Reconociendo la urgencia de abordar las amenazas cibernéticas, la Comisión Europea propuso Cyber Resilience Act (CRA) de 2023, una regulación histórica destinada a reforzar la postura de ciberseguridad de los productos y servicios digitales. Esta legislación integral establece un marco sólido para fabricantes, distribuidores y consumidores, lo que garantiza un panorama digital más seguro y resiliente.
Entre los objetivos específicos de la CRA se encuentran: garantizar que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida; garantizar un marco coherente de ciberseguridad, facilitando el cumplimiento por parte de los productores de hardware y software; mejorar la transparencia de las propiedades de seguridad de los productos con elementos digitales; permitir que las empresas y los consumidores utilicen productos con elementos digitales de forma segura.
La Cyber Resilience Act introduce una serie de requisitos estrictos para los fabricantes y distribuidores de productos digitales, que abarcan varios aspectos del ciclo de vida del producto:
Diseño y Desarrollo
- Seguridad por diseño: Los productos digitales deben diseñarse y desarrollarse teniendo en cuenta la seguridad desde el principio, incorporando medidas de seguridad sólidas durante todo el proceso de desarrollo.
Gestión de vulnerabilidades
- Identificación y corrección de vulnerabilidades: Los fabricantes deben establecer un programa proactivo de gestión de vulnerabilidades para identificar, evaluar y abordar rápidamente las vulnerabilidades de sus productos.
Actualizaciones de software
- Actualizaciones de seguridad periódicas: Los fabricantes deben proporcionar actualizaciones de seguridad periódicas para abordar las vulnerabilidades recién descubiertas y mantener la postura de seguridad general de sus productos.
Etiquetado de seguridad
- Transparencia y opciones del consumidor con conocimiento de causa: Los productos deben etiquetarse con información clara y transparente sobre su nivel de ciberseguridad, para que los consumidores puedan elegir con conocimiento de causa en función de su tolerancia al riesgo.
Disposiciones adicionales
- Divulgación de incidentes de seguridad: Los fabricantes están obligados a revelar los incidentes de seguridad a las autoridades pertinentes, lo que permite respuestas oportunas y coordinadas a las amenazas cibernéticas.
- Punto de contacto para los investigadores de seguridad: Los fabricantes deben proporcionar un punto de contacto designado para los investigadores de seguridad, facilitando la colaboración y fomentando prácticas responsables de divulgación de vulnerabilidades.
- Cooperación con las fuerzas del orden: Los fabricantes están obligados a cooperar con los organismos encargados de hacer cumplir la ley en la investigación de los ciberataques, lo que contribuye al enjuiciamiento eficaz de los ciberdelincuentes.
Impacto e implicaciones
- La Ley de Resiliencia Cibernética está preparada para tener un profundo impacto en el panorama de la ciberseguridad, provocando cambios significativos para fabricantes, distribuidores y consumidores.
Para Fabricantes:
- Postura de seguridad mejorada: La ley exige un enfoque integral de la seguridad, lo que obliga a los fabricantes a integrar la seguridad en cada etapa del desarrollo y mantenimiento del producto.
- Mayor transparencia: El requisito de etiquetado de seguridad requiere transparencia y rendición de cuentas, lo que fomenta la confianza entre los consumidores.
Para Distribuidores:
- Información y cumplimiento de los productos: Los distribuidores deben asegurarse de que los productos estén etiquetados con precisión y cumplan con los requisitos de la ley, lo que garantiza elecciones informadas de los consumidores y el cumplimiento de las normas reglamentarias.
Para Consumidores:
- Poder de decisión: Un etiquetado de seguridad claro permite a los consumidores elegir con conocimiento de causa en función de sus necesidades de seguridad y su tolerancia al riesgo.
- Mayor protección: El enfoque de la ley en las mejoras de seguridad y la gestión de vulnerabilidades se traduce en un entorno digital más seguro para los consumidores.
De conformidad con el texto de la CRA, los productos críticos con elementos digitales estarán sujetos a procedimientos específicos de evaluación de la conformidad y se dividirán en clase I y clase II, tal como se establece en el anexo III, en función de su nivel de riesgo de ciberseguridad. La clase II representará un riesgo mayor. Un producto con elementos digitales se considera crítico y, por tanto, se incluye en el anexo III teniendo en cuenta el impacto de las posibles vulnerabilidades de ciberseguridad incluidas en el producto con elementos digitales. La funcionalidad relacionada con la ciberseguridad del producto con elementos digitales y el uso previsto en entornos sensibles como un entorno industrial, entre otros, se tiene en cuenta en la determinación del riesgo de ciberseguridad. La siguiente figura muestra gráficamente esta clasificación.
En el anexo III se detallan los productos críticos de clase II pertinentes con elementos digitales, enumerados en el cuadro 2 y destacando los elementos clave de la tecnología operativa, en particular para las aplicaciones de automatización en el sector energético.
Tabla 1 Productos críticos de clase II con elementos digitales
Insrtar tabla
La CRA representa un importante paso adelante en la protección del mundo digital. Al establecer un marco integral para la ciberseguridad, la ley aborda el panorama cambiante de las amenazas cibernéticas y permite a los fabricantes, distribuidores y consumidores desempeñar un papel proactivo en la mejora de la resiliencia digital. Se espera que la implementación de la ley refuerce la confianza de los consumidores, fortalezca la economía digital y contribuya a un futuro digital más seguro y resiliente.
Entre los posibles candidatos a normas armonizadas o especificaciones comunes para CRA está la norma IEC 62443.
ALTER ha desarrollado una metodología propia de análisis y aplicación de la norma IEC 62443 para ofrecer sus servicios de ciberseguridad, que abarca todos los aspectos de ciberseguridad necesarios para entornos industriales y de usuario final. ALTER proporciona soluciones de extremo a extremo que aseguran la protección integral de la superficie de ataque, lo cual solo se logra con un profundo conocimiento de las necesidades de los servicios industriales, una visión global y especializada, y una innovación constante en ciberseguridad como factores clave.
La metodología consiste en confrontar el sistema o producto que se analiza, sus activos y vulnerabilidades, con las amenazas y vectores de ataque conocidos, obteniendo así un balance final del estado de ciberseguridad y planes de contingencia que se deben implementar para alcanzar los niveles objetivos de ciberseguridad.
Lo último en Normativas
Impacto del KDD en la certificación de dispositivos inteligentes
El KDD está transformando la certificación de dispositivos inteligentes, optimizando los procesos para asegurar calidad y cumplimiento normativo.
El KDD en la seguridad de datos para dispositivos conectados
El KDD mejora la seguridad de datos en dispositivos conectados al identificar patrones y anomalías que podrían indicar amenazas en el IoT.
Comprendiendo el KDD en la certificación de equipos electrónicos
El proceso de KDD -Knowledge Discovery in Databases- desempeña un papel crucial en la certificación de equipos electrónicos, mejorando su eficacia.