Sección en colaboración de Edgar Mora, Manager, Cybersecurity Center of Excellence Power & Water Solutions Emerson Automation Solutions & Fausto Bolaños, Project Security Specialist Emerson Automation Solutions

La regulación en el ámbito de la ciberseguridad se ha convertido en un tema crucial en la actualidad, especialmente con la creciente digitalización y la interconexión de sistemas. La Unión Europea ha tomado pasos importantes en este sentido, con la introducción del Cyber Resilience Act (CRA), un marco legislativo que establecerá requisitos obligatorios para las empresas en cuanto a la seguridad de los productos y servicios conectados a redes digitales. Esta legislación, que busca proteger las infraestructuras críticas y la integridad de los sistemas, tendrá un impacto significativo en todos los sectores, desde la manufactura hasta los proveedores de servicios digitales

El Cyber Resilience Act (CRA)

Descripción y alcance

El Cyber Resilience Act (CRA), propuesto por la Comisión Europea, establece requisitos rigurosos de ciberseguridad para los productos que se comercializan en la UE Este acto tiene un enfoque especialmente relevante para los dispositivos que están conectados a redes o que pueden ser utilizados para interactuar con otras tecnologías. En el contexto del CRA, los productos se clasificarán en tres categorías según su nivel de criticidad y los riesgos que representan:

Clase 1

Incluye dispositivos como sistemas operativos, software de seguridad, microprocesadores con funciones de seguridad, y productos de consumo conectados como dispositivos de “Smart Home”

Clase 2

Engloba tecnologías como hipervisores, firewalls y microprocesadores con capacidades avanzadas de protección

Clase Crítica

Esta categoría cubre dispositivos de alta seguridad como smartcards y sistemas que gestionan datos sensibles

El CRA exige que los productos sean seguros por defecto, lo que significa que deben estar diseñados para ser seguros sin necesidad de configuraciones adicionales También establece la obligación de actualizaciones automáticas para corregir vulnerabilidades, y la implementación de mecanismos de autenticación y encriptación de datos. Las empresas deberán garantizar que sus productos puedan manejar vulnerabilidades de manera efectiva, mantener una lista de proveedores actualizada y proporcionar información detallada sobre los productos, como la BOM (Bill of Materials) y las fechas de soporte

Penalizaciones y Sanciones

Uno de los aspectos más impactantes del CRA es el régimen de sanciones. Las empresas que no cumplan con los requisitos de ciberseguridad establecidos por la regulación podrían enfrentarse a multas significativas. Por ejemplo:

• Multas de hasta 15 millones de euros o el 2 5% de las ganancias anuales globales para aquellos que no cumplan con los requisitos básicos de seguridad.

• Multas de 10 millones de euros o el 2% de las ganancias globales por no cumplir con las obligaciones de importadores, distribuidores y la correcta documentación técnica.

• Multas de 5 millones de euros o el 1% de las ganancias globales por proporcionar información engañosa o incompleta a las autoridades de supervisión del mercado

Además, los productos que no cumplan con los estándares de ciberseguridad podrían ser retirados del mercado.

El Cyber Resilience Act (CRA), representa un cambio significativo en la forma en que las empresas en Europa deberán abordar la ciberseguridad. A través de la implementación de estrictos requisitos de seguridad, el CRA busca proteger no solo los datos, sino también la integridad y disponibilidad de los servicios críticos Las empresas deberán estar preparadas para cumplir con estas normativas, ya que las consecuencias de no hacerlo incluyen multas sustanciales y la posible retirada de productos del mercado. A medida que la implementación del CRA se acerque, las organizaciones deberán ajustar sus procesos y productos para cumplir con estas nuevas expectativas y fortalecer su resiliencia cibernética.