Ley de Resiliencia Cibernética (CRA)
Su aliado en cada paso del camino
Comprensión de la CRA de la Unión Europea (UE)
La CRA tiene como objetivo proteger a los consumidores y las empresas de los crecientes riesgos en las vulnerabilidades de seguridad en nuestro mundo conectado. Establece las reglas para el diseño, desarrollo y producción de productos con elementos digitales, así como los procesos para el manejo de vulnerabilidades a lo largo del ciclo de vida del producto. TI participa activamente en la configuración y el seguimiento de los desarrollos de CRA, por lo que podemos ayudarlo a satisfacer los requisitos con confianza y llegar al mercado rápidamente con productos seguros y compatibles.
Alcance de la CRA
El Reglamento CRA de la UE [1] se aplica a los productos y componentes con elementos digitales puestos a disposición en el mercado de la UE, como cualquier hardware o producto de software que procese datos digitales y que esté destinado o se espere razonablemente que esté conectado a otro dispositivo o a una red.
Incluido en el ámbito de aplicación
Ejemplos de productos y componentes con elementos digitales:
Hardware:
- Sistemas de gestión de redes
- Electrodomésticos inteligentes
- Teléfonos móviles
- Microprocesadores y microcontroladores
Software:
- Sistemas operativos
- Software de código abierto
- Gestores de arranque
No incluido en ámbito de aplicación
- Vehículos de motor y sus sistemas: Reglamento (UE) 2019/2144
- Dispositivos médicos: Reglamento (UE) 2017/745
- Dispositivos de diagnóstico in vitro: Reglamento (UE) 2017/746
- IT, servicios en la nube, SaaS, etc. Directriz (UE) 2022/2555
- Equipos marinos: Directriz 2014/90/UE
- Aviación civil: Reglamento (UE) 2018/1139
- Seguridad nacional y defensa
Línea de tiempo de CRA
Requisitos de CRA
El Reglamento CRA se aplica a los productos y componentes con elementos digitales puestos a disposición en el mercado de la UE, como cualquier hardware o producto de software que procese datos digitales y que esté destinado o se espere razonablemente que esté conectado a otro dispositivo o a una red.
Requisitos del producto
1. Nivel adecuado de seguridad
2. Productos que se entregarán sin vulnerabilidad conocida
3. En función del riesgo y cuando aplique:
• Seguridad por defecto
• Habilitar las actualizaciones de seguridad adecuadas
• Protección contra el acceso no autorizado
• Confidencialidad e integridad de datos, comandos y programas
• Minimización de los datos
• Disponibilidad para características esenciales
• Minimizar el impacto negativo en otros dispositivos
• Limitar el ataque a las superficies
• Reducir el impacto de un incidente
• Grabar y monitorear los eventos de seguridad relevante
• Borrar y transferir de forma segura y permanente los datos y las configuraciones
Proceso de gestión de vulnerabilidades
• Identificar y documentar las dependencias y las vulnerabilidades, incluido SBOM
• Rastrear las vulnerabilidades
• Sin vulnerabilidades conocidas y con capacidad de abordar vulnerabilidades sin demora
• Probar la seguridad de un producto digital
• Divulgar públicamente información sobre vulnerabilidades corregidas
• Política de divulgación coordinada de vulnerabilidades
• Facilitar el intercambio de información sobre potenciales vulnerabilidades
• Los parches se entregan sin demora, de forma gratuita y acompañados de mensajes de asesoramiento
Información y etiquetado
• Marcado CE
• Declaración de conformidad de la UE
• Nombramiento de un representante autorizado y designación de un punto de contacto de seguridad
• Documentación técnica con la evaluación de riesgos de ciberseguridad
• Información sobre la disponibilidad de actualizaciones de seguridad
• SBOM que cubre las dependencias de nivel superior
• Documentación técnica que define el soporte y el período de soporte
• Archivo público de software con acceso a revisiones
• Proporcionar el conjunto de instrucciones para el usuario
• Identificación del producto
Nuestro compromiso con la ciberseguridad
Décadas de experiencia en seguridad
Tenemos una larga historia de desarrollo y venta de productos y en satisfacer las exigentes necesidades de seguridad de nuestros clientes.
Certificado por TÜV SÜD
Estamos certificados por TÜV SÜD para cumplir con la norma ISO/SAE 21434 de ciberseguridad automotriz
Supervisión cercana del desarrollo de la CRA
Supervisamos de cerca la implementación de la CRA y la publicación de sus normas con participación activa
Habilitación de informes de vulnerabilidades
Nuestro equipo de respuesta a incidentes de seguridad de productos (PSIRT) supervisa el proceso de aceptación y respuesta a los informes de potenciales vulnerabilidades de seguridad
Guiándolo a través del ciclo de su producto
Definición del producto
- Defina el uso del producto
- Defina la clase de CRA aplicable
- Evalúe los riesgos potenciales
Diseño y desarrollo
- Identifique las vulnerabilidades
- Cree una lista de materiales de software (SBOM)
- Proporcione documentación técnica de la CRA
Validación
- Evalúe la conformidad
- Mitigue cualquier vulnerabilidad existente
- Proporcione documentación técnica de la CRA
Despliegue
- Analice e informe continuamente de las vulnerabilidades a nuestro Equipo de respuesta a incidentes de seguridad de productos (PSIRT)
- Evalúe las potenciales vulnerabilidades
- Arregle las vulnerabilidades necesarias
Recursos
Referencias
1. Unión Europea. 20 de noviembre de 2025. “Reglamento: 2024/2847, EN, EUR-Lex”. Consultado el 1 de agosto de 2025.
2. Ley europea de Resiliencia Cibernética. n.d. “ Ley de Resiliencia Cibernética (CRA) | actualizaciones, cumplimiento, ”. Consultado el 1 de agosto de 2025.