveedor también debe dejar de vender los productos existentes si no cumplen los requisitos de ciberseguridad.
La CRA establece unos requisitos de seguridad claros para los productos, que incluyen la protección del acceso, la protección de la confidencialidad, la integridad, la disponibilidad y un estado por defecto a la entrega. Para garantizar un proceso de desarrollo seguro, deben tenerse en cuenta sobre todo durante el diseño, el desarrollo y la fabricación.
Como parte del proceso de desarrollo seguro, los fabricantes deben comprobar activamente sus productos para detectar vulnerabilidades y rectificarlas de inmediato. Esta actualización de seguridad se proporcionará gratuitamente y se prolongará durante un periodo de cinco años. La CRA también introduce otras obligaciones de notificación: los fabricantes deben notificar inmediatamente a la Agencia Europea de Ciberseguridad (ENISA) si detectan vulnerabilidades que se hayan aprovechado activamente o ataques a sus productos que puedan comprometer la seguridad, por ejemplo, con la manipulación de las áreas de descarga.
Antes de lanzarlo al mercado, el fabricante debe asegurarse de que su producto cumple las normas prescritas. La evaluación se basa en la clasificación del producto en función de su criticidad. Para ello, es necesario cumplir las normas europeas o someterse a una prueba de una institución autorizada. Se presta especial atención a las infraestructuras críticas para la industria. En este contexto, es previsible la aplicación de normas armonizadas y/o la colaboración con una institución autorizada.
La CRA permite a los usuarios beneficiarse de productos que cumplen normas de ciberseguridad más estrictas y que reducen los riesgos de ataques por parte de hackers, vulnerabilidades de seguridad u otros peligros. Estos productos deben ostentar la marca CE para demostrar su conformidad con los nuevos requisitos.
Los fabricantes también están obligados a llevar a cabo un mantenimiento de los productos durante todo su ciclo de vida y a ofrecer actualizaciones automáticas de seguridad. Por tanto, los usuarios pueden confiar en las garantías de ciberseguridad de los productos que ostentan la marca CE.
Los fabricantes se enfrentan al reto de garantizar un proceso de desarrollo seguro y de aplicar medidas de seguridad exhaustivas antes del lanzamiento al mercado. Esto implica costes adicionales que pueden afectar a los recursos y los plazos de producción. La nueva legislación promete ofrecer beneficios considerables para los usuarios finales, ya que eleva el nivel de seguridad y minimiza significativamente los riesgos en el ámbito de la ciberseguridad. Sin embargo, los fabricantes se enfrentan a una serie de retos que no están exentos de costes adicionales. No obstante, merece la pena asumir estos retos, ya que las infracciones pueden hacer que las autoridades exijan la mejora o retirada de productos, y que impongan multas de hasta 15 millones de euros o del 2,5 % del volumen de negocios anual global.
Pero hay esperanza, porque los requisitos básicos definidos por la CRA ya se abordaban en el proceso de desarrollo seguro establecido en la norma IEC 62443-4-1 y en las especificaciones funcionales de la norma IEC 62443-4-2. Por lo tanto, se recomienda aplicar la norma IEC 62443.
Nuestro concepto 360°-Security completo
En Phoenix Contact, apostamos por un enfoque de seguridad global de 360°, en el que los productos seguros son un elemento central. Los productos seguros se desarrollan de acuerdo con las normas de la IEC 62443-4-1, mientras que los requisitos de las funciones de seguridad cumplen la IEC 62443-4-2. El equipo PSIRT (Product Security Incident Response Team) es el responsable de la gestión eficaz de las vulnerabilidades.
Gracias a esta estrategia, Phoenix Contact está bien preparada para poder cumplir los nuevos requisitos legales. También ofrecemos a nuestros clientes soluciones y servicios de aplicaciones seguros. La certificación independiente de TÜV SÜD confirma el cumplimiento de los procesos de ciberseguridad de acuerdo con la norma IEC 62443.
