La Ley de Ciberresiliencia o CRA (Cyber Resilience Act) de la UE añade nuevos requisitos a la ciberseguridad de los productos conectados, de ahí que los fabricantes deban afrontar nuevas obligaciones de carácter complejo. Cedric Vincent, Jefe del Software Technology Lab de Tria Technologies, ofrece un punto de vista centrado en el fabricante sobre la preparación de las empresas ante la nueva ley y analiza sus efectos para el futuro de los productos conectados.
La nueva Ley de Ciberresiliencia o CRA (Cyber Resilience Act) parece otro obstáculo regulatorio que deben asumir los ingenieros de diseño electrónico, pero este planteamiento sería un gran error.
No resulta exagerado afirmar que la CRA va a redefinir la manera de concebir, construir y mantener los sistemas digitales en todo el mundo. Pero los equipos encargados de la conformidad no son los únicos a los que concierne la complejidad de la nueva legislación, sino que la CRA va a marcar una diferencia fundamental para el diseño de los sistemas embebidos, los dispositivos IoT y la electrónica inteligente en todo el mundo.
Si entramos en cierto grado de detalle, el mayor cambio que introduce esta nueva ley de la UE es su enfoque hacia una “seguridad por diseño”. En otras palabras, los sistemas desarrollados por los ingenieros y los fabricantes deben incorporar la ciberseguridad desde un principio; ya no se puede añadir a posteriori. Otro factor clave es la preparación ante incidentes, lo cual significa que los diseñadores deben añadir a sus sistemas algunas funciones, como registro, diagnóstico y telemetría, para que las brechas de seguridad puedan ser detectadas al instante y notificadas en tiempo real. La telemetría es la recopilación y transmisión automática de los datos procedentes de sistemas, dispositivos o aplicaciones.
Niveles inadecuados
También es importante comprender que la CRA no es tan solo otro elemento legislativo cuyo fin es complicar la vida de los ingenieros de diseño, sino que existen razones fundamentales que explican su creación.
Según Comisión Europea (CE), la CRA solucionará “el nivel inadecuado de ciberseguridad en muchos productos y la falta de actualizaciones oportunas de la seguridad de los productos y el software”. También abordará las dificultades que afrontan los consumidores y las empresas en la actualidad cuando intentan determinar qué productos son ciberseguros.
El largo texto de la CRA señala que su finalidad es garantizar que los productos de hardware y software “se comercialicen con menos vulnerabilidades y que los fabricantes se tomen la seguridad en serio a lo largo del ciclo de vida de un producto”.
Quizás lo más importante es que esta ley impondrá unos requisitos de cumplimiento obligatorio sobre ciberseguridad a los fabricantes y los comerciantes en cada eslabón de la cadena de suministro, especialmente en la planificación, el diseño, el desarrollo y el mantenimiento de los productos. Esto significa que desde el suministrador de silicio hasta el producto final, todo tiene que cumplir la ley. Algunos productos ni siquiera se podrán vender en el mercado de la UE hasta que una entidad autorizada haya realizado una evaluación imparcial. Los fabricantes necesitarán saber si sus productos pertenecen a esta categoría.
Consecuencias futuras
Dicho en pocas palabras, las decisiones que tome hoy un ingeniero de diseño al crear sistemas embebidos podrían tener consecuencias legales y operativas mañana. También de tipo financiero, porque teniendo en cuenta que se acerca su plena entrada en vigor, los fabricantes han de ser conscientes de que su incumplimiento puede acarrear penalizaciones graves, establecidas actualmente en 15 millones de euros o el 2,5% de la facturación anual en todo el mundo. Se trata de un gran incentivo para que todo esté en orden antes de que entre en vigor la legislación.
Para los fabricantes que no lo sepan, las tres fechas importantes que han de tener en cuenta son: 11 de junio de 2026 para el registro de entidades evaluadoras; 11 de septiembre de 2026 para que los fabricantes notifiquen todas las vulnerabilidades; y 11 de diciembre de 2027, cuando entrará totalmente en vigor la CRA.
¿Están preocupados los fabricantes ante la nueva legislación? Desde luego. A algunos les preocupa que pueda reprimir la innovación, mientras que otros temen que algunas empresas pequeñas tengan dificultades para asumir el coste que implica cumplir esta compleja legislación. Son dos buenas razones por las que es imprescindible que los fabricantes a ajuste a todos los requisitos por lo que se refiere al cumplimiento de los nuevos criterios. Gastar todo ese tiempo y todo ese dinero en trabajar para lograr la conformidad y aun así verse luego penalizado por una multa considerable porque algún elemento infringe la ley es un doble contratiempo que todos querrán evitar.
Asesoría especializada
Desde el punto de vista de la fabricación, Tria ha estado trabajando con compañías de primer nivel en el sector como Qualcomm, NXP, Intel y Renesas. Nuestros esfuerzos se han centrado en garantizar que los productos de los clientes cumplan las exigencias de la CRA, y para ello hemos proporcionado asesoría especializada sobre los productos finales que pertenecen al ámbito de la CRA.
Al mismo tiempo, nos hemos asegurado de que los diseñadores y los fabricantes puedan acceder a las soluciones embebidas personalizadas y más avanzadas para sus productos.
Es primordial que los fabricantes no piensen que esta legislación solo afecta a Europa, sino que consiste en crear un entorno digital más seguro a escala global. También va mucho más allá de su mero cumplimiento ya que está relacionada nada menos que con la confianza en la ingeniería que constituye nuestro mundo digital.
Los fabricantes que adopten el cambio establecido por la CRA ahora estarán mejor posicionados para liderar en el futuro. Los fabricantes han de comprender que, al incorporar la ciberseguridad al ADN de todos sus productos conectados, no solo cumplen las exigencias legales sino que también suman un nuevo valor relevante para clientes, socios e incluso para la sociedad en general.
Los ciberataques son una plaga que aprovecha sin descanso las vulnerabilidades en las infraestructuras digitales globales y amenaza la integridad, la privacidad y la resiliencia de sistemas de los que dependen las personas a diario. La CRA es una pieza fundamental de la legislación y los fabricantes de todo el mundo tienen el deber de garantizar que sus productos la cumplan.
Más información en la página de Tria sobre la CRA: https://www.tria-technologies.com/cyber-resilience-act-tria/.







