Este artículo se basa en la presentación de José Manuel Pulido (Director de Consultoría en jtsec, y empresa de Applus+) durante el seminario web sobre el esquema EUCC organizado por Applus+ Laboratories en octubre de 2024.
La Ley de Ciberresiliencia (CRA) es un marco normativo diseñado para aplicar requisitos obligatorios de ciberseguridad a todos los productos con elementos digitales dentro de la Unión Europea. Esta presentación explora los elementos clave de la CRA, su impacto en varias categorías de productos y cómo el esquema EUCC (certificación europea de ciberseguridad basada en criterios comunes) puede ayudar a cumplir los requisitos de la CRA.
Visión general de la Ley de Ciberresiliencia
La CRA se aplica a una amplia gama de productos, incluidos hardware, software, firmware y soluciones de procesamiento remoto de datos. Establece requisitos de ciberseguridad para garantizar la protección de la información y la seguridad de los productos con elementos digitales. La CRA impone obligaciones a los fabricantes, como la realización de evaluaciones de riesgos de ciberseguridad, el suministro de parches de seguridad y la notificación de vulnerabilidades.
Plazos y requisitos clave
La CRA fue adoptada por el Consejo de la Unión Europea en octubre de 2024 y comenzará a aplicarse en enero de 2028. El reglamento define los requisitos esenciales de seguridad, divididos en dos partes: funcionalidades y propiedades de seguridad (Parte 1) y obligaciones del fabricante (Parte 2). Estos requisitos pretenden garantizar un nivel coherente de ciberseguridad en todos los productos con elementos digitales.
Categorías de productos y evaluación de la conformidad
La CRA clasifica los productos en categorías críticas, importantes (Clase 1 y Clase 2) y por defecto (no importantes y no críticos). Los métodos de evaluación de la conformidad varían en función de la criticidad del producto. Para los productos críticos e importantes, los métodos de evaluación incluyen métodos de evaluación NLF a través del Módulo B más el Módulo C, y la garantía de calidad total a través del Módulo H. La autoevaluación sólo es posible para los productos no críticos y no importantes. La CRA también introduce el concepto de presunción de conformidad, según el cual los productos certificados con arreglo a un sistema europeo de certificación de la ciberseguridad, como la EUCC, pueden presumirse conformes a los requisitos de la CRA.
Adaptación de la EUCC a los requisitos de la CRA
El sistema EUCC, basado en criterios comunes, puede ayudar a cumplir los requisitos de la CRA a través de sus requisitos funcionales de seguridad (SFR) y sus requisitos de garantía de seguridad (SAR). Al establecer una equivalencia entre los requisitos de la EUCC y los de la CRA, los fabricantes pueden demostrar el cumplimiento de la CRA mediante la certificación de la EUCC. Las obligaciones de gestión de vulnerabilidades y los procesos de gestión de parches de la EUCC también se alinean con los requisitos de la CRA.
Solventar las brechas y estrategias de aplicación
Para solventar las brechas entre las certificaciones existentes y los requisitos de la CRA, es posible que los fabricantes tengan que actualizar los objetivos de seguridad y los perfiles de protección. El esquema EUCC puede adaptarse para incluir nuevos SFR y SAR, garantizando el cumplimiento de la CRA. En el caso de los productos con soluciones de procesamiento de datos a distancia, pueden ser necesarios métodos de evaluación adicionales, como normas armonizadas. Para aquellos productos en los que el alcance de la evaluación EUCC sea menor que el producto completo, podría exigirse demostrar que la parte evaluada del TOE garantiza la seguridad del producto completo.
Panorama del sector y perfiles de protección
El sector de los Criterios Comunes está dominado por los perfiles de protección, y una parte significativa de las certificaciones cumple los PP. Los productos críticos e importantes, como las tarjetas inteligentes y los dispositivos de red, pueden beneficiarse de la certificación EUCC para cumplir los requisitos de CRA. En el caso de los productos no importantes, pueden diseñarse paquetes funcionales y paquetes de garantía para modelar la correspondencia entre los requisitos CRA y EUCC.
Desarrollos y retos futuros
La integración de la EUCC con la CRA es un proceso continuo, con esfuerzos para actualizar los perfiles de protección y desarrollar nuevos métodos de evaluación. El objetivo es evitar múltiples análisis de conformidad y garantizar un proceso de certificación racionalizado. El sector debe adaptarse a las nuevas normativas, manteniendo al mismo tiempo altos niveles de ciberseguridad.
En conclusión, la Ley de Ciberresiliencia representa un paso significativo hacia la mejora de la ciberseguridad en toda la Unión Europea. Al aprovechar el esquema EUCC, los fabricantes pueden garantizar el cumplimiento de los requisitos de la CRA, proporcionando un marco sólido para la certificación de productos digitales. Los esfuerzos en curso para armonizar las normas y actualizar los perfiles de protección desempeñarán un papel crucial en la consecución de este objetivo.
Descargar la presentación completa
Ver el vídeo completo
Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies.
Permiten el funcionamiento de la web, cargar contenido multimedia y proteger su seguridad. Consulta las cookies que almacenamos en nuestra Política de cookies.
Nos permiten conocer cómo interactúas con la web, el número de visitas en las diferentes secciones y establecer estadísticas para mejorar nuestras prácticas comerciales. Consulta las cookies que almacenamos en nuestra Política de cookies.