A medida que la innovación digital acelera, salvaguardar la infraestructura cibernética se ha vuelto críticamente importante. La Ley de Ciberresiliencia (CRA, por sus siglas en inglés Cyber Resilience Act), una regulación de la UE que se aplicará completamente en 2027, tiene como objetivo lograr productos digitales con menos vulnerabilidades.
A diferencia de la Directiva NIS2, que se aplica a los servicios, la CRA se aplica a dispositivos, hardware y software, abarcando todos los productos con un elemento digital. En otras palabras, se aplica a productos con un microprocesador, microcontrolador, etc., que ejecutan cualquier tipo de software. Sin embargo, cada producto cae en una categoría, y aunque el conjunto de requisitos es aplicable por igual a todas las clases, cada clase será evaluada y certificada de manera diferente. Estas clases se definen considerando la gravedad del impacto de un incidente.
La clase «Default» permite a los fabricantes hacer una autoevaluación, y únicamente si se encuentra una vulnerabilidad, lo que se ha declarado será analizado. Aproximadamente el 90% de los productos caen en esta categoría, y ejemplos de productos en esta categoría incluyen altavoces inteligentes, procesadores de texto, juegos y edición de fotos. La Clase I incluye productos críticos, como gestores de contraseñas y cortafuegos (firewalls), que pueden cumplir con la legislación aplicando un estándar que define los requisitos de ciberseguridad o a través de un tercero. Los productos que conllevan un riesgo significativo de efectos adversos caen en la Clase II. Estos productos están sujetos a un procedimiento de evaluación de conformidad más estricto que requiere una evaluación de un tercero, como los sistemas operativos y los cortafuegos (firewalls) industriales. Las industrias fuera del alcance incluyen productos médicos, automotrices y de defensa/aviación, que ya están bajo otra regulación (como EU MDR-2 y UNECE R 155).
La CRA requerirá que los fabricantes sean responsables de la resiliencia en ciberseguridad de los productos colocados en el mercado de la UE durante todo el ciclo de vida, declarando detalles de la postura de ciberseguridad de sus productos, aumentando la transparencia. Todos los dispositivos aplicables deben ser lanzados al mercado sin vulnerabilidades explotables conocidas. Por lo tanto, para las vulnerabilidades no conocidas, no se aplicarán sanciones.
El alcance de la CRA incluye la documentación de seguridad (incluyendo la evaluación de riesgos, lista de materiales de hardware y software, y definición de postura para vulnerabilidades y brechas de seguridad), autenticación de dispositivos e identificación de dispositivos, control de acceso del dispositivo, integridad y confidencialidad de datos, y actualizaciones de productos (mecanismo de actualización OTA seguro) para reparar vulnerabilidades y entregar parches sin costo adicional.
Es importante que cada fabricante de dispositivos digitales lea la regulación y determine en qué categoría cae su producto, para determinar la estrategia requerida para cumplir con ella. Una vez definida, los fabricantes de dispositivos digitales pueden comenzar a trabajar en su evaluación de riesgos, documentación de seguridad e implementación de las medidas de seguridad adecuadas. Para cumplir con la CRA, los fabricantes pueden recurrir a soluciones de seguridad avanzadas ofrecidas por muchos líderes de la industria de semiconductores. Todos ellos ofrecen productos y servicios de seguridad que se alinean con los mandatos de la CRA.
