El CRA y su impacto en los fabricantes industriales en España.

El CRA (Cybersecuirty Resilience Act) es una iniciativa legislativa de la UE diseñada para garantizar que los productos con elementos digitales sean seguros a lo largo de su ciclo de vida. El objetivo principal es reducir la exposición a ciber amenazas mediante requisitos claros para fabricantes, distribuidores y operadores de estos productos.

Según CRA, para ser seguros todos los dispositivos digitales deben cumplir una serie de principios, destacando

  • Cybersecurity by Design and by Default: Integrar medidas de seguridad desde la fase de diseño y garantizar configuraciones seguras por defecto.
  • Essential Cybersecurity and Vulnerability requirements management: es decir la gestión de los requisitos de ciberseguridad y el análisis de vulnerabilidad durante todo el ciclo de vida.

El incumplimiento de estas obligaciones puede acarrear multas significativas, subrayando la importancia de garantizar el cumplimiento desde las etapas iniciales del desarrollo de productos.

De cara a cumplir esos principios generales, CRA remite al cumplimiento específico de las normas que estén en vigor en cada ámbito de aplicación. La norma de ciberseguridad de aplicación en el entorno industrial es la IEC62443, que trataremos posteriormente. Asimismo, buscando la mayor claridad en su aplicación,  CRA categoriza los productos según su exposición y riesgo de ciberseguridad, y determina cómo dar garantías de cumplimiento.

  • Dispositivos no críticos: Pueden cumplir con la normativa mediante una autoevaluación y como resultado una declaración de conformidad.
  • Dispositivos críticos: Pueden ser clase I (riesgo bajo) o clase II (riesgo alto).  Los dispositivos clase I pueden ser evaluados por el fabricante y generar la correspondiente declaración de conformidad. Los de clase II requieren la intervención de una entidad certificadora independiente. Recomiendo lectura del Anexo III para una mejor comprensión de los criterios de clasificación.

IEC 62443: Implicaciones.

En el ámbito industrial, la norma IEC 62443 actuará entonces como el marco de referencia para cumplir con el CRA. Esta norma, extraordinariamente prolija y completa, proporciona un marco de trabajo específico para la gestión de la ciberseguridad en sistemas industriales. Sin entrar en detalles, quiero destacar algunas exigencias para la organización, por ejemplo, que desarrollen una cultura de la ciberseguridad. Este enfoque obliga a las empresas, independientemente de si sus productos son críticos o no, a demostrar que disponen de un ciclo de vida que integra la seguridad desde el origen, permeando a toda la organización. Otra interesante perspectiva es el concepto temporal del análisis de vulnerabilidades: Los dispositivos deben ser ciberseguros durante toda su vida útil. Sobre el papel es preciso disponer de un análisis y observación constante del mercado para responder a ataques presentes y futuros.

Cualquiera de estos aspectos como ejemplo nos aporta una idea del enorme impacto que supone para las organizaciones.

Impacto en la Industria

Parece que podemos estar ante una forzada Transformación Organizativa: la necesidad de adoptar una cultura de la ciberseguridad obligará a las empresas a reestructurar sus procesos de desarrollo y gestión.

Asimismo, se fuerza un Cumplimiento Proporcional: Aunque los dispositivos no críticos puedan optar por una autoevaluación, esto no reduce la necesidad de cumplir con los principios fundamentales del CRA y la IEC 62443. Y si los componentes son de alto riesgo, el modelo de desarrollo cambiará por completo.

La posición de los fabricantes empezará a ser juzgada por su declaración frente al cumplimiento del CRA, y esto formará parte muy rápido de la percepción de su calidad en el mercado.

Por último, aparecen Sanciones por Incumplimiento: Las multas previstas refuerzan la importancia de un cumplimiento riguroso y documentado.

Conclusión.

El Cyber Resilience Act y la norma IEC 62443 representan un cambio fundamental en la forma en que las empresas industriales deben abordar la ciberseguridad. Si bien su implementación implica retos significativos, también ofrece una oportunidad para diferenciarse en el mercado mediante la innovación segura y el cumplimiento normativo.

En un mundo donde la ciberseguridad ya no es opcional, sino una necesidad, garantizar el cumplimiento desde el diseño no solo protege a las empresas, sino que también las posiciona como líderes en un mercado cada vez más competitivo.

Desde SAFETWICE, la propuesta para trabajar esta nueva situación es clara:

En primer lugar, Análisis de cumplimiento: Evaluación del diseño y la configuración de sus dispositivos para asegurar que cumplen con los principios de cybersecurity by design and by default, y del entorno de desarrollo y su adaptación a las exigencias de la norma.

Dependiendo de la clase de dispositivo, procederemos a una Asesoría en autoevaluación, es decir guía en la preparación de documentación y procesos para dispositivos no críticos, o bien a la Preparación para certificaciones: Ayudamos a garantizar que sus productos cumplen con los requisitos exigidos para certificaciones independientes en caso de ser necesarios.

Sin olvidar la Vigilancia tecnológica que requiere el ciclo de vida de la ciberseguridad. Se deberá disponer de, o contratar un servicio que nos permita conocer la evolución del mercado industrial en este ámbito.

El enfoque global del proceso de desarrollo y validación será básico para integrar estas nuevas actividades; en SAFETWICE nos especializamos en esa integración. Contacta con nosotros si te interesa aclarar tus dudas.