Ley de Ciberresiliencia (CRA) para routers, módems y switches: guía de EN 304 627

08/07/2026

    ¿Qué es la EN 304 627 en el marco del Cyber Resilience Act?

    La EN 304 627 es una norma vertical de ciberseguridad en fase de borrador desarrollada para respaldar el cumplimiento de la Ley de Ciberresiliencia (Cyber Resilience Act, CRA) para equipos de red como routers, módems destinados a la conexión a Internet y switches.

    Esta norma define requisitos específicos de ciberseguridad para estos productos, alineados con los requisitos esenciales del CRA, permitiendo a los fabricantes evaluar y demostrar el cumplimiento del reglamento una vez que la norma haya sido armonizada.

    Sigue el modelo europeo de normalización, en el que:

    • Las normas horizontales definen requisitos generales.
    • Las normas verticales (como la EN 304 627) los adaptan a categorías específicas de productos.

    Históricamente, los routers y otros equipos de red estaban parcialmente cubiertos por marcos regulatorios como la Directiva RED, pero el CRA amplía significativamente el alcance para abarcar todo el ciclo de vida de la ciberseguridad, incluyendo diseño, despliegue y gestión de vulnerabilidades.

    La norma aún se encuentra en desarrollo (versión de consulta enquiry draft 1.0.1), y su futura armonización determinará si proporciona presunción de conformidad con el CRA.

    Alcance y aplicabilidad de la EN 304 627

    ¿Qué productos cubre la EN 304 627?

    La norma se aplica a routers, módems destinados a la conexión a Internet y switches, incluidas tanto implementaciones físicas (hardware) como aquellas basadas en la nube.

    Para comprender mejor el alcance, estos productos pueden clasificarse en las siguientes categorías:

    Routers

    Productos que establecen y controlan el flujo de datos entre diferentes redes.

    • Routers cableados
    • Routers inalámbricos
    • Routers virtuales
    • Routers con módem integrado

    Módems

    Productos hardware que utilizan modulación y demodulación digital para convertir señales analógicas en señales digitales con fines de conexión a Internet.

    • Módems de fibra óptica
    • Módems DSL
    • Módems DOCSIS
    • Módems satelitales o celulares

    Switches

    Productos que proporcionan conectividad entre dispositivos mediante mecanismos de reenvío de tráfico, normalmente en la capa de enlace de datos.

    • Switches gestionados
    • Switches multicapa
    • Switches virtuales
    • Puntos de acceso inalámbricos

    ¿Qué productos NO están cubiertos?

    La norma excluye explícitamente:

    • Productos no gestionados (unmanaged products): Dispositivos con funcionalidad fija que no ofrecen interfaces de configuración
    • Productos destinados a su uso en entornos industriales de Tecnología Operativa (OT).

    ¿En qué categoría del CRA se encuadran los routers, módems y switches?

    Estos productos suelen clasificarse dentro de la infraestructura de red y conectividad según la categorización de productos del CRA.

    Dependiendo de su funcionalidad y criticidad, pueden pertenecer a:

    • Categoría por defecto
    • Categoría importante (Clase I)

    Esta clasificación afecta directamente a:

    • La ruta de evaluación de la conformidad aplicable
    • La necesidad o no de certificación por terceros

    Por qué la EN 304 627 es fundamental para el cumplimiento del CRA

    Los routers, módems y switches son componentes esenciales de la infraestructura digital, ya que actúan como puntos de entrada, nodos de control del tráfico y capas de conectividad dentro de las redes.

    Su exposición los convierte en objetivos prioritarios para ciberataques, incluidos accesos no autorizados, manipulación del tráfico o ataques de denegación de servicio distribuido (DDoS), desempeñando un papel crítico en la seguridad global del sistema.

    La EN 304 627 complementa las normas horizontales del CRA al traducir requisitos genéricos de ciberseguridad en controles específicos para equipos de red. Mientras que las normas horizontales abordan obligaciones comunes durante todo el ciclo de vida del producto, esta norma vertical define los requisitos técnicos adicionales necesarios para evaluar la ciberseguridad de esta categoría concreta.

    Por tanto, el cumplimiento completo del CRA requiere la combinación de ambos niveles normativos, siendo la EN 304 627 la encargada de proporcionar la interpretación específica a nivel de producto una vez armonizada.

    ¿Cómo está estructurada la EN 304 627?

    Principales secciones de la norma EN 304 627

    La estructura puede entenderse a través de los siguientes bloques principales:

    Alcance (Scope)

    • Define el contexto del documento.
    • Especifica qué productos están incluidos y excluidos.

     

    Referencias (References)

    • Enumera las referencias normativas e informativas.
    • Proporciona normas y marcos de apoyo.

     

    Definiciones, símbolos y abreviaturas

    • Aclara la terminología utilizada.
    • Garantiza una interpretación uniforme de los requisitos.

     

    Contexto del producto

    • Describe funciones, activos y entorno operativo.
    • Sirve de base para la evaluación de riesgos.

     

    Requisitos técnicos

    • Define los controles de ciberseguridad aplicables al producto.
    • Especifica las medidas que deben implementarse.

     

    Evaluación del cumplimiento

    • Explica cómo se evalúa el cumplimiento.
    • Define las evidencias y métodos de verificación requeridos.

    Anexos de apoyo

    Además de la estructura principal, la norma incluye anexos que facilitan su implementación:

    • Anexo A: Correspondencia entre los requisitos esenciales del CRA y la norma.
    • Anexo B: Análisis de seguridad y modelado de amenazas.
    • Anexo K: Criptografía de última generación (state of the art cryptography).

    Marco de evaluación de riesgos

    Para determinar qué requisitos son aplicables a un producto específico, la norma incluye una sección de análisis de amenazas y vulnerabilidades que contempla tanto las amenazas como los factores de riesgo.

    Los factores de riesgo básicos derivan de las propiedades de seguridad exigidas para todos los productos de red. Asimismo, pueden considerarse otros factores de riesgo relacionados con el acceso de gestión, la implementación de protocolos o las operaciones de datos.

    La metodología de evaluación de factores de riesgo se basa en identificar las amenazas aplicables, teniendo en cuenta los factores de riesgo relevantes y el contexto del producto. Estos aspectos deben evaluarse y documentarse adecuadamente.

    Una vez completada la evaluación, el siguiente paso consiste en analizar qué requisitos de ciberseguridad son aplicables para la mitigación de los riesgos identificados. La norma incluye una tabla que relaciona amenazas, factores de riesgo y requisitos, permitiendo determinar qué controles deben aplicarse.

    Requisitos de ciberseguridad de la norma EN 304 627

    La norma define un conjunto completo de controles de ciberseguridad:

    Referencia Breve explicación
    [KEV-1] Sin vulnerabilidades explotables conocidas Analizar la lista de materiales de software (SBOM) y las vulnerabilidades presentes tanto en el producto como en los componentes de terceros.
    [DEFAULT-1] Configuración segura por defecto Garantizar una configuración predeterminada segura habilitando únicamente los servicios necesarios, aplicando controles de acceso estrictos, autenticación, auditoría, criptografía moderna, principio de mínimo privilegio y una gestión segura de protocolos heredados y funciones de diagnóstico.
    [RESET-1] Restablecimiento de fábrica Garantizar que un restablecimiento de fábrica restaure un estado seguro por defecto, conserve el firmware y las actualizaciones, y elimine toda la información sensible.
    [UPDATE-1] Mecanismos de actualización Garantizar una gestión segura de las actualizaciones exigiendo instalaciones autenticadas, verificando la integridad, habilitando actualizaciones automáticas (cuando sea necesario), realizando seguimiento de versiones y generando registros de auditoría.
    [AUTH-1] Autenticación Garantizar una autenticación robusta y la seguridad del acceso eliminando credenciales predeterminadas, protegiendo los datos sensibles mediante criptografía moderna, aplicando requisitos de fortaleza de credenciales y controles frente a fallos, y asegurando el acceso de gestión.
    [AUTH-2] Autorización Garantiza un control de acceso estricto mediante la separación de privilegios, limitando a los usuarios a los niveles autorizados y bloqueando cualquier comando no autorizado en todas las interfaces de gestión.
    [AUTH-3] Ciclo de vida de las sesiones autenticadas Garantiza una gestión segura de las sesiones mediante el uso de criptografía robusta, la aplicación de tiempos de expiración, la protección de los datos de sesión, la limitación de sesiones concurrentes y la prevención de la escalada de privilegios no autorizada.
    [AUTH-4] Control de acceso a protocolos Garantiza una gestión segura mediante el uso de protocolos criptográficos robustos, la protección de las sesiones, la limitación de accesos y concurrencia, la aplicación de tiempos de expiración y la prevención de la escalada de privilegios no autorizada.
    [DATA-1] Protección de la confidencialidad Garantiza una sólida seguridad de los datos mediante el cifrado de la información en reposo y en tránsito, la prevención de modificaciones no autorizadas, la minimización del procesamiento y la retención de datos, y la exigencia de consentimiento explícito del usuario para la recopilación de diagnósticos o telemetría.
    [AVAIL-1] Disponibilidad y resiliencia Garantiza la protección frente a ataques de denegación de servicio (DoS) aplicando limitación de tasas y control de conexiones, habilitando la recuperación automática y registrando los eventos relevantes.
    [INTEGRITY-1] Integridad del sistema y proceso de arranque Garantiza un arranque seguro verificando la integridad mediante criptografía robusta, imponiendo una cadena de arranque de confianza, protegiendo los modos de recuperación y registrando todas las actividades de arranque.
    [PACKET-1] Tratamiento predeterminado de paquetes Descartar cualquier paquete para el que no pueda determinarse una acción de procesamiento.
    [EXPOSURE-1] Minimización de la exposición de interfaces y servicios Garantiza que únicamente estén activos los servicios e interfaces configurados, con control flexible para habilitarlos o deshabilitarlos según sea necesario.
    [LOG-1] Monitorización y registro Garantiza un registro de auditoría completo mediante el seguimiento de eventos de autenticación, actividades de sesión y cualquier intento de ejecutar comandos no autorizados.
    [TRANSFER-1] Exportación y transferencia segura de datos Garantiza la importación y exportación seguras de datos utilizando canales cifrados, restringiendo las operaciones al acceso de gestión autorizado y registrando todas las actividades de transferencia.
    [CRY-SOTA] Criptografía de última generación (State of the Art) Para cada algoritmo, esquema o protocolo criptográfico utilizado por un mecanismo de seguridad del producto, se proporciona evidencia adecuada que demuestre su clasificación como CRY-SOTA.

    Gestión de vulnerabilidades

    En esta versión preliminar sometida a consulta de la norma, no existe una referencia explícita a las normas horizontales CEN-CENELEC EN 40000-1-3 «Requisitos de ciberseguridad para productos con elementos digitales – Gestión de vulnerabilidades» ni CEN-CENELEC EN 40000-1-2 «Requisitos de ciberseguridad para productos con elementos digitales – Principios para la ciberresiliencia».

    En futuras versiones de la EN 304 627, podrían incluirse más detalles sobre las normas EN 40000-1-2 y EN 40000-1-3.

    Cómo utilizar la EN 304 627 para lograr el cumplimiento del CRA

    La norma EN 304 627 ha sido desarrollada para facilitar el cumplimiento del Cyber Resilience Act (CRA) y definir los requisitos esenciales de ciberseguridad para routers, módems destinados a la conexión a Internet y switches. Los requisitos de este documento siguen un enfoque basado en el riesgo y se aplican de forma condicionada para garantizar que las medidas de seguridad sean adecuadas al contexto de despliegue y al nivel de exposición a amenazas.

    Los routers, módems destinados a la conexión a Internet y switches deben cumplir esta norma cuando proporcionan capacidades de gestión. Por tanto, los productos no gestionados que funcionan con capacidades predefinidas y no ofrecen ninguna interfaz de configuración ni acceso administrativo quedan fuera de su ámbito de aplicación.

    Para determinar qué requisitos son aplicables a un producto específico, la norma proporciona una sección de análisis de amenazas y vulnerabilidades que incluye las amenazas y los factores de riesgo pertinentes.

    • Los factores de riesgo básicos derivan de las propiedades de seguridad exigidas para todos los productos de red. También pueden considerarse otros factores relacionados con el acceso de gestión, la implementación de protocolos o las operaciones de datos.
    • La metodología de evaluación de factores de riesgo se basa en las amenazas aplicables, teniendo en cuenta los factores de riesgo relevantes y el contexto del producto. Estos aspectos deben ser evaluados y documentados.
    • Una vez completada la evaluación, el siguiente paso consiste en analizar qué requisitos de ciberseguridad son aplicables para la mitigación. La norma incluye una tabla que relaciona amenazas, factores de riesgo y requisitos para determinar cuáles deben aplicarse.

    Preguntas frecuentes sobre la EN 304 627 y el CRA

    ¿Es obligatoria la EN 304 627?
    No. Sin embargo, una vez armonizada, podrá proporcionar presunción de conformidad respecto a los requisitos esenciales del CRA.

    ¿Todos los routers deben cumplirla?
    No. Solo aquellos que dispongan de funcionalidades y capacidades de gestión.

    ¿Pueden excluirse los dispositivos no gestionados?
    Sí. Los productos no gestionados, con funcionalidad fija y sin interfaces de configuración, están fuera del alcance de la norma.

    ¿Necesito certificación por terceros?
    Dependerá de la categoría del producto y de la disponibilidad de normas armonizadas aplicables.

    Cómo puede ayudar Applus+ Laboratories al cumplimiento del CRA

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies