¿Qué es la CRA y sus implicaciones industriales?

La CRA es el acrónimo que se corresponde con Cyber Resilience Act o la Ley de Ciberresiliencia) y se basa en la normativa de ciberseguridad de la Unión Europea. En concreto, está directamente ligada al Reglamento (UE) 2024/2847i, que establece los requisitos esenciales de ciberseguridad para productos con elementos digitales (hardware y software) a lo largo de todo su ciclo de vida.

El principal propósito es proteger a los consumidores, y las empresas, que compran productos de software o hardware con elementos digitales, introduciendo requisitos obligatorios de ciberseguridad, para los fabricantes, que abarcan desde la planificación, hasta el mantenimiento de dichos productos, incluyendo el diseño y su desarrollo. Estas obligaciones deben cumplirse en todas las etapas de la cadena de valor y su ciclo de vida, pues la CRA también requiere que los fabricantes manejen las vulnerabilidades durante el ciclo de vida de sus productos.

A nivel técnico, la normativa CRA se apoya o referencia esquemas como las normas de seguridad cibernética de la familia ISO/IEC 27000 y, en el ámbito industrial, está alineada con estándares como IEC 62443 (seguridad de sistemas de control industrial), que muchos fabricantes usan como base para demostrar conformidad.

Por último, y he aquí la cuestión ineludible, los productos llevarán el marcado CEii para indicar que cumplen los requisitos de la CRA, permitiendo que las autoridades nacionales de vigilancia del mercado garanticen el cumplimiento de las normas.

Por lo tanto, primer asunto a tener en cuenta, es que aquí, en la CRA, la ciberseguridad o seguridad de la información no va vinculada con la empresa (NIS2, ENS, DORA, …), sino vinculada con su producto y la opción de poderlo comercializar con la marca CE.

Por de pronto, implica que, desde la génesis de la conceptualización del producto, hay que tener en cuenta lo que se acuña como ciberseguridad “por diseño” (security‑by‑design y secure‑by‑default) y que no acaba con la venta o provisión del bien, sino que, a lo largo de la vida del producto, se tiene que disponer una gestión activa de las vulnerabilidades detectadas en el producto vigente y sus correspondientes actualizaciones de seguridad. Es decir, ya no vale aquello de disponer de una actitud reactiva garantista del producto, y habrá que implantar una proactiva de escucha, para informar y actuar, sobre la base instalada de productos. En resumen, el SAT de la empresa pasa a tener un mayor protagonismo en la empresa.

Todo ello implica que un concepto como “ciclo de vida”, que algunos llevamos años promoviendo, pasa a tener un sentido completo y no solo restringido a lo que comportaría el desarrollo, desde la conceptualización hasta la puesta en producción, del producto. También es relevante aquí que hay una substitución subyacente, pues, un “producto con elementos digitales”, se asimila más a un sistema, por las partes a manejar, que la histórica perspectiva mecano-electrónica de un clásico producto industrial. Y, como no, también subyacente, pero emergiendo con fuerza, el concepto de la servicialización, pues esa actitud proactiva, que el fabricante se verá obligado a establecer para escuchar atentamente a la base instalada, le moviliza a devenir más un prestador de servicios que un mero transaccionador de un bien.

El hecho es que la urgencia viene dada por los plazos, pues, aunque la CRA entró en vigor 10 de diciembre de 2024, las obligaciones principales de la CRA se aplican en dos hitos clave: las obligaciones de notificación de vulnerabilidades e incidentes desde el 11 de septiembre de 2026, y el resto de las obligaciones principales desde el 11 de diciembre de 2027.

Dados los plazos, desde Europa se está promoviendo la obligación con una serie de acciones divulgativas como, por ejemplo, las que los proyectos CYBERSTAND.euiii and STAN4CRA.euiv buscan para ayudar a comprender los requisitos de la CRA y sus implicaciones para las PYME, indicando qué normas son importantes y cómo se facilita el cumplimiento, además de cómo los relatores de la norma están trabajando sobre la normalización en curso.

Pero, en cualquier caso, la empresa debe empezar ya a hacer los deberes y activar su organización, de personas y procesos, para dar cumplimiento y, a pesar de que ya hay actores y protocolos, sobre todo hay que prepararse para el manifiesto de la Software Bill of Materials (SBOM) o Lista de Materiales de Software, pues el Anexo I del CRA dictamina que este manifiesto debe ser legible por máquina y estructurado bajo formatos y protocolos específicos, como los ya existentes CycloneDX, para identificar vulnerabilidades complejas y dependencias del sistema en tiempo real y SPDX para identificar componentes.

Es decir, aunque hay empresas que asesoran y acompañan, como Orbikv o Cyber Cert Labsvi y otras que auditan como DNV, lo relevante es cómo, internamente se va a tener que gestionar toda esa diligencia debida, sin que ello implique un esfuerzo adicional, desvinculado de la cadena de valor.

Para los que llevamos años bregando con la L del Lifecycle de las soluciones PLM, donde la BoM (Bill of Material) es el elemento central a gestionar, no nos inquieta ver que la adopción de la CRA vaya a ser algo desvinculado de la actividad industrial, con la salvedad de que ahora no será un aspecto diferencial, sino central, al tener que cumplir el mandato de “secure by design”, pero lo que sí será relevante, por su necesidad de incorporación, es que la CRA definirá los requisitos de cumplimiento y estos tendrán que estar bien elicitados, junto con el resto que aplican, a saber, los externos, vinculados con la clientela y los internos, vinculados con las operaciones.

De esta forma, técnicas con una cierta solera, como el V-modelvii, retoman el protagonismo, pues inducen a que el desarrollo de productos con elementos digitales, es decir, sistemas con componentes de software incrustado, estén diseñados y desarrollados con la orientación al cumplimiento de los requisitos, los que, por cierto, también irán evolucionando.

En resumen, si estabas dilatando la adopción de un desarrollo de producto gestionado a lo largo de todo su ciclo de vida y con una perspectiva integral, desde la función al cumplimiento, la CRA puede compelerte en convencer a tu dirección económica sobre la apropiado del momento.

i https://digital-strategy.ec.europa.eu/es/policies/cyber-resilience-act

ii https://single-market-economy.ec.europa.eu/single-market/ce-marking_en

iii https://cyberstand.eu/

iv https://www.stan4cra.eu/

v https://orbik-cybersecurity.com/

vi https://www.cybercertlabs.com/

vii https://es.wikipedia.org/wiki/M%C3%A9todo_en_V