Si te dedicas al desarrollo o fabricación de dispositivos conectados, o Productos con Elementos Digitales (PDE) como se les conoce en la jerga comunitaria, la nueva Ley de Ciberresiliencia de la Unión Europea, o CRA por sus siglas en inglés (Cyber Resilience Act), va a marcar un antes y un después en tu día a día.
Esta normativa no es un mero trámite burocrático; busca elevar significativamente el listón de la ciberseguridad en todos los productos con componentes digitales que se comercialicen en el mercado único europeo.
¿Qué es la Ley de Ciberresiliencia (CRA) y por qué es importante?
En esencia, la CRA establece un conjunto de requisitos obligatorios para el diseño, desarrollo, producción y mantenimiento de los PDE. El objetivo principal es proteger a los consumidores y a las empresas de productos con vulnerabilidades de seguridad.
Esto implica que los fabricantes deberán adoptar un enfoque mucho más proactivo y responsable respecto a la seguridad de sus dispositivos, desde la concepción inicial hasta el final de su vida útil.
Las viejas prácticas que la CRA deja atrás
La CRA viene a cambiar algunas costumbres muy arraigadas en la industria, especialmente en el vertiginoso mundo del Internet de las Cosas (IoT).
Se acabó eludir responsabilidades en seguridad
Uno de los cambios más significativos es que los fabricantes ya no podrán “pasar la patata caliente” de la seguridad a los usuarios finales o esperar que sus proveedores se hagan cargo de las vulnerabilidades.
Si desarrollas y comercializas un producto, la ley te considerará probablemente como fabricante, lo que conlleva un mayor nivel de exigencia en la evaluación de la conformidad y en los requisitos de ciberseguridad del producto. Si no quieres asumir esta carga, deberás buscar un proveedor que sí esté dispuesto a hacerlo.
La documentación ya no es un salvoconducto (ni opcional)
Aquello de detallar una vulnerabilidad en la página 87 del manual y esperar que el usuario la encuentre y actúe en consecuencia ya no será suficiente. La CRA exige que las vulnerabilidades se parcheen.
Además, los requisitos sobre la documentación se endurecen: debe ser clara, accesible y detallada. Como mínimo, deberás tener disponible para el público y las autoridades de la UE:
- Una descripción del proceso de diseño, desarrollo y gestión de vulnerabilidades.
- Una evaluación de los riesgos de ciberseguridad.
- Un listado de los estándares armonizados de ciberseguridad de la UE que cumple el producto.
- Una Declaración de Conformidad de la UE firmada.
- Una Lista de Materiales de Software (SBOM) que documente los componentes y vulnerabilidades del producto, en formato legible por máquinas.
Las “intenciones” de diseño ya no valen como excusa
No podrás defender fallos o vulnerabilidades evidentes como decisiones de diseño intencionadas si estas implican un riesgo. Si tu dispositivo tiene puertos, funciones o características que podrían ser explotadas para acceder al dispositivo o conectarse a redes de forma insegura, deberás tomar medidas para mitigar esos riesgos.
Ciberseguridad integral
Muchos de los requisitos de la CRA simplemente formalizan prácticas de ciberseguridad que ya deberían considerarse estándares mínimos.
Fundamentos de seguridad que se vuelven obligatorios
Esto incluye no comercializar productos con vulnerabilidades conocidas, no esperar que los usuarios aseguren los dispositivos tras la compra, o no usar credenciales de administrador por defecto. Algunos de los elementos esenciales que tus productos deberán cumplir son:
- Seguridad por diseño: Deben ser lo más seguros posible, minimizando las superficies de ataque y aplicando técnicas de endurecimiento (hardening).
- Protección de datos: La información almacenada o transmitida debe estar cifrada o protegida para prevenir accesos no autorizados.
- Resiliencia: El dispositivo debe seguir funcionando incluso bajo ataques (como los de denegación de servicio) y no debe interferir con otros dispositivos.
- Monitorización y registro: Capacidad de registrar o monitorizar actividad relevante para la seguridad.
- Actualizaciones proactivas: El producto debe poder recibir actualizaciones de seguridad, incluyendo parches directos o remotos, notificaciones al usuario sobre actualizaciones, y la capacidad de revertir actualizaciones o restaurar el producto a su estado de fábrica.
Pasos prácticos para reforzar la seguridad de los PDE
Para asegurar que tus productos son robustos antes de llegar al mercado, considera implementar medidas como arquitecturas de Confianza Cero, asegurar la autenticación y el control de acceso, utilizar configuraciones seguras por defecto, minimizar la superficie de ataque desactivando componentes no esenciales, emplear criptografía robusta, validar todas las entradas de datos, asegurar cada componente y sus dependencias, y utilizar sistemas automatizados de parcheo.
El ciclo de vida del producto bajo la lupa de la CRA
La responsabilidad del fabricante no termina cuando el producto se vende.
Soporte post-lanzamiento: una obligación continua
La CRA pone un gran énfasis en la gestión de vulnerabilidades y el parcheo a lo largo de toda la vida útil del producto. Las actualizaciones deben ser gratuitas y distribuirse tan pronto como se descubran las vulnerabilidades, informando a los usuarios sobre las acciones que deben tomar.
Una vez aplicado un parche, se deberá divulgar públicamente la vulnerabilidad corregida. Además, durante un periodo máximo de 5 años (o la vida útil del producto, lo que sea menor), estarás obligado a retirar productos que no cumplan con los estándares de conformidad.
Transparencia en la cadena de suministro: el auge del SBOM
Incluso si no te clasificas como fabricante principal, deberás pensar como tal en lo referente a tu cadena de suministro de software. La CRA introduce nuevos requisitos de documentación y transparencia, incluyendo la ya mencionada Lista de Materiales de Software (SBOM). Esto implica consumir software de fuentes abiertas fiables o de proveedores de confianza. Es recomendable elegir proveedores que asuman la responsabilidad de fabricante para sus componentes y puedan certificar su cadena de suministro.
Resumen
En resumen, la Ley de Ciberresiliencia de la UE implica un cambio profundo. Se acabaron los días de esconderse tras documentación confusa, eludir responsabilidades o lanzar dispositivos sin soporte. Al intensificar la seguridad de tus productos, consumir componentes de confianza y ser transparente, podrás afrontar estos nuevos requisitos y asegurar tu acceso al mercado de la UE.