La Ley de resiliencia cibernética (CRA) introduce dos procedimientos de evaluación de conformidad distintos que los fabricantes deben seguir antes de colocar un producto con elementos digitales (PDE) en el mercado de la UE. Comprender qué procedimiento se aplica a su producto es una de las decisiones de cumplimiento más importantes que tomará.
Esta guía explica ambas rutas de conformidad, control interno y evaluación de terceros, en profundidad, incluidos los requisitos, la documentación, las expectativas de prueba, los plazos y los criterios que determinan su ruta de conformidad.
1. ¿Qué es una evaluación de conformidad bajo la CRA?
Una evaluación de conformidad es el proceso formal utilizado para verificar que un producto digital cumple con los requisitos esenciales de ciberseguridad en el Anexo I de la CRA. Incluye:
- Documentación técnica
- Diseño de seguridad y evidencia de arquitectura
- Procesos de manejo de vulnerabilidades
- Mecanismos de actualización seguros
- Planes de monitoreo post-comercialización
- Resultados de pruebas y validación
No se puede colocar un producto en el mercado de la UE sin completar una evaluación de conformidad.
2. Los dos procedimientos de evaluación de conformidad de la CRA
La CRA ofrece dos rutas:
- Control interno (autoevaluación): disponible solo para productos de clase predeterminada
- Evaluación de terceros (organismo notificado): obligatoria para productos de clase crítica
Su ruta de conformidad depende completamente de la clasificación de su producto.
3. Control interno (productos de clase predeterminada)
El control interno es un proceso de autoevaluación que permite a los fabricantes:
- Preparar documentación técnica internamente
- Realizar sus propias pruebas y validaciones
- Preparar una declaración de conformidad de la UE
- Colocar el marcado CE sin revisión externa
Esta ruta se aplica a los productos de clase predeterminada, que representan productos digitales de riesgo estándar.
3.1 Requisitos del control interno
Los fabricantes deben:
- Crear y mantener toda la documentación técnica requerida en el Anexo II
- Realizar pruebas de seguridad alineadas con el Anexo I
- Implementar mecanismos de actualización seguros
- Documentar los procedimientos de manejo de vulnerabilidades
- Preparar un plan de monitoreo posterior a la comercialización
- Compilar una Declaración de conformidad de la UE
Las autoridades pueden revisar esta documentación en cualquier momento.
3.2 ¿Quién puede usar el control interno?
Los productos que pertenecen a la clase predeterminada (es decir, que no cumplen ninguno de los criterios de la clase crítica) pueden usar esta ruta.
Algunos ejemplos son:
- Herramientas de desarrollo sin impacto directo en la seguridad
- Controladores integrados de propósito general
- Dispositivos IoT de consumo que no se utilizan en contextos críticos
- Aplicaciones de software que no interactúan con sistemas críticos
4. Evaluación de conformidad de terceros (productos de clase crítica)
Si su producto está clasificado como de clase crítica, debe someterse a una revisión completa por parte de un organismo notificado. Este es un proceso significativamente más riguroso.
4.1 Qué examina el organismo notificado
Un organismo notificado:
- Revisará la documentación de su arquitectura
- Revisará sus procesos de desarrollo seguro
- Realizará pruebas de penetración o verificará los resultados de sus pruebas
- Verificará la exactitud de su proceso de gestión de vulnerabilidades
- Validará su mecanismo de actualización segura
- Evaluará su diseño de monitoreo posterior a la comercialización
- Garantizará la cobertura de SBOM y el monitoreo de la cadena de suministro
- Evaluará las decisiones de gestión de riesgos
El organismo notificado puede solicitar revisiones o pruebas adicionales.
4.2 Cuándo es obligatoria la evaluación de terceros
Debe someterse a una evaluación de terceros si su producto se considera de clase crítica según el Anexo III. Esto incluye productos en los que:
- Las fallas de seguridad podrían interrumpir significativamente la infraestructura crítica
- El producto procesa datos altamente sensibles
- El producto administra control industrial o tecnología operativa
- El producto realiza funciones de seguridad de red o puerta de enlace
Si se aplica algún criterio de clase crítica, no se permite el control interno.
5. Comparación: Control interno vs. Evaluación de terceros
| Aspecto | Control interno | Evaluación de terceros |
|---|---|---|
| Elegibilidad | Solo productos de clase predeterminada | Solo productos de clase crítica |
| Documentación | Preparación propia | Revisado por organismo notificado |
| Pruebas | Se permiten pruebas internas | Se requieren pruebas o verificación externas |
| Cronograma | Semanas | Meses |
| Costo | Bajo | Alto |
| Riesgo regulatorio | Más alto, si la documentación es débil | Más bajo, debido a la validación externa |
6. Requisitos de documentación para la evaluación de conformidad
El Anexo II requiere que los fabricantes preparen una documentación extensa, que incluya:
- Arquitectura del producto
- Principios de diseño seguro
- Modelos de amenazas
- SBOM (Lista de materiales del software)
- Mecanismos de actualización
- Flujos de trabajo de manejo de vulnerabilidades
- Evidencia de pruebas de seguridad
- Plan de monitoreo posterior a la comercialización
Esta documentación debe mantenerse durante todo el período de soporte.
7. Pasos clave del proceso de evaluación de la conformidad
- Determine si su producto es de clase predeterminada o crítica
- Defina su ruta de conformidad (interna o de terceros)
- Prepare la documentación técnica del Anexo II
- Realice pruebas de seguridad y validación
- Documente todos los procesos y la evidencia
- Complete la Declaración de conformidad de la UE
- Coloque el marcado CE
- Mantenga la documentación para las autoridades
8. Errores comunes que se deben evitar
- Suponer incorrectamente que un producto es de clase predeterminada
- Evidencia faltante para la validación de actualizaciones
- SBOM incompleto o seguimiento de dependencias
- No documentar las pruebas de seguridad
- Planes de monitoreo posterior a la comercialización débiles
- No preparar evaluaciones de riesgos o modelos de amenazas
9. Cómo Regulus ayuda a los fabricantes
Regulus simplifica la conformidad con la CRA al proporcionar:
- Clasificación automática de clase predeterminada vs. crítica
- Selección de ruta de conformidad
- Plantillas de documentación del Anexo II
- Listas de verificación de pruebas y validación de seguridad
- Generación y monitoreo de SBOM
- Flujos de trabajo de monitoreo posterior a la comercialización
Comience por evaluar su producto: Verificador de aplicabilidad de la CRA
Conclusión
Elegir la ruta de evaluación de conformidad correcta es esencial para cumplir con los requisitos de la CRA. Los productos de clase predeterminada pueden usar control interno, pero los productos de clase crítica requieren validación de terceros de un organismo notificado. Preparar la documentación con anticipación y alinear sus prácticas de seguridad con el Anexo I garantiza un camino más sencillo hacia el cumplimiento.
Para obtener plantillas y orientación, visite nuestros Recursos de la CRA.
