Cyber Resilience Act, la iniciativa europea para el futuro de la ciberseguridad en los productos digitales

Blog

15
- Sept
2022
Publicado por: Javier Tallón
[Investigación ciberseguridad]
Cyber Resilience Act, la iniciativa europea para el futuro de la ciberseguridad en los productos digitales

Hace ya muchos años que Europa lidera el panorama legislativo a nivel de ciberseguridad, sirviendo de ejemplo al resto de países de fuera de la Unión.

Diversas propuestas en estos años tales como la publicación de la GDPR (2016), Directiva NIS 1 (2017) y NIS2 (2022), el Cybersecurity Act (2019) o el 5G Toolbox (2020) refuerzan la postura de Europa como referente en el ámbito de la ciberseguridad.

¿Qué es el Cybersecurity Resilience Act (CRA)?

El CRA es una iniciativa que tiene por objeto garantizar que los vendedores establezcan las salvaguardas de ciberseguridad adecuadas en los productos digitales que venden. Al establecer requisitos de ciberseguridad antes y después de la comercialización de un producto, el CRA reforzará la seguridad y la resistencia de toda la cadena de suministro en beneficio de las empresas y los consumidores finales.

El Cybersecurity Resilience Act tiene como principal misión cubrir los vacíos existentes en la legislación mediante la creación de una legislación horizontal que defina los estándares de ciberseguridad europeos para productos y servicios digitales, ya que, actualmente, la legislación de la UE sobre productos específicos abarca, sobre todo, aspectos relacionados con la seguridad y aborda la ciberseguridad sólo de forma parcial.

Requisitos de ciberseguridad para fabricantes de productos digitales.

El CRA impondrá una serie de requisitos a los fabricantes de productos digitales que deseen comercializarlos en los países miembro de la Unión Europea.

Estos requisitos se dividirán en dos categorías principales: requisitos para los productos "ordinarios" (todos los que entran en el ámbito de aplicación de la CRA) y requisitos para los productos "sensibles" (los que se utilizan para manejar información secreta relacionada con la seguridad y la defensa nacionales).

Los requisitos para los productos ordinarios incluirán:

  • Seguridad por diseño y por defecto para todos los productos del ámbito de aplicación del reglamento.

  • Requisitos de ciberseguridad durante todo el ciclo de vida (antes y después de la comercialización del producto).

  • Gestión de las vulnerabilidades y (siempre que sea posible) aplicación de parches de seguridad..

  • Transparencia de la cadena de suministro de componentes de hardware o software.

  • Enumeración de los componentes de software.

  • Información al usuario final sobre el nivel de ciberseguridad del producto.

  • Requisitos de información de seguridad para cada producto.

  • Requisitos de soporte de seguridad posventa (probablemente limitados a un periodo de 5 años tras la comercialización).

    • ¿Qué productos son considerados en el CRA?

    Incluirá todos los productos digitales y productos auxiliares, entendiendo tanto software como hardware con fines comerciales, tal y como muestra el siguiente gráfico:

    Los productos que no se encuentran dentro del alcance de esta propuesta son:

  • Componentes pasivos (cables, adaptadores...)

  • Hardware y software de código abierto no vinculados a aplicaciones comerciales.

  • Software libre de código cerrado sin actividad económica.

  • Servicios en la nube (si no son servicios auxiliares).

  • Sitios web (HTTP) Sitios web "unidireccionales" que se centran principalmente en el suministro de información (como blogs, periódicos, publicidad de productos) tanto comerciales como gratuitos/de ocio.

    • Relación entre el CRA y los sistemas de certificación de la UE

    El framework de certificación de ciberseguridad de la UE se define en el Cybersercurity Act (CSA) como sistemas voluntarios. EL CRA no modificará el CSA ni en su contenido ni en su gobernanza. Ambas leyes están diseñadas para ser complementarias. De esta manera, se facilitará a las empresas a evaluar y certificar sus productos bajo los sistemas, esquemas y metodología europeos.

    La única novedad es que la Comisión Europea está estudiando la posibilidad de exigir, para la categoría de productos de mayor riesgo, la certificación obligatoria antes de su comercialización, utilizando los esquemas del Cybersecurity Act.

    Próximos pasos

    El CRA está siendo redactado por la Comisión Europea en la DG CNECT.H.2. después de una consulta pública sobre la propuesta en la que han podido contribuir diferentes organismos.

    Hoy se ha publicado formalmente la propuesta, por lo que el texto será enviado al Parlamento Europeo y al Consejo. Para el primer trimestre de 2024 se espera que haya un consenso y que se apruebe formalmente antes de que entre en vigencia.

    tags
    Javier Tallón/Director Técnico

    Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

    En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
    ÚLTIMAS ENTRADAS
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    Abril 23, 2024
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    jtsec - Nuestro LINCE 2023
    Febr 6, 2024
    jtsec - Nuestro LINCE 2023
    Les deseamos un feliz y ciberseguro 2024
    Dic 19, 2023
    Les deseamos un feliz y ciberseguro 2024
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Dic 14, 2023
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Cómo incluir tu producto o servicio en ENS ALTA.
    Oct 31, 2023
    Cómo incluir tu producto o servicio en ENS ALTA.
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    Sept 19, 2023
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    ENS & CPSTIC – Juntos somos más fuertes
    Ago 23, 2023
    ENS & CPSTIC – Juntos somos más fuertes
    Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
    Mayo 9, 2023
    Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
    jtsec obtiene la certificación ENS Alta.
    Mayo 1, 2023
    jtsec obtiene la certificación ENS Alta.
    Common Criteria Statistics Report para 2022
    Marzo 20, 2023
    Common Criteria Statistics Report para 2022
    CATEGORÍAS