Ciberseguridad

La Normativa de Resiliencia Cibernética o Ley de Ciberresiliencia se basa en el Reglamento (UE) 2024/2847. Afecta a fabricantes, importadores y distribuidores de productos con funciones digitales — desde sistemas integrados y dispositivos conectados hasta productos de software y firmware. Esto significa que la normativa afecta a casi todas las empresas que ofrecen productos digitales en la UE, desde fabricantes de automatización industrial hasta proveedores de servicios en la nube.

La transparencia es especialmente importante aquí: la normativa exige documentación trazable, cadenas de suministro de software seguras y procesos de reporte claramente definidos.

Estos estándares no solo aumentan la seguridad, sino que también mejoran la previsibilidad para los operadores.

La normativa está en vigor desde el 11 de diciembre de 2024. La obligación de aplicarla comienza después del período de transición, lo que brinda a los fabricantes tiempo suficiente para adaptar sus productos, procesos de desarrollo y documentación.

• 20 de noviembre de 2024: Publicación del texto legal en el Diario Oficial de la UE
  La versión final de la CRA aparece en el Diario Oficial Europeo y queda oficialmente publicada.

• 11 de diciembre de 2024: Entrada en vigor de la Ley de Ciber resiliencia
  La Ley de Ciber resiliencia entra oficialmente en vigor. Los períodos de transición comienzan en esta fecha.

• 11 de septiembre de 2026: Reporte obligatorio de vulnerabilidades e incidentes de seguridad
  Las empresas deben informar ahora cualquier vulnerabilidad e incidente relacionado con la seguridad conforme a la normativa de la CRA

• 11 de diciembre de 2027: Cumplimiento obligatorio total de la CRA para nuevos productos
  A partir de esta fecha, todos los nuevos productos que se comercialicen deberán cumplir con todos los requisitos de la Ley de Ciber resiliencia.

Para los fabricantes, esto significa:

Los procesos de desarrollo, validación y seguridad deben adaptarse ahora. Los operadores también se benefician: los productos desarrollados conforme a la Ley de Ciberresiliencia reciben actualizaciones de seguridad, gestión de parches y evidencia documentada durante muchos años. Esto aumenta la ciberresiliencia general en los entornos de producción.

La normativa va deliberadamente más allá: no solo productos de alta seguridad o sistemas altamente críticos, sino casi todos los dispositivos digitales están sujetos a las reglas. Incluso las aplicaciones que se ejecutan localmente en un PC entran en los requisitos de la CRA si proporcionan funciones que procesan datos, utilizan interfaces o pueden conectarse en red. La CRA se aplica a casi todos los productos con elementos digitales, por ejemplo:

• Hardware con software integrado,
• Dispositivos conectados en red (por ejemplo, hardware IoT),
• Productos de software puro,
• Aplicaciones basadas en la nube o ejecutadas localmente.

El punto clave es que, en cuanto un producto tenga funciones digitales y se comercialice en el mercado de la UE, se aplican las regulaciones del CRA, lo que conlleva obligaciones en materia de seguridad, actualizaciones y gestión de vulnerabilidades.

El Reglamento de Ciberresiliencia de la UE (CRA) aumenta significativamente los requisitos de seguridad para los productos industriales. Como fabricante, nos estamos preparando intensamente para ello, para que usted, como cliente, pueda seguir confiando en soluciones de automatización seguras, conformes y preparadas para el futuro. Para los operadores, esto significa mayor seguridad en el día a día. Hoy en día, muchas empresas se enfrentan a ciberataques cada vez más frecuentes, que van desde paradas no planificadas de plantas hasta manipulaciones o filtraciones de datos no detectadas. El Reglamento de Ciberresiliencia eleva el nivel general de seguridad en el mercado. En el futuro, los productos sin ciberseguridad verificable ya no podrán comercializarse

* Aquí encontrará la Base de Datos de Vulnerabilidades de la Unión Europea (EUVD), donde se informan y documentan de forma centralizada las vulnerabilidades para la UE.

El Reglamento de Ciberresiliencia de la UE establece estándares de seguridad obligatorios para los productos industriales. Mitsubishi Electric se está preparando activamente para que muchos de nuestros productos de automatización cumplan con el CRA.

El Reglamento de Ciberresiliencia de la UE (CRA) establece estándares de seguridad obligatorios para los productos industriales. En Mitsubishi Electric, nos estamos preparando activamente para certificar una gran parte de nuestro portafolio de productos conforme a la norma IEC 67442-4-2.

Pronto proporcionaremos aquí información sobre cuáles de nuestros productos cumplen los requisitos de la norma y cuáles ya no podremos vender en el futuro debido a las nuevas regulaciones de ciberseguridad.

No todas las series de productos existentes serán totalmente compatibles con la normativa CRA. Una de las razones son las limitaciones técnicas, en particular las limitaciones de hardware y diseño de generaciones anteriores. Estas no siempre pueden adaptarse a los nuevos requisitos de seguridad. Para estas series, ofrecemos rutas claras de migración y soporte a largo plazo para que puedas modernizar tus sistemas de manera oportuna y predecible.

No hay desventajas para los operadores. Las piezas de repuesto seguirán disponibles y los procesos de servicio continuarán. Además, se ofrecen soluciones para actualizar gradualmente los sistemas y garantizar la seguridad del equipo. El Reglamento de Ciber resiliencia no obliga al mercado a realizar reemplazos abruptos, sino que establece una transición a largo plazo y predecible.

Con la Ley de Ciberresiliencia, la ciberseguridad se está convirtiendo en un criterio de calidad obligatorio para los productos con elementos digitales.

Los estándares de seguridad obligatorios están haciendo que el mercado sea más transparente. Las empresas que invierten desde el principio generan confianza y aumentan su competitividad. Los operadores prefieren productos que demuestren ser seguros y que incorporen mecanismos activos de ciberseguridad.

Para los fabricantes y proveedores, esto significa:

• Los productos que no cumplan con la Ley de Ciber resiliencia pueden perder su acceso al mercado o ser certificados con retraso.
• Los clientes prefieren productos con seguridad verificable y documentación clara.
• Las empresas que invierten pronto en desarrollo seguro y procesos de actualización aumentan su competitividad y reducen los riesgos relacionados con el tiempo de lanzamiento al mercado.

La cadena de suministro es una parte esencial de la producción moderna. Las bibliotecas de software, los paquetes de código abierto o los módulos externos pueden contener vulnerabilidades. Con la Ley de Ciberresiliencia, los fabricantes deben documentar qué componentes se utilizan y cómo están protegidos. Estos requisitos aumentan la ciberresiliencia de toda la cadena de valor industrial.

Por lo tanto, la Ley de Ciber resiliencia exige:

• responsabilidades claras y canales de reporte para vulnerabilidades,
• actualizaciones seguras,
• documentación técnica y transparencia sobre los componentes utilizados.

Los fabricantes y proveedores que no cumplan estos requisitos se arriesgan a:

• incidentes de seguridad,
• costes de retirada o reparación,
• daño reputacional,
• y consecuencias legales de responsabilidad.

La preparación temprana reduce el esfuerzo y los costos en el ciclo de vida del producto. Esto aumenta la calidad del producto, la seguridad de la planta y la previsibilidad operativa. Las empresas que implementen soluciones conformes con la CRA antes de 2027 se beneficiarán de una estabilidad a largo plazo, mayor seguridad y menor riesgo de fallos.

Las empresas se benefician de:

• procesos automatizados para el mantenimiento del SBOM,
• directrices claras para proveedores y desarrolladores externos,
• certificaciones más rápidas,
• mejor auditabilidad para los requisitos del cliente.

Además, una arquitectura de seguridad sólida refuerza la confianza de los socios comerciales y facilita el acceso a licitaciones o a industrias reguladas.

La Ley de Resiliencia Cibernética es un hito para la industria europea. Define estándares claros para la ciberseguridad, garantiza la transparencia en las cadenas de suministro, protege a los operadores y refuerza la seguridad de los sistemas de producción conectados en red. Con procesos de desarrollo seguros, una arquitectura de producto de vanguardia y un fuerte enfoque en la calidad del software, Mitsubishi Electric prepara de forma constante sus soluciones para el cumplimiento de la normativa CRA.

Los ciberataques seguirán siendo una amenaza. Pero con seguridad moderna, software seguro y la implementación constante de la Ley de Resiliencia Cibernética, las plantas industriales pueden operar de manera estable, confiable y resiliente.