Carlos Vives, coordinador del Grupo de Trabajo de Ciberseguridad de AFME, participó como moderador de la mesa en la que se trataron los riesgos de la instalación de firmware malicioso en el equipo.
El pasado 23 de septiembre, se celebró el Workshop – Cyber Resilience Act and Horizontal Standards, organizado por UNE, que contó con la participación de la Asociación de Fabricantes de Material Eléctrico (AFME).
En la sesión de la tarde, Dinuy, empresa asociada de AFME, presentó el caso práctico de cómo aplicar la futura norma a un producto propio para realizar un análisis de riesgos de cumplimiento con los requisitos esenciales del Reglamento europeo de Ciber Resiliencia (CRA).
El Reglamento (UE) 2024/2847, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, denominado Cyber Resilience Act (CRA), fue publicado el 20 de noviembre de 2024.
Este Reglamento afecta a todos los productos comercializados cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red. Dado el gran impacto que tendrá en los productos desarrollados y fabricados por sus asociados, desde AFME se creó el Grupo de Trabajo de Ciberseguridad para hacer seguimiento del desarrollo normativo y legislativo del Reglamento europeo de Ciber Resiliencia.
Plazos clave del Reglamento europeo de Ciber Resiliencia
La fecha de aplicación de la CRA para los productos puestos en el mercado será el 11 de diciembre 2027, si bien a partir del 11 de septiembre del 2026, los fabricantes o comercializadores deberán informar ya sobre las vulnerabilidades de ciberseguridad que se detecten en sus productos.
En la actualidad, se está realizando un gran esfuerzo para el desarrollo de todo el conjunto de normas necesarias para la aplicación del Reglamento, entre las que destaca la norma de tipo horizontal, es decir, con afectación simultánea a varios aspectos del mismo, como realizar el análisis de riesgos de los trece requisitos esenciales del anexo I parte 1 de la CRA.
Angel D’Amato, experto en Ciberseguridad contratado por CEN como ponente de la CRA, presentó el estado de los trabajos de esta norma, explicando los objetivos y el método, basado en una serie de controles de seguridad para que las empresas puedan realizar dicho análisis. Estos controles se basan en las normas armonizadas de la serie EN 18031 para la presunción de conformidad de Acto Delegado de la directiva RED, incorporando controles adicionales.
Eva Susperregui, ingeniera de desarrollo en I+D de Dinuy, expuso el caso de uso que han preparado para su línea de interruptores horarios con comunicación por Bluetooth y programación mediante una app instalada en un teléfono móvil, gestionada desde una aplicación en la nube.
Participación de AFME
A continuación, a través de 10 mesas de trabajo, se analizó la aplicación de los diferentes controles de seguridad propuestos en la futura norma, centrándose cada una de las mismas en uno o dos de los riesgos detectados para el caso de uso. Carlos Vives, coordinador del Grupo de Trabajo de Ciberseguridad de AFME, participó como moderador de la mesa en la que se trataron los riesgos de la instalación de firmware malicioso en el equipo.
Finalmente, Carlos, junto a dos coordinadores más, valoraron brevemente la experiencia y trasladaron las conclusiones más destacadas de cada una de sus mesas de trabajo. Los datos recabados en esta jornada serán transmitidos al Grupo de Normalización de CEN-CENELEC, que está desarrollando la norma horizontal, para que sean tomados en consideración.
Cualquier empresa miembro de AFME interesada en participar en el Grupo de Ciberseguridad puede ponerse en contacto con Carlos Vives mediante el correo electrónico carlos.vives@afme.es.
