Cabecera blog ciberseguridad

Reglamento CRA: Incrementar la seguridad del software y el hardware que empleamos

- Ciber 4 All Team

El reglamento CRA es una norma europea que impone obligaciones a los fabricantes de software y hardware

El reglamento CRA impone a fabricantes, importadores y distribuidores obligaciones para garantizar que el software y hardware que se comercializa en la UE es seguro

¿Se puede hackear el monitor que usa un padre o una madre para vigilar a su bebé mientras duerme plácidamente en su cuna? ¿Y los juguetes conectados a internet? La Unión Europea viene de aprobar el Reglamento de Ciberresiliencia, conocido popularmente como reglamento CRA (Cyber Resilience Act), una norma pionera que establece los requisitos de seguridad que deben cumplir el software y el hardware que se comercialice en la UE.

El reglamento CRA tiene como objetivos:

  • Garantizar la ciberseguridad de los cientos de miles de productos con elementos digitales que emplean la ciudadanía y las empresas en su día a día.
  • Establecer requisitos de ciberseguridad desde el diseño para los productos digitales.
  • Fortalecer la seguridad de los productos durante todo su ciclo de vida, incluyendo la gestión de vulnerabilidades que les puedan afectar.
  • Incrementar la capacidad de vigilancia y supervisión del software y el hardware que se emplea en la UE.
  • Ofrecer garantías a los usuarios de productos digitales sobre el cumplimiento de los requisitos de ciberseguridad a través del marcado CE.

A continuación, analizamos las claves del reglamento CRA que deben tener en cuenta los fabricantes, importadores y distribuidores de hardware y software en la UE para cumplir con la normativa y eludir cuantiosas sanciones.

1. ¿Qué productos se incluyen en el reglamento CRA?

Deben cumplir los requisitos de seguridad recogidos en el reglamento CRA los:

  • Productos con elementos digitales:
    • Programas informáticos.
    • Equipos informáticos.
    • Soluciones de procesamiento de datos en remoto.
  • Que en su uso cotidiano vayan a tener una conexión de datos con un dispositivo o a una red.

Sin embargo, la norma establece excepciones a la hora de definir su ámbito de aplicación. De tal manera que los productos digitales de algunos ámbitos seguirán regulándose por sus normas específicas:

  • Productos sanitarios y productos para diagnóstico in vitro.
  • Vehículos de motor.
  • Aviación.
  • Equipos marinos.
  • Elementos digitales con fines de seguridad nacional, defensa o tratamiento de información clasificada.

Asimismo, dentro de los productos que sí deben cumplir los requisitos de seguridad del reglamento, la norma establece dos categorías especiales: los productos importantes y los críticos. Estos productos deben someterse a un proceso de evaluación de su conformidad con el reglamento CRA más exigente que aquellos que productos que no entren en estas categorías.

1.1. Productos importantes

El reglamento CRA lista más de 20 productos importantes con elementos digitales, divididos en dos grandes grupos:

  • Clase I:
    • Sistemas de gestión de la identidad y software y hardware de gestión de accesos, como los lectores biométricos o de autenticación.
    • Navegadores, ya sean independientes o integrados.
    • Gestores de contraseñas.
    • Software empleado para detectar, eliminar o contener malware.
    • VPNs.
    • Sistemas de gestión de redes.
    • SIEM.
    • Gestores de arranque.
    • Software de emisión de certificados digitales.
    • Interfaces de red.
    • Sistemas operativos.
    • Routers y switchs.
    • Enrutadores, módems e interruptores.
    • Microprocesadores y microcontroladores que llevan a cabo funciones de seguridad.
    • ASIC y FPGA.
    • Asistentes virtuales para hogares inteligentes.
    • Dispositivos IoT para hogares que cumplen funciones de seguridad como cerraduras, cámaras o sistemas de vigilancia de bebés.
    • Juguetes conectados a internet que realicen funciones de índole social como hablar o que permitan hacer un seguimiento de su localización.
    • Productos que se puedan colocar en el cuerpo con fines de seguimiento médico o destinados a niños.
  • Clase II:
    • Hipervisores y sistemas de ejecución de contenedores que se puedan emplear para ejecutar de manera virtualizada sistemas operativos.
    • Cortafuegos y sistemas para prevenir y detectar intrusiones.
    • Microprocesadores y microcontroladores resistentes a las manipulaciones.

1.2. Productos críticos

Asimismo, el reglamento CRA también fija tres productos digitales críticos:

  • Dispositivos de equipos informáticos con cajas de seguridad.
  • Pasarelas de contadores eléctricos inteligentes y otros dispositivos de seguridad avanzada, como aquellos que llevan a cabo el procesamiento seguro de criptoactivos.
  • Tarjetas inteligentes o dispositivos similares con elementos de seguridad.

El reglamento CRA afecta a la práctica totalidad de los productos con elementos digitales

2. ¿Cuáles son las principales obligaciones de los fabricantes de hardware y software?

El reglamento CRA establece una serie de obligaciones a los fabricantes, importadores y distribuidores de los productos digitales en la Unión Europea.

En el caso concreto de los fabricantes de hardware y software, se establecen un amplio abanico de obligaciones. Las 25 primeras están relacionadas con los productos, mientras que el resto son obligaciones de índole informativa.

2.1. Evaluación continua y notificación inmediata

Así, entre los múltiples deberes de los fabricantes podemos destacar:

  • Garantizar que los productos han sido diseñados, desarrollados y producidos cumpliendo con los requisitos esenciales de ciberseguridad del reglamento CRA.
  • Evaluar los riesgos de ciberseguridad de un producto y tener en cuenta sus resultados desde el diseño y durante todo su ciclo de vida para reducir riesgos y prevenir incidentes.
  • Emplear la evaluación de riesgos de ciberseguridad para determinar qué requisitos de ciberseguridad afectan al producto y, por ende, han de cumplirse.
  • Actualizar la evaluación de riesgos de manera periódica e incluir información sobre vulnerabilidades conocidas.
  • Actuar con diligencia al integrar componentes de terceros y de código abierto de cara a evitar ataques de cadena de suministro. Así como notificar cualquier vulnerabilidad detectada en estos componentes.
  • Gestionar las vulnerabilidades del producto durante su vida útil o como mínimo durante 5 años, y ofrecer las actualizaciones y parches de seguridad pertinentes.
  • Elaborar y mantener la documentación técnica y la declaración UE de conformidad a disposición de las autoridades públicas durante al menos 10 años.
  • Notificar al CSIRT de cada país y a la ENISA sobre «cualquier vulnerabilidad explotada activamente presente en el producto con elementos digitales de la que tengan conocimiento». Igualmente, debe informarse sobre incidentes graves que menoscaben la seguridad de un producto.
  • Informar a los usuarios que se puedan ver afectados por vulnerabilidades explotadas activamente o incidentes de seguridad graves, incluyendo las medidas que pueden poner en marcha para reducir los riesgos y mitigar las consecuencias de la explotación de una vulnerabilidad o un incidente de seguridad.

2.2. Importadores y distribuidores también deben cumplir con el reglamento CRA

Igualmente, el reglamento CRA impone a los importadores la obligación de introducir en el mercado europeo solo productos que hayan cumplido los requisitos esenciales de ciberseguridad y asegurarse de que los fabricantes los han evaluado de manera correcta.

Mientras que los distribuidores deben cerciorarse de que los productos llevan el marcado CE y que los fabricantes e importadores han cumplido todas sus obligaciones relacionadas con la documentación técnica de los productos y la información a los usuarios.

Tanto importadores como distribuidores deben informar al fabricante si tienen constancia de una vulnerabilidad y si supone un riesgo significativo han de ponerlo en conocimiento de las autoridades. Igualmente, en caso de que sospechen de que un producto no cumple con las obligaciones del reglamento CRA también han de asegurarse de que se ponga en conformidad con el reglamento y, de no ser así, retirarlo del mercado o no distribuirlo.

3. ¿Qué requisitos esenciales de ciberseguridad deben cumplir los productos?

A lo largo de esta guía sobre el reglamento CRA hemos hecho referencia en varias ocasiones a los requisitos esenciales de ciberseguridad. Esto se debe a que los requisitos son la piedra angular de la norma.

Así, el reglamento CRA establece dos tipos de requisitos: los que están relacionados con las propiedades del software y el hardware y los vinculados a la gestión de vulnerabilidades.

3.1. Requisitos de las propiedades de los productos

En primer lugar, la norma europea dicta que todos los productos con elementos digitales deben diseñarse, desarrollarse y producirse de manera segura. De tal forma que se pueda garantizar un nivel de ciberseguridad adecuado teniendo en cuenta los riesgos y a lo largo de todo su ciclo de vida.

Esto se traduce en que los productos digitales deben cumplir una serie de requisitos en función de las evaluaciones de riesgos de ciberseguridad realizadas por los fabricantes. Dichos requisitos han sido diseñados para cubrir 11 cuestiones críticas de los productos digitales y la seguridad de las personas y las empresas que los emplean:

  1. Salida al mercado de los productos. Se debe garantizar que no presentan vulnerabilidades conocidas que puedan ser explotadas por actores maliciosos y que cuentan con una configuración segura por defecto.
  2. Actualizaciones de seguridad automáticas y gratuitas.
  3. Mecanismos de control de acceso para evitar y gestionar accesos no autorizados.
  4. Protección de datos personales y la minimización de datos a la hora de tratarlos.
  5. Integridad de los datos, del software y su configuración.
  6. Disponibilidad de las funciones esenciales y básicas de los productos incluso cuando se produzca un incidente de seguridad.
  7. Minimización del impacto de los productos en la disponibilidad de los servicios prestados por otros dispositivos o redes.
  8. Limitación de la superficie de ataque.
  9. Mecanismos para reducir el impacto de los incidentes de seguridad.
  10. Registro de la actividad interna.
  11. Vías para permitir que los usuarios eliminen o transfieran datos de manera segura.

3.2. Requisitos de gestión de vulnerabilidades

Más allá de las propiedades del software y el hardware, el reglamento CRA también impone diversos requisitos a los fabricantes que giran en torno a la gestión de vulnerabilidades. Así, están obligados a:

  • Identificar y documentar las vulnerabilidades presentes en algún componente de sus productos.
  • Mitigar las vulnerabilidades con la máxima celeridad, desarrollando y distribuyendo actualizaciones de seguridad e informando públicamente sobre las vulnerabilidades solucionadas y los productos afectados.
  • Disponer de una política de divulgación de vulnerabilidades y facilitar el intercambio de información sobre ellas.
  • Realizar auditorías de seguridad de los productos de manera periódica.

La Unión Europea continúa creando un marco de ciberseguridad común

4. ¿Cómo es el mecanismo de validación de la conformidad de los productos con los requisitos del reglamento CRA?

La normativa contempla un proceso de validación de la conformidad que incluye la elaboración de la documentación técnica de los productos, la realización de evaluaciones, la presentación de una declaración de conformidad y la incorporación de un marcado CE. Así, los fabricantes deben:

  1. Elaborar la documentación técnica en la que se especifiquen todos los medios empleados para garantizar que el producto y el proceso de gestión de vulnerabilidades cumplen los requisitos esenciales del reglamento CRA.
  2. Realizar una evaluación de conformidad tanto del producto como de los procesos para gestionar las vulnerabilidades. Esta evaluación tiene como objetivo comprobar que se cumplen todos los requisitos esenciales y podrán realizarla los organismos de evaluación de conformidad que cumplan los requisitos fijados por el reglamento CRA. Para realizar esta evaluación se contemplan varios tipos de procedimientos que se definen en los anexos de la norma:
    • Procedimiento de control interno (autoevaluación).
    • Examen de tipo UE y evaluación de la conformidad basada en el control interno de la producción.
    • Evaluación de seguridad basada en el aseguramiento de calidad total.
    • Esquema europeo de certificación de la ciberseguridad que debe ser creado por la Comisión Europea.
  3. En el caso de que el producto esté clasificado como crítico o importante, presentación de la declaración UE de conformidad a un organismo notificado. En dicho documento se hacen constar las características del producto y se garantiza que cumple con los requisitos esenciales de ciberseguridad. Además, también debe describirse el procedimiento de evaluación de conformidad llevado a cabo. De esta manera, los fabricantes asumen la responsabilidad de que los productos son conformes al reglamento.
  4. Incorporación al hardware y al software del marcado CE antes de que salga al mercado y de tal manera que resulte visible para todos los usuarios.

5. ¿A qué sanciones se exponen las empresas que no cumplan con el reglamento CRA?

Como resulta evidente, los fabricantes, los importadores y los distribuidores que incumplan el reglamento CRA se exponen a cuantiosas multas. La norma encomienda el diseño del régimen de sanciones a los estados, pero establece un marco de sanciones común para toda la UE:

  • Si no se cumplen los requisitos esenciales y las obligaciones de los fabricantes, estos se enfrentan a multas de hasta 15 millones de euros o el 2,5% del volumen de negocio anual de la empresa si dicha cifra es superior.
  • Si los importadores y distribuidores incumplen sus obligaciones han de hacer frente a sanciones máximas de hasta 10 millones de euros o el 2% del volumen de negocio total de la empresa.
  • Incumplir los artículos relacionados con la declaración UE de conformidad, la colocación del marcado CE, la documentación técnica, los procedimientos de evaluación de la conformidad y los organismos notificados puede suponer, igualmente, la imposición de multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocio a nivel mundial.
  • Presentar información incompleta o incorrecta a los organismos encargados de comprobar la conformidad de los productos y a las autoridades de vigilancia puede acarrear multas de hasta 5 millones de euros o un 1% del volumen de negocio global de la empresa.

Si bien, el reglamento CRA establece una excepción: las microempresas no podrán ser sancionadas por incumplimientos a la hora de no cumplir los plazos de notificación de la alerta temprana de una vulnerabilidad o de un incidente de seguridad.

Faltan menos de 3 años para que se comience a aplicar el reglamento CRA en su totalidad

6. ¿Cuándo comenzará a aplicarse el reglamento CRA?

Si bien el reglamento CRA fue aprobado definitivamente en octubre y ya se encuentra en vigor, su aplicabilidad no es inmediata. Así, la norma, contempla tres plazos a partir de los cuales sus disposiciones son de obligado cumplimiento:

  • A partir del 11 de junio de 2026 serán aplicables las normas del capítulo IV, en el que se regulan las obligaciones de las autoridades de notificación y los organismos de evaluación de la conformidad.
  • Desde el 11 de septiembre de 2026, deberán cumplirse las obligaciones de los fabricantes de productos con elementos digitales en materia de información y notificación a autoridades de vigilancia y usuarios afectados por una vulnerabilidad o un incidente grave.
  • El resto de artículos serán de aplicación en toda la UE desde el 11 de diciembre de 2027.

Por lo tanto, los fabricantes de software y hardware deben estar preparados para cumplir sus obligaciones de índole informativa en menos de dos años e implementar todas las medidas para garantizar la seguridad desde el diseño de sus productos en menos de tres años.

7. ¿Qué papel juegan los servicios de ciberseguridad en el cumplimiento del reglamento CRA?

Habida cuenta de los requisitos y obligaciones que hemos expuesto, resulta evidente que los servicios de ciberseguridad juegan un papel crítico en el cumplimiento del reglamento CRA:

7.1. Evaluaciones de riesgos y auditorías de seguridad

Los fabricantes están obligados a analizar los riesgos a los que están expuestos sus productos de manera continua de ahí que sea imprescindible que lleven a cabo una evaluación de riesgos de seguridad periódicamente.

Además, también deben realizar auditorías de seguridad para comprobar que se cumplen todos los requisitos esenciales del reglamento CRA y que los productos mantienen un nivel de ciberseguridad óptimo.

7.2. Gestión de vulnerabilidades

Como hemos apuntado, muchos de los requisitos de ciberseguridad giran en torno a la gestión de vulnerabilidades.

Por eso, es de vital importancia que los fabricantes de software y hardware cuenten con servicios de gestión de vulnerabilidades experimentados. Estos profesionales disponen de los conocimientos necesarios para detectar vulnerabilidades y priorizar su mitigación en función de la probabilidad de explotación y del impacto que puedan tener en el producto y sus funciones esenciales.

Llevar a cabo una gestión de vulnerabilidades eficiente y continua es crítico a la hora de garantizar que los productos tienen un nivel de seguridad adecuado.

7.3. Detección de vulnerabilidades emergentes

La explotación de vulnerabilidades de día cero es una de las grandes amenazas a las que tienen que hacer frente los fabricantes de productos digitales.

Por eso, los servicios de detección de vulnerabilidades emergentes son claves para actuar con la máxima celeridad cuando se descubre una vulnerabilidad y tomar medidas para mitigarla antes de que sea explotada con éxito.

7.4. Pruebas DoS

Uno de los requisitos de ciberseguridad del reglamento CRA es garantizar la disponibilidad de los productos incluso cuando se produzcan incidentes de seguridad.

Por eso, la propia norma establece que debe mejorarse la ciberresiliencia de los productos, sobre todo, ante ataques de denegación de servicio distribuido.

De ahí que los fabricantes de productos que pueden ser atacados mediante esta técnica deben someterlos a DoS test periódicos. Así, se puede comprobar si los productos son capaces de resistir frente a esta clase de ataques sin que sus funciones esenciales se vean afectadas.

En definitiva, el reglamento CRA impone a los fabricantes situar la ciberseguridad de los productos en el centro de sus estrategias e implementar un enfoque de seguridad desde el diseño y a lo largo de todo el ciclo de vida del software y el hardware.

Aunque pueda parecer que aún queda mucho tiempo para la aplicación del reglamento CRA, lo cierto es que las empresas que fabrican productos con elementos digitales deben contemplar ya los requisitos esenciales de ciberseguridad a la hora de diseñar, desarrollar y producir su software y hardware.