Bajo el sugerente título «CRA: ni Barbie ni Oppenheimer, la ciberresiliencia por diseño», expertos de la tecnológica GMV desgranaron en un webinar, el pasado 11 de febrero, las claves del nuevo reglamento europeo que promete transformar la protección en la fabricación de productos digitales. La sesión, moderada por Enrique González Herrero, subdirector de Seguritecnia y Red Seguridad, contó con la participación de Mariano Benito Gómez, CiberSecurity & Privacy Advisor de GMV, y Ángel García-Madrid Velázquez, Business Continuity Manager de la firma.
Durante la intervención, Mariano Benito contextualizó el origen de la Cyber Resilience Act (CRA), una normativa nacida de la necesidad urgente de salvaguardar a los usuarios frente a artículos con vulnerabilidades ocultas, citando ejemplos cotidianos como relojes de cocina con micrófonos no documentados. A diferencia de la directiva NIS2, que se orienta a las empresas y servicios, la CRA apunta directamente al bien comercial y a todo su ciclo de vida. «El objetivo es prevenir, reportar y resolver fallos desde la fase de diseño«, señaló Benito.
Los ponentes utilizaron una metáfora cinematográfica para ilustrar la brecha de percepción en las organizaciones: mientras el CEO puede tener una visión idealizada (Barbie), donde la tecnología soluciona problemas mágicamente, el CISO enfrenta una realidad compleja (Oppenheimer), llena de requisitos técnicos y un impacto regulatorio profundo. Y es que la ley afecta a «productos con elementos digitales», una definición amplia que abarca desde software y apps hasta hardware industrial y dispositivos IoT.
El calendario del cumplimiento
Uno de los puntos críticos abordados fue el cronograma de aplicación. Aunque la norma se publicó en 2024, se destacaron dos fechas clave: septiembre de 2026, cuando será obligatorio reportar vulnerabilidades conocidas, y diciembre de 2027, momento en que todos los productos deberán cumplir íntegramente con la regulación.
Por ello, Benito concluyó su participación asegurando que «la inseguridad de productos es un problema serio que debe abordarse de raíz» y destacando que la CRA demanda un cambio cultural en ciberseguridad y ciberresiliencia. No obstante, subrayó la importancia de realizar el cambio de la manera correcta, ya que, impacta en todos los procesos de producción y, por lo tanto, «no debe hacerse de manera simple o rápida.»
Claves para la adaptación de la Cyber Resilience Act
Por su parte, Ángel García-Madrid ofreció una hoja de ruta práctica para transformar esta obligación en una ventaja competitiva. El experto enumeró siete claves para adoptar la CRA, destacando la necesidad de un modelo de trabajo integrado y un marco unificado de gestión de riesgos que contemple IT, OT e inteligencia artificial.
García-Madrid subrayó la importancia de la vigilancia continua a través de redes de SOC/CERT y la atención al cliente para la resolución de incidencias. «La normativa es ambiciosa, pero es una gran oportunidad para reforzar la resiliencia», afirmó al respecto.
El webinar concluyó con un turno de preguntas donde se aclaró la responsabilidad en el uso de open source y la dificultad de alinear a diferentes departamentos. La conclusión fue unánime: la inseguridad de los productos es un problema serio que debe abordarse de raíz, y la adaptación debe comenzar de inmediato.
Archivado en:
