El contenido de este sitio web también está disponible en otros idiomas:
Alemán | Inglés | Francés | Italiano | Chino simplificado | Chino tradicional | Japonés
Estamos comprometidos con el cumplimiento de la CRA
Durante más de 35 años, Moxa ha diseñado soluciones para los entornos industriales más críticos y exigentes del mundo. Mucho antes de la Ley de Ciberresiliencia (CRA), ya estábamos comprometidos con las prácticas de ciberseguridad y fuimos de los primeros proveedores líderes en obtener la certificación IEC 62443-4-1, la norma de ciberseguridad industrial. Esta base demuestra que nuestro compromiso con los productos seguros, fiables y robustos siempre ha sido nuestra elección, y no una respuesta a la nueva legislación.
Seguridad sistemática
Nuestro SDL con certificación según IEC 62443-4-1 cumple los requisitos de la CRA.
Confianza demostrada
Proporcionar a los clientes las actualizaciones de seguridad y la gestión de vulnerabilidades adecuadas.
Soluciones preparadas para el futuro
Adaptación proactiva a las obligaciones reglamentarias y a la evolución de las normas de la UE.
Nuestra comprensión estratégica de la Ley de Ciberresiliencia
La Ley de Ciberresiliencia (CRA), definida en el Reglamento (UE) 2024/2847, es una norma legislativa de la UE que establece requisitos horizontales de ciberseguridad para los productos con elementos digitales (PwDE) comercializados en el mercado de la UE.
La CRA en pocas palabras
La CRA establece requisitos de ciberseguridad claros y horizontales para los productos con elementos digitales (PwDE) a lo largo de todo su ciclo de vida. Los fabricantes deben cumplir estos requisitos de seguridad para obtener el marcado CE, sin el cual no pueden comercializar productos en la UE.
En pocas palabras, los principales objetivos de la CRA son:
- Reforzar la resilencia del mercado digital europeo
- Aumentar la transparencia de la ciberseguridad para los usuarios
- Garantizar que los productos digitales (PwDE) tengan menos vulnerabilidades
Un análisis en profundidad de los requisitos de la CRA
Requisitos esenciales de ciberseguridad establecidos en el Anexo I:
A. Requisitos esenciales para las características del producto (parte I): desde el diseño hasta la producción, los fabricantes deben garantizar una ciberseguridad adecuada basada en la identificación de riesgos. Entre los requisitos clave figuran la seguridad desde el diseño/por defecto y el control de acceso.
B. Requisitos esenciales para la gestión de vulnerabilidades (parte II): los fabricantes deben garantizar que las vulnerabilidades se gestionen eficazmente durante todo el período de soporte.
Calendario y plazos de la CRA
El 10 de diciembre de 2024 entró en vigor el reglamento, iniciando una introducción progresiva de varios años. Una fecha intermedia clave es el 11 de septiembre de 2026, cuando los informes de vulnerabilidad pasan a ser obligatorios. Otro hito clave para su cumplimiento es el 11 de diciembre de 2027, cuando los productos incluidos en el ámbito de aplicación (PwDE) comercializados en la UE deben cumplir todos los requisitos de la CRA.
Aprovechar nuestra experiencia en OT y las prácticas de seguridad desde el diseño para sentar la base para la CRA
Nuestra sólida base se asienta sobre varios pilares fundamentales diseñados para cumplir los requisitos esenciales de seguridad de la CRA, aprovechando nuestra experiencia actual, incluido el marco de la norma IEC 62443.
Aprovechar las normas internacionales
Sabemos que la mejor manera de cumplir la normativa es utilizar marcos internacionales reconocidos. Nuestra estrategia se basa en los requisitos fundamentales de la Ley de Ciberresiliencia (CRA) y las normas europeas armonizadas.
- Conformidad con IEC 62443: nuestro proceso de desarrollo ciberseguro y nuestras especificaciones funcionales cumple las normas IEC 62443‑4‑1 y 4‑2, además de cubrir los requisitos de ciberseguridad fundamentales.
- Normas armonizadas: colaboramos activamente con organizaciones europeas (CEN/CENELEC/ETSI) para adoptar normas horizontales de ciberresiliencia general y normas verticales para productos específicos.
Adoptar una gestión segura del ciclo de vida
Aplicamos un enfoque independiente del proceso, basado en riesgos, para garantizar la aplicción de «seguro desde el diseño» a lo largo de todo el ciclo de vida del producto.
- Evaluación continua: los productos se someten a evaluaciones documentadas de riesgos de ciberseguridad en las fases de planificación, diseño, producción y mantenimiento.
- Seguridad de la cadena de suministro: ejercemos una diligencia estricta al integrar componentes de terceros y de código abierto para evitar comprometer la seguridad.
- Soporte sostenible: aseguramos mecanismos de actualización seguros, proporcionando a los usuarios actualizaciones de seguridad sin demora durante el período de soporte definido.
Gestión reactiva de vulnerabilidades
Para cumplir los requisitos de notificación temprana de incidentes de la CRA, contamos con un equipo PSIRT (Product Security Incident Response Team) que se encarga de la condiciones reales a largo plazo de los equipos industriales.
- Marcos globales: operamos conforme a las normas ISO 29147 (divulgación) e ISO 30111 (gestión), los mismos marcos de referencia adoptados por la CRA.
- Respuesta coordinada: utilizamos el FIRST Service Framework para gestionar de forma fiable las vulnerabilidades notificadas y emitir avisos.
- Enfoque a largo plazo: nuestros procesos dan soporte a equipos industriales que se espera que operen de forma segura durante décadas.
Controles de seguridad y documentación
Contamos con evidencias sólidas y auditables de nuestro enfoque en seguridad, y garantizamos de que nuestros productos incluyan características que permitan un funcionamiento seguro por parte de nuestros clientes.
- Transparencia para el usuario: los productos incluyen información clara sobre su uso, fechas de fin de asistencia y puntos de contacto para la notificación de vulnerabilidades.
- Defensa integrada: los dispositivos incorporan mecanismos de autenticación seguros, configuraciones predefinidas seguras y herramientas para la distribución adecuada de parches.
Preguntas frecuentes (selección)
La Ley de Ciberresiliencia (CRA) de la UE es un reglamento de la Unión Europea que establece requisitos obligatorios de ciberseguridad para todos los productos con elementos digitales (tanto hardware como software) que se venden en el mercado de la UE. Su objetivo es garantizar que estos productos mantengan un alto nivel de seguridad durante todo su ciclo de vida.
La CRA se aplica a todos los productos con elementos digitales, incluido el hardware (p. ej., smartphones, dispositivos IoT, routers) y el software (p. ej., sistemas operativos, aplicaciones, librerías de software), siempre que puedan conectarse directa o indirectamente a un dispositivo o red. El ámbito de aplicación excluye algunos productos ya cubiertos por otros reglamentos, como los productos sanitarios y los automóviles, así cómo los programas informáticos de código abierto desarrollados con fines no comerciales. El catálogo de dispositivos de comunicación industrial de Moxa entra en el ámbito de aplicación de la CRA y abarca categorías clave como routers industriales, switches Ethernet, dispositivos conversores serie y software de gestión de redes.
Los fabricantes deben realizar una evaluación de los riesgos de ciberseguridad antes de comercializar un producto, garantizar que el producto cumple los requisitos esenciales de ciberseguridad y proporcionar actualizaciones de seguridad y gestión de vulnerabilidades a lo largo del ciclo de vida del producto. También están obligados a preparar la documentación técnica, realizar una evaluación de la conformidad, colocar el marcado CE y notificar a las autoridades competentes las vulnerabilidades detectadas o los incidentes graves.
Las normas armonizadas CRA son normas europeas elaboradas por organismos europeos de normalización (OEN) reconocidos (CEN, CENELEC y ETSI), en concreto a petición de la Comisión Europea. Estas normas son cruciales para aplicar la Ley de Ciberresiliencia (CRA) porque traducen los requisitos esenciales de ciberseguridad establecidos en el Reglamento, en especificaciones técnicas detalladas. Los trabajos de normalización están en curso, sobre la base de las normas internacionales y europeas existentes. La disponibilidad de las normas horizontales está prevista para agosto de 2026, y la de las verticales para octubre de 2026. (Fuente: www.cencenelec.eu)
Los fabricantes deberán notificar las vulnerabilidades y los incidentes a partir del 11 de septiembre de 2026, y todos los demás requisitos de la CRA (incluido el cumplimiento previo a la comercialización) entrarán en vigor el 11 de diciembre de 2027.
Las empresas pueden ser multadas severamente si no se adhieren a la CRA. Para las infracciones más graves, las sanciones pueden alcanzar los 15 millones de euros o el 2,5 % del volumen de negocios anual total de la empresa en todo el mundo, según cuál sea la cifra más alta. Existen multas más bajas para otras infracciones.
Tanto la CRA como la Directiva NIS2 pretenden mejorar la ciberseguridad en Europa, pero sus enfoques difieren. La NIS2 hace hincapié en la seguridad de las redes y los sistemas de información para infraestructuras críticas y proveedores de servicios esenciales. La CRA se centra en garantizar la seguridad de los propios productos digitales y, para ello, incorpora requisitos de seguridad desde la fase de diseño.
Una lista de materiales de software (SBOM) es como la lista de ingredientes del software, en la que se detallan todos los componentes de software y las liberías utilizadas en un producto. La CRA exige a los fabricantes que creen una SBOM para facilitar la gestión de la vulnerabilidad, pero actualmente no obliga a hacerla pública. La SBOM completa debe ponerse a disposición de los organismos notificados y las autoridades de vigilancia del mercado que lo soliciten, para agilizar la implementación de la normativa.
