{"id":168900,"date":"2025-08-04T07:47:00","date_gmt":"2025-08-04T06:47:00","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/cyber-resilience-act-sophos-firewall\/"},"modified":"2025-09-18T14:19:56","modified_gmt":"2025-09-18T13:19:56","slug":"cyber-resilience-act-sophos-firewall","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/es\/blog\/cyber-resilience-act-sophos-firewall\/","title":{"rendered":"Ley de Ciberresiliencia: nuevas obligaciones para los fabricantes e impacto en Sophos Firewall"},"content":{"rendered":"\n<p>La Ley de Ciberresiliencia cambiar\u00e1 las normas para los fabricantes de productos digitales a partir de 2027. Las actualizaciones de seguridad deber\u00e1n ser gratuitas, los periodos de asistencia deber\u00e1n estar claramente definidos y la seguridad deber\u00e1 demostrarse en la fase de dise\u00f1o. Esto significa m\u00e1s transparencia para los administradores inform\u00e1ticos y ajustes en la estrategia de actualizaci\u00f3n para proveedores como Sophos.  <\/p>\n\n<p><strong>Breve resumen<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>El reglamento de la UE se aplica a partir del 11.12.2027<\/li>\n\n\n\n<li>Se requieren al menos cinco a\u00f1os de actualizaciones de seguridad gratuitas<\/li>\n\n\n\n<li>Obligaci\u00f3n de procesos seguros de dise\u00f1o, documentaci\u00f3n e informaci\u00f3n<\/li>\n\n\n\n<li>Sophos debe adaptar su pol\u00edtica de actualizaciones<\/li>\n\n\n\n<li>Los administradores inform\u00e1ticos ganan en seguridad de planificaci\u00f3n<\/li>\n<\/ul>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Temas<\/h2><nav><ul><li class=\"\"><a href=\"#warum-das-thema-jetzt-relevant-ist\">Por qu\u00e9 el tema es relevante ahora<\/a><\/li><li class=\"\"><a href=\"#was-sich-andert-oder-was-neu-ist\">Qu\u00e9 est\u00e1 cambiando o qu\u00e9 es nuevo<\/a><\/li><li class=\"\"><a href=\"#technischer-uberblick\">Resumen t\u00e9cnico<\/a><\/li><li class=\"\"><a href=\"#praxisleitfaden-fur-it-administratoren\">Gu\u00eda pr\u00e1ctica para administradores inform\u00e1ticos<\/a><\/li><li class=\"\"><a href=\"#empfehlungen-und-best-practices\">Recomendaciones y buenas pr\u00e1cticas<\/a><\/li><li class=\"\"><a href=\"#auswirkungen-auf-sophos-und-andere-plattformen\">Impacto en Sophos y otras plataformas<\/a><\/li><li class=\"\"><a href=\"#haufige-fragen\">Preguntas m\u00e1s frecuentes<\/a><ul><li class=\"\"><a href=\"#faq-question-1758003889771\">\u00bfLa Ley de Ciberresiliencia se aplica tambi\u00e9n a los productos existentes?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003903517\">\u00bfQu\u00e9 ocurre con los dispositivos antiguos sin actualizaciones?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003913172\">\u00bfLas actualizaciones deben instalarse autom\u00e1ticamente?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003927303\">\u00bfA qu\u00e9 sanciones se enfrentan los fabricantes?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003941910\">\u00bfQu\u00e9 papel desempe\u00f1a Avanet?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758012263652\">\u00bfQu\u00e9 datos son relevantes para la Ley de Ciberresiliencia?<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#fazit\">Conclusi\u00f3n<\/a><\/li><li class=\"\"><a href=\"#weiterfuhrende-links\">Otros enlaces<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"warum-das-thema-jetzt-relevant-ist\">Por qu\u00e9 el tema es relevante ahora<\/h2>\n\n<p>La Ley de Ciberresiliencia est\u00e1 en vigor desde finales de 2024. Los fabricantes y clientes tienen hasta diciembre de 2027 para convertir sus procesos. Para la seguridad inform\u00e1tica en Europa, esto significa una norma vinculante: los productos sin actualizaciones de seguridad y sin informaci\u00f3n clara sobre el ciclo de vida deben desaparecer.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"was-sich-andert-oder-was-neu-ist\">Qu\u00e9 est\u00e1 cambiando o qu\u00e9 es nuevo<\/h2>\n\n<ul class=\"wp-block-list\">\n<li><strong>Actualizaciones de seguridad gratuitas:<\/strong> Los fabricantes ya no pueden poner parches cr\u00edticos tras un muro de pago.<\/li>\n\n\n\n<li><strong>Periodos de apoyo transparentes:<\/strong> al menos cinco a\u00f1os de actualizaciones o especificaci\u00f3n expl\u00edcita de plazos m\u00e1s cortos.<\/li>\n\n\n\n<li><strong>Marcado CE:<\/strong> A partir de 2027, el marcado CE tambi\u00e9n confirmar\u00e1 la conformidad de la ciberseguridad.<\/li>\n\n\n\n<li><strong>Obligaciones de notificaci\u00f3n:<\/strong> Los incidentes de seguridad deben comunicarse a las autoridades en un plazo de 24 horas. En concreto Alerta temprana en 24 horas, notificaci\u00f3n posterior en 72 horas; los destinatarios son el CSIRT designado (coordinador) y la ENISA a trav\u00e9s de la plataforma central. <\/li>\n\n\n\n<li><strong>Sanciones elevadas:<\/strong> hasta 15 millones de euros o el 2,5 % del volumen de negocios por infracciones.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"technischer-uberblick\">Resumen t\u00e9cnico<\/h2>\n\n<p>La Ley de Ciberresiliencia est\u00e1 dirigida a todos los \u00abproductos con elementos digitales\u00bb. Esto incluye sistemas empresariales tradicionales como cortafuegos, routers y sistemas operativos, pero tambi\u00e9n dispositivos IoT en el sector de consumo y software cr\u00edtico para la seguridad. Por tanto, los requisitos afectan pr\u00e1cticamente a todo el ecosistema de productos en red. Los fabricantes deben cumplir las siguientes obligaciones en virtud de la Ley de Ciberresiliencia:   <\/p>\n\n<ul class=\"wp-block-list\">\n<li>Demostrar seguridad por dise\u00f1o (por ejemplo, configuraciones seguras por defecto, encriptaci\u00f3n, protocolos probados, endurecimiento contra ataques DoS).<\/li>\n\n\n\n<li>Mant\u00e9n una lista de materiales de software (SBOM) que enumere detalladamente todos los componentes, bibliotecas y dependencias relevantes, con el fin de crear transparencia para las actualizaciones y la gesti\u00f3n de vulnerabilidades.<\/li>\n\n\n\n<li>Ofrece opciones de actualizaci\u00f3n autom\u00e1tica, al menos para las correcciones cr\u00edticas de seguridad, y aseg\u00farate de que estas actualizaciones puedan instalarse sin interrupciones o trastornos significativos. Para los entornos profesionales, tambi\u00e9n debe haber una opci\u00f3n de instalaci\u00f3n controlada y temporizada. <\/li>\n\n\n\n<li>Conserva la documentaci\u00f3n durante diez a\u00f1os, incluidas las evaluaciones de riesgos, los informes de las pruebas y las declaraciones de conformidad, para que pueda rastrearse en cualquier momento durante una inspecci\u00f3n c\u00f3mo se garantiz\u00f3 la seguridad.<\/li>\n\n\n\n<li>Establece un proceso de gesti\u00f3n de vulnerabilidades y un centro de notificaci\u00f3n de problemas de seguridad para que los investigadores externos o los clientes puedan notificar inmediatamente cualquier laguna descubierta.<\/li>\n\n\n\n<li>Implementar mecanismos para actualizaciones seguras (por ejemplo, firma, verificaci\u00f3n) para evitar la manipulaci\u00f3n durante la distribuci\u00f3n.<\/li>\n<\/ul>\n\n<p>Estos requisitos detallados dejan claro que la Ley de Ciberresiliencia no s\u00f3lo establece normas m\u00ednimas, sino que tambi\u00e9n exige una gesti\u00f3n integral de la seguridad, desde el desarrollo hasta el periodo de apoyo, pasando por el funcionamiento.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"praxisleitfaden-fur-it-administratoren\">Gu\u00eda pr\u00e1ctica para administradores inform\u00e1ticos<\/h2>\n\n<p><strong>Preparaci\u00f3n:<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Revisar los procesos de adquisici\u00f3n: en el futuro, comprar s\u00f3lo productos que cumplan la CRA.<\/li>\n\n\n\n<li>Documenta la informaci\u00f3n del ciclo de vida y complem\u00e9ntala en la gesti\u00f3n de activos.<\/li>\n\n\n\n<li>Aclara las responsabilidades en el equipo inform\u00e1tico y define las funciones para la gesti\u00f3n de las actualizaciones.<\/li>\n\n\n\n<li>Alinea las directrices internas con los requisitos de la CRA y completa los procesos que faltan.<\/li>\n<\/ul>\n\n<p><strong>Realizaci\u00f3n:<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Programa actualizaciones de seguridad con regularidad, aunque haya actualizaciones autom\u00e1ticas disponibles.<\/li>\n\n\n\n<li>Suscr\u00edbete a las notificaciones de los fabricantes e int\u00e9gralas en los procesos internos.<\/li>\n\n\n\n<li>Utiliza entornos de prueba para comprobar las actualizaciones antes de desplegarlas en los sistemas cr\u00edticos.<\/li>\n\n\n\n<li>Utiliza interfaces con herramientas de ticketing o supervisi\u00f3n para documentar autom\u00e1ticamente los procesos de actualizaci\u00f3n.<\/li>\n<\/ul>\n\n<p><strong>Validaci\u00f3n:<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Prueba los parches despu\u00e9s de instalarlos.<\/li>\n\n\n\n<li>Comprueba los registros en busca de anomal\u00edas tras la actualizaci\u00f3n.<\/li>\n\n\n\n<li>Realiza escaneos de red y de seguridad para garantizar que se han cerrado las vulnerabilidades conocidas.<\/li>\n\n\n\n<li>Generar informes de cumplimiento que cumplan los requisitos de la CRA.<\/li>\n<\/ul>\n\n<p><strong>Retroceso y supervisi\u00f3n:<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Mant\u00e9n planes de reversi\u00f3n para sistemas cr\u00edticos.<\/li>\n\n\n\n<li>Utiliza la monitorizaci\u00f3n para reconocer r\u00e1pidamente los fallos tras las actualizaciones.<\/li>\n\n\n\n<li>Define alarmas para que los errores cr\u00edticos sean inmediatamente visibles.<\/li>\n\n\n\n<li>Proporciona listas de comprobaci\u00f3n de emergencia para que las operaciones puedan restablecerse r\u00e1pidamente en caso de emergencia.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"empfehlungen-und-best-practices\">Recomendaciones y buenas pr\u00e1cticas<\/h2>\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Tema<\/th><th>Recomendaci\u00f3n<\/th><\/tr><\/thead><tbody><tr><td>Selecci\u00f3n de productos<\/td><td>Prefiere fabricantes que cumplan la CRA<\/td><\/tr><tr><td>Duraci\u00f3n de la ayuda<\/td><td>Selecciona dispositivos con al menos 5 a\u00f1os de compromisos de actualizaci\u00f3n <\/td><\/tr><tr><td>Gesti\u00f3n de parches<\/td><td>Establecer una gesti\u00f3n centralizada de las actualizaciones<\/td><\/tr><tr><td>Documentaci\u00f3n<\/td><td>Incluir los datos del SBOM y del ciclo de vida en el inventario<\/td><\/tr><tr><td>Comunicaci\u00f3n<\/td><td>Automatizar los mensajes de seguridad del fabricante<\/td><\/tr><\/tbody><\/table><\/figure>\n\n<h2 class=\"wp-block-heading\" id=\"auswirkungen-auf-sophos-und-andere-plattformen\">Impacto en Sophos y otras plataformas<\/h2>\n\n<p>Sophos cambi\u00f3 su pol\u00edtica de actualizaciones de firmware en 2022: Desde entonces, las actualizaciones s\u00f3lo est\u00e1n disponibles con una licencia de soporte v\u00e1lida. Las correcciones de seguridad y las actualizaciones de firmas segu\u00edan siendo gratuitas, pero el firmware normal no. La Ley de Ciberresiliencia est\u00e1 obligando a fabricantes como Sophos a replantearse esta separaci\u00f3n. En el futuro, probablemente habr\u00e1 que distinguir entre \u00abactualizaciones de funciones\u00bb (de pago) y \u00abcorrecciones de seguridad\u00bb (gratuitas).   <\/p>\n\n<p>Para los administradores inform\u00e1ticos, esto significa<\/p>\n\n<ul class=\"wp-block-list\">\n<li>M\u00e1s claridad sobre los periodos de asistencia de los aparatos.<\/li>\n\n\n\n<li>Acceso fiable a parches cr\u00edticos para la seguridad, incluso sin licencia.<\/li>\n\n\n\n<li>Mayor transparencia de los <a href=\"https:\/\/www.avanet.com\/es\/kb\/sophos-product-lifecycle-calendario-end-of-sale-end-of-life\/\">datos sobre el ciclo de vida y el End of Life<\/a>.<\/li>\n\n\n\n<li><\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"haufige-fragen\">Preguntas m\u00e1s frecuentes<\/h2>\n<div id=\"rank-math-faq\" class=\"rank-math-block\">\n<div class=\"rank-math-list \">\n<div id=\"faq-question-1758003889771\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">\u00bfLa Ley de Ciberresiliencia se aplica tambi\u00e9n a los productos existentes?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>No, se aplica a los productos que se comercialicen por primera vez a partir del 11.12.2027.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003903517\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">\u00bfQu\u00e9 ocurre con los dispositivos antiguos sin actualizaciones?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Los dispositivos sin soporte de seguridad dejar\u00e1n de ser conformes con la CRA una vez finalizado el periodo de soporte y albergar\u00e1n riesgos.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003913172\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">\u00bfLas actualizaciones deben instalarse autom\u00e1ticamente?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>S\u00ed, para muchos dispositivos de consumo. Para cortafuegos o sistemas cr\u00edticos, basta con una opci\u00f3n manual con notificaci\u00f3n. <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003927303\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">\u00bfA qu\u00e9 sanciones se enfrentan los fabricantes?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Hasta 15 millones de euros o el 2,5 % de las ventas globales anuales.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003941910\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">\u00bfQu\u00e9 papel desempe\u00f1a Avanet?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Avanet presta apoyo en la planificaci\u00f3n del ciclo de vida, las estrategias de actualizaci\u00f3n y la selecci\u00f3n de productos conformes con la Ley de Ciberresiliencia.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758012263652\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">\u00bfQu\u00e9 datos son relevantes para la Ley de Ciberresiliencia?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>El reglamento est\u00e1 en vigor desde el 10.12.2024; la mayor\u00eda de las obligaciones se aplican a partir del 11.12.2027. Las obligaciones de informaci\u00f3n comienzan ya el 11.09.2026.\u00bb Fuentes: EUR-Lex y varios bufetes de abogados especializados  <\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<h2 class=\"wp-block-heading\" id=\"fazit\">Conclusi\u00f3n<\/h2>\n\n<p>La Ley de Ciberresiliencia crear\u00e1 un marco vinculante para la seguridad inform\u00e1tica a partir de 2027. Para Sophos y otros fabricantes, significa ajustes en las estrategias de actualizaci\u00f3n y los periodos de soporte. Para los administradores, significa m\u00e1s fiabilidad en las actualizaciones y la planificaci\u00f3n del ciclo de vida. Ahora es el momento adecuado para alinear los procesos de adquisici\u00f3n y las estrategias de actualizaci\u00f3n con los requisitos de la CRA.   <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"weiterfuhrende-links\">Otros enlaces<\/h2>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.avanet.com\/es\/blog\/las-actualizaciones-de-sophos-firewall-ya-no-son-gratuitas\/\">Avanet KB: Las actualizaciones de Sophos Firewall ya no son gratuitas<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.avanet.com\/es\/kb\/sophos-firewall-threat-feeds\/\">Avanet KB: Fuentes de amenazas de Sophos Firewall<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cyber-resilience-act\" target=\"_blank\" rel=\"noopener\">Comisi\u00f3n Europea: Ley de Ciberresiliencia<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>La Ley de Ciberresiliencia cambiar\u00e1 las normas para los fabricantes de productos digitales a partir de 2027. Las actualizaciones de seguridad deber\u00e1n ser gratuitas, los periodos de asistencia deber\u00e1n estar claramente definidos y la seguridad deber\u00e1 demostrarse en la fase de dise\u00f1o. Esto significa m\u00e1s transparencia para los administradores inform\u00e1ticos y ajustes en la estrategia [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":168838,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[390],"tags":[],"class_list":["post-168900","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categorizar"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/posts\/168900","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/comments?post=168900"}],"version-history":[{"count":0,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/posts\/168900\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/media\/168838"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/media?parent=168900"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/categories?post=168900"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/tags?post=168900"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}