Ley de Ciberresiliencia: nuevas obligaciones para los fabricantes e impacto en Sophos Firewall

La Ley de Ciberresiliencia cambiará las normas para los fabricantes de productos digitales a partir de 2027. Las actualizaciones de seguridad deberán ser gratuitas, los periodos de asistencia deberán estar claramente definidos y la seguridad deberá demostrarse en la fase de diseño. Esto significa más transparencia para los administradores informáticos y ajustes en la estrategia de actualización para proveedores como Sophos.

Breve resumen

  • El reglamento de la UE se aplica a partir del 11.12.2027
  • Se requieren al menos cinco años de actualizaciones de seguridad gratuitas
  • Obligación de procesos seguros de diseño, documentación e información
  • Sophos debe adaptar su política de actualizaciones
  • Los administradores informáticos ganan en seguridad de planificación

Por qué el tema es relevante ahora

La Ley de Ciberresiliencia está en vigor desde finales de 2024. Los fabricantes y clientes tienen hasta diciembre de 2027 para convertir sus procesos. Para la seguridad informática en Europa, esto significa una norma vinculante: los productos sin actualizaciones de seguridad y sin información clara sobre el ciclo de vida deben desaparecer.

Qué está cambiando o qué es nuevo

  • Actualizaciones de seguridad gratuitas: Los fabricantes ya no pueden poner parches críticos tras un muro de pago.
  • Periodos de apoyo transparentes: al menos cinco años de actualizaciones o especificación explícita de plazos más cortos.
  • Marcado CE: A partir de 2027, el marcado CE también confirmará la conformidad de la ciberseguridad.
  • Obligaciones de notificación: Los incidentes de seguridad deben comunicarse a las autoridades en un plazo de 24 horas. En concreto Alerta temprana en 24 horas, notificación posterior en 72 horas; los destinatarios son el CSIRT designado (coordinador) y la ENISA a través de la plataforma central.
  • Sanciones elevadas: hasta 15 millones de euros o el 2,5 % del volumen de negocios por infracciones.

Resumen técnico

La Ley de Ciberresiliencia está dirigida a todos los «productos con elementos digitales». Esto incluye sistemas empresariales tradicionales como cortafuegos, routers y sistemas operativos, pero también dispositivos IoT en el sector de consumo y software crítico para la seguridad. Por tanto, los requisitos afectan prácticamente a todo el ecosistema de productos en red. Los fabricantes deben cumplir las siguientes obligaciones en virtud de la Ley de Ciberresiliencia:

  • Demostrar seguridad por diseño (por ejemplo, configuraciones seguras por defecto, encriptación, protocolos probados, endurecimiento contra ataques DoS).
  • Mantén una lista de materiales de software (SBOM) que enumere detalladamente todos los componentes, bibliotecas y dependencias relevantes, con el fin de crear transparencia para las actualizaciones y la gestión de vulnerabilidades.
  • Ofrece opciones de actualización automática, al menos para las correcciones críticas de seguridad, y asegúrate de que estas actualizaciones puedan instalarse sin interrupciones o trastornos significativos. Para los entornos profesionales, también debe haber una opción de instalación controlada y temporizada.
  • Conserva la documentación durante diez años, incluidas las evaluaciones de riesgos, los informes de las pruebas y las declaraciones de conformidad, para que pueda rastrearse en cualquier momento durante una inspección cómo se garantizó la seguridad.
  • Establece un proceso de gestión de vulnerabilidades y un centro de notificación de problemas de seguridad para que los investigadores externos o los clientes puedan notificar inmediatamente cualquier laguna descubierta.
  • Implementar mecanismos para actualizaciones seguras (por ejemplo, firma, verificación) para evitar la manipulación durante la distribución.

Estos requisitos detallados dejan claro que la Ley de Ciberresiliencia no sólo establece normas mínimas, sino que también exige una gestión integral de la seguridad, desde el desarrollo hasta el periodo de apoyo, pasando por el funcionamiento.

Guía práctica para administradores informáticos

Preparación:

  • Revisar los procesos de adquisición: en el futuro, comprar sólo productos que cumplan la CRA.
  • Documenta la información del ciclo de vida y compleméntala en la gestión de activos.
  • Aclara las responsabilidades en el equipo informático y define las funciones para la gestión de las actualizaciones.
  • Alinea las directrices internas con los requisitos de la CRA y completa los procesos que faltan.

Realización:

  • Programa actualizaciones de seguridad con regularidad, aunque haya actualizaciones automáticas disponibles.
  • Suscríbete a las notificaciones de los fabricantes e intégralas en los procesos internos.
  • Utiliza entornos de prueba para comprobar las actualizaciones antes de desplegarlas en los sistemas críticos.
  • Utiliza interfaces con herramientas de ticketing o supervisión para documentar automáticamente los procesos de actualización.

Validación:

  • Prueba los parches después de instalarlos.
  • Comprueba los registros en busca de anomalías tras la actualización.
  • Realiza escaneos de red y de seguridad para garantizar que se han cerrado las vulnerabilidades conocidas.
  • Generar informes de cumplimiento que cumplan los requisitos de la CRA.

Retroceso y supervisión:

  • Mantén planes de reversión para sistemas críticos.
  • Utiliza la monitorización para reconocer rápidamente los fallos tras las actualizaciones.
  • Define alarmas para que los errores críticos sean inmediatamente visibles.
  • Proporciona listas de comprobación de emergencia para que las operaciones puedan restablecerse rápidamente en caso de emergencia.

Recomendaciones y buenas prácticas

TemaRecomendación
Selección de productosPrefiere fabricantes que cumplan la CRA
Duración de la ayudaSelecciona dispositivos con al menos 5 años de compromisos de actualización
Gestión de parchesEstablecer una gestión centralizada de las actualizaciones
DocumentaciónIncluir los datos del SBOM y del ciclo de vida en el inventario
ComunicaciónAutomatizar los mensajes de seguridad del fabricante

Impacto en Sophos y otras plataformas

Sophos cambió su política de actualizaciones de firmware en 2022: Desde entonces, las actualizaciones sólo están disponibles con una licencia de soporte válida. Las correcciones de seguridad y las actualizaciones de firmas seguían siendo gratuitas, pero el firmware normal no. La Ley de Ciberresiliencia está obligando a fabricantes como Sophos a replantearse esta separación. En el futuro, probablemente habrá que distinguir entre «actualizaciones de funciones» (de pago) y «correcciones de seguridad» (gratuitas).

Para los administradores informáticos, esto significa

Preguntas más frecuentes

¿La Ley de Ciberresiliencia se aplica también a los productos existentes?

No, se aplica a los productos que se comercialicen por primera vez a partir del 11.12.2027.

¿Qué ocurre con los dispositivos antiguos sin actualizaciones?

Los dispositivos sin soporte de seguridad dejarán de ser conformes con la CRA una vez finalizado el periodo de soporte y albergarán riesgos.

¿Las actualizaciones deben instalarse automáticamente?

Sí, para muchos dispositivos de consumo. Para cortafuegos o sistemas críticos, basta con una opción manual con notificación.

¿A qué sanciones se enfrentan los fabricantes?

Hasta 15 millones de euros o el 2,5 % de las ventas globales anuales.

¿Qué papel desempeña Avanet?

Avanet presta apoyo en la planificación del ciclo de vida, las estrategias de actualización y la selección de productos conformes con la Ley de Ciberresiliencia.

¿Qué datos son relevantes para la Ley de Ciberresiliencia?

El reglamento está en vigor desde el 10.12.2024; la mayoría de las obligaciones se aplican a partir del 11.12.2027. Las obligaciones de información comienzan ya el 11.09.2026.» Fuentes: EUR-Lex y varios bufetes de abogados especializados

Conclusión

La Ley de Ciberresiliencia creará un marco vinculante para la seguridad informática a partir de 2027. Para Sophos y otros fabricantes, significa ajustes en las estrategias de actualización y los periodos de soporte. Para los administradores, significa más fiabilidad en las actualizaciones y la planificación del ciclo de vida. Ahora es el momento adecuado para alinear los procesos de adquisición y las estrategias de actualización con los requisitos de la CRA.

Patrizio
Patrizio

Patrizio es un experimentado especialista en redes especializado en cortafuegos, conmutadores y puntos de acceso de Sophos. Ayuda a los clientes o a su departamento informático en la configuración y migración de los cortafuegos de Sophos y garantiza una seguridad óptima de la red mediante una segmentación limpia y la gestión de reglas de cortafuegos.

Suscribirse al boletín

Enviamos un boletín mensual con todas las entradas del blog de ese mes.