Cyber Resilience Act: nuevas obligaciones para fabricantes e impacto en Sophos Firewall
El Cyber Resilience Act cambiará a partir de 2027 las reglas para los fabricantes de productos digitales. Será necesario proporcionar actualizaciones de seguridad gratuitas, definir claramente los periodos de soporte y demostrar la seguridad desde el diseño. Para los administradores de TI, esto aporta más transparencia; para proveedores como Sophos, ajustes en su estrategia de actualizaciones.
Resumen breve
- El reglamento de la UE se aplica a partir del 11.12.2027
- Se requieren al menos cinco años de actualizaciones de seguridad gratuitas
- Obligación de diseño seguro, documentación y procesos de notificación
- Sophos debe adaptar su política de actualización
- Los administradores de TI obtienen mayor seguridad de planificación
Por qué el tema es relevante ahora
El Cyber Resilience Act está en vigor desde finales de 2024. Fabricantes y clientes tienen hasta diciembre de 2027 para adaptar sus procesos. Para la seguridad de TI en Europa, esto significa un estándar vinculante: los productos sin actualizaciones de seguridad y con información poco clara sobre el ciclo de vida deberían desaparecer.
Qué cambia o qué es nuevo
- Actualizaciones de seguridad gratuitas: los fabricantes ya no podrán situar los parches críticos detrás de una barrera de pago.
- Periodos de soporte transparentes: al menos cinco años de actualizaciones o indicación explícita de plazos más cortos.
- Marcado CE: a partir de 2027, el marcado CE también confirmará la conformidad en ciberseguridad.
- Obligaciones de notificación: los incidentes de seguridad deben comunicarse a las autoridades en un plazo de 24 horas. Para ser precisos: alerta temprana en 24 horas, otra notificación en 72 horas; los destinatarios son el CSIRT designado (coordinador) y ENISA a través de la plataforma central.
- Sanciones elevadas: Hasta 15 millones de euros o el 2,5 % de la facturación en caso de infracciones.
Visión general técnica
El Cyber Resilience Act se dirige a todos los “productos con elementos digitales”. Esto incluye sistemas empresariales clásicos como firewalls, routers y sistemas operativos, pero también dispositivos IoT de consumo y software crítico para la seguridad. Por tanto, los requisitos afectan prácticamente a todo el ecosistema de productos conectados. En el marco del Cyber Resilience Act, los fabricantes deben cumplir las siguientes obligaciones:
- Demostrar la seguridad desde el diseño (por ejemplo, configuraciones predeterminadas seguras, cifrado, protocolos probados, endurecimiento contra ataques DoS).
- Mantener una Software Bill of Materials (SBOM) que detalle todos los componentes, bibliotecas y dependencias relevantes para crear transparencia en actualizaciones y gestión de vulnerabilidades.
- Ofrecer opciones de actualización automática, al menos para correcciones críticas de seguridad, y garantizar que puedan instalarse sin interrupciones ni perjuicios significativos. Para entornos profesionales también debe existir una opción de instalación controlada y programada.
- Conservar la documentación durante diez años, incluidas evaluaciones de riesgos, informes de pruebas y declaraciones de conformidad, para que en una auditoría pueda verificarse en todo momento cómo se garantizó la seguridad.
- Establecer un proceso de gestión de vulnerabilidades y un punto de notificación para problemas de seguridad, de modo que investigadores externos o clientes puedan comunicar inmediatamente las brechas descubiertas.
- Implementar mecanismos para actualizaciones seguras (por ejemplo, firma y verificación), de modo que se excluya la manipulación durante la distribución.
Estos requisitos detallados muestran que el Cyber Resilience Act no solo establece estándares mínimos, sino que exige una gestión integral de la seguridad desde el desarrollo hasta la operación y el periodo de soporte.
Guía práctica para administradores de TI
Preparación:
- Revisar los procesos de adquisición: en el futuro, comprar solo productos conformes con el CRA.
- Documentar la información del ciclo de vida y complementarla en la gestión de activos.
- Aclarar las responsabilidades en el equipo de TI y definir roles para la gestión de actualizaciones.
- Alinear las directrices internas con los requisitos del CRA y completar los procesos que falten.
Implementación:
- Planificar regularmente las actualizaciones de seguridad, incluso cuando existan actualizaciones automáticas.
- Suscribirse a las notificaciones del fabricante e integrarlas en los procesos internos.
- Utilizar entornos de prueba para verificar las actualizaciones antes de su despliegue en sistemas críticos.
- Utilizar interfaces con herramientas de ticketing o monitorización para documentar automáticamente los procesos de actualización.
Validación:
- Probar los parches después de la instalación.
- Comprobar los logs en busca de anomalías después de la actualización.
- Realizar escaneos de red y seguridad para asegurar que las vulnerabilidades conocidas se hayan cerrado.
- Generar informes de cumplimiento que cumplan con los requisitos del CRA.
Rollback y monitorización:
- Mantener planes de rollback para sistemas críticos.
- Utilizar la monitorización para detectar rápidamente las interrupciones después de las actualizaciones.
- Definir alertas para que los errores críticos sean inmediatamente visibles.
- Proporcionar listas de verificación de emergencia para restaurar rápidamente las operaciones en caso de emergencia.
Recomendaciones y buenas prácticas
| Tema | Recomendación |
|---|---|
| Selección de productos | Preferir fabricantes conformes con el CRA |
| Duración del soporte | Elegir dispositivos con al menos 5 años de compromiso de actualizaciones |
| Gestión de parches | Establecer una gestión centralizada de actualizaciones |
| Documentación | Incluir SBOM y datos del ciclo de vida en el inventario |
| Comunicación | Automatizar las notificaciones de seguridad del fabricante |
Impacto en Sophos y otras plataformas
Sophos cambió su política de actualización de firmware en 2022: desde entonces, las actualizaciones solo están disponibles con una licencia de soporte válida. Las correcciones de seguridad y las actualizaciones de firmas siguieron siendo gratuitas, pero el firmware regular no. El Cyber Resilience Act obliga a fabricantes como Sophos a replantear esta separación. Probablemente, en el futuro será necesario distinguir entre “actualizaciones de funciones” (de pago) y “correcciones de seguridad” (gratuitas).
Para los administradores de TI, esto significa:
- Mayor claridad sobre los periodos de soporte de las appliances.
- Acceso fiable a parches críticos de seguridad, incluso sin licencia.
- Mayor transparencia sobre el ciclo de vida y las fechas de fin de vida útil (End-of-Life).
Preguntas frecuentes
¿El Cyber Resilience Act también se aplica a los productos existentes?
No, se aplica a los productos que se introduzcan por primera vez en el mercado a partir del 11.12.2027.
¿Qué ocurre con los dispositivos antiguos sin actualizaciones?
Los dispositivos sin soporte de seguridad dejarán de ser conformes con el CRA tras expirar el periodo de soporte y supondrán riesgos.
¿Deben instalarse las actualizaciones automáticamente?
Para muchos dispositivos de consumo, sí. Para firewalls o sistemas críticos, basta con una opción manual con notificación.
¿Qué sanciones amenazan a los fabricantes?
Hasta 15 millones de euros o el 2,5 % de la facturación anual mundial.
¿Qué papel juega Avanet?
Avanet apoya la planificación del ciclo de vida, las estrategias de actualización y la selección de productos conformes con el Cyber Resilience Act.
¿Qué fechas son relevantes para el Cyber Resilience Act?
El reglamento está en vigor desde el 10.12.2024; la mayoría de las obligaciones se aplican a partir del 11.12.2027. Las obligaciones de notificación comienzan ya el 11.09.2026. Fuentes: EUR-Lex y varios despachos especializados.
Conclusión
El Cyber Resilience Act crea a partir de 2027 un marco vinculante para la seguridad de TI. Para Sophos y otros fabricantes implica ajustes en las estrategias de actualización y los periodos de soporte. Para los administradores aporta mayor fiabilidad en actualizaciones y planificación del ciclo de vida. Ahora es el momento adecuado para alinear los procesos de adquisición y las estrategias de actualización con los requisitos del CRA.
Enlaces relacionados
