Pilz proporciona información y consejos para la implementación - jurídicamente vinculante: qué pueden hacer hoy las empresas para anticiparse a la Ley de Ciberresiliencia

La Ley de Ciberresiliencia o Cyber Resilience Act (CRA) fue publicada recientemente en el Diario oficial de la UE. El Reglamento incluye requisitos relativos a la ciberseguridad de productos que contienen elementos digitales. Las empresas afectadas tienen ahora 36 meses de plazo para aplicar los requisitos contemplados en la CRA. En los próximos 21 meses deberán cumplirse ya determinadas obligaciones de notificación. ¿Quién está obligado exactamente? ¿Y qué requisitos exige la CRA?

Ley de la UE en materia de ciberresiliencia: el objetivo de la CRA es ofrecer a consumidores y empresas una protección más eficaz contra los ciberataques. La CRA abarca numerosos requisitos para fabricantes, importadores y distribuidores de productos con elementos digitales capaces de comunicarse con otros productos. Incluidos productos de hardware y software. En consecuencia, afecta tanto a productos del segmento B2C, como teléfonos inteligentes (smartphones) y robots aspiradores, como a productos del segmento B2B, como controles y sensores o productos de software puro, como sistemas operativos. La CRA se publicó en el Diario Oficial de la Unión Europea el 20.11.2024. Al tener carácter de Reglamento, esta ley es directamente aplicable en los Estados miembros de la UE.

Principales requisitos para fabricantes de máquinas

• Evaluación y responsabilidad de riesgos: los fabricantes deben diseñar y desarrollar los productos de forma que se garantice un nivel adecuado de ciberseguridad a lo largo de todo el ciclo de vida del producto.
• Gestión de vulnerabilidades: el fabricante deberá eliminar las vulnerabilidades conocidas mediante actualizaciones de seguridad gratuitas, salvo que entre el fabricante y el usuario comercial se acuerde otra cosa.
• Documentación: los fabricantes deben identificar y documentar las vulnerabilidades y los componentes de sus productos.
• Obligaciones de notificación: en un plazo de 24 horas tras la detección de una vulnerabilidad explotada, el fabricante deberá notificarlo a través de la plataforma de notificación de ENISA (Agencia de Ciberseguridad de la Unión Europea).

Qué pueden hacer ahora los fabricantes de máquinas

Como experto en automatización segura, Pilz recomienda a todos los fabricantes de máquinas que se anticipen a los requisitos del CRA y desarrollen conceptos de colaboración junto con los fabricantes de componentes y los operadores. ¿En qué segmento de la red tendrá que funcionar una máquina? ¿Cómo gestionar las actualizaciones de software? Aclarar estas cuestiones de antemano puede facilitar a todos los operadores económicos el cumplimiento de sus nuevas obligaciones organizativas y técnicas. Desde hace décadas, Pilz ayuda a los fabricantes y usuarios de máquinas a garantizar la seguridad de sus instalaciones y máquinas, también por lo que respecta a los nuevos requisitos en materia de protección industrial (Industrial Security). Porque, sin protección, una máquina, incluidas las medidas de seguridad adoptadas, es vulnerable y está expuesta a ataques. Deben tomarse medidas preventivas.

2 consejos prácticos con respecto a la implementación de los requisitos del CRA

1. Siempre al día: la suscripción a boletines y canales RSS en eur-lex.europa.eu le mantiene informado de los cambios legislativos en la UE.
2. El Marco Consultivo de Seguridad Común (CSAF) es un marco estandarizado de código abierto para la comunicación y distribución automatizada de información (avisos de seguridad) sobre vulnerabilidades y mitigación legible por máquinas.

• Encontrará más información sobre el tema de la protección industrial (Industrial Security) aquí