La EN 304 627 es una norma vertical de ciberseguridad en fase de borrador desarrollada para respaldar el cumplimiento de la Ley de Ciberresiliencia (Cyber Resilience Act, CRA) para equipos de red como routers, módems destinados a la conexión a Internet y switches.
Esta norma define requisitos específicos de ciberseguridad para estos productos, alineados con los requisitos esenciales del CRA, permitiendo a los fabricantes evaluar y demostrar el cumplimiento del reglamento una vez que la norma haya sido armonizada.
Sigue el modelo europeo de normalización, en el que:
Históricamente, los routers y otros equipos de red estaban parcialmente cubiertos por marcos regulatorios como la Directiva RED, pero el CRA amplía significativamente el alcance para abarcar todo el ciclo de vida de la ciberseguridad, incluyendo diseño, despliegue y gestión de vulnerabilidades.
La norma aún se encuentra en desarrollo (versión de consulta enquiry draft 1.0.1), y su futura armonización determinará si proporciona presunción de conformidad con el CRA.
La norma se aplica a routers, módems destinados a la conexión a Internet y switches, incluidas tanto implementaciones físicas (hardware) como aquellas basadas en la nube.
Para comprender mejor el alcance, estos productos pueden clasificarse en las siguientes categorías:
Productos que establecen y controlan el flujo de datos entre diferentes redes.
Productos hardware que utilizan modulación y demodulación digital para convertir señales analógicas en señales digitales con fines de conexión a Internet.
Productos que proporcionan conectividad entre dispositivos mediante mecanismos de reenvío de tráfico, normalmente en la capa de enlace de datos.
La norma excluye explícitamente:
Estos productos suelen clasificarse dentro de la infraestructura de red y conectividad según la categorización de productos del CRA.
Dependiendo de su funcionalidad y criticidad, pueden pertenecer a:
Esta clasificación afecta directamente a:
Los routers, módems y switches son componentes esenciales de la infraestructura digital, ya que actúan como puntos de entrada, nodos de control del tráfico y capas de conectividad dentro de las redes.
Su exposición los convierte en objetivos prioritarios para ciberataques, incluidos accesos no autorizados, manipulación del tráfico o ataques de denegación de servicio distribuido (DDoS), desempeñando un papel crítico en la seguridad global del sistema.
La EN 304 627 complementa las normas horizontales del CRA al traducir requisitos genéricos de ciberseguridad en controles específicos para equipos de red. Mientras que las normas horizontales abordan obligaciones comunes durante todo el ciclo de vida del producto, esta norma vertical define los requisitos técnicos adicionales necesarios para evaluar la ciberseguridad de esta categoría concreta.
Por tanto, el cumplimiento completo del CRA requiere la combinación de ambos niveles normativos, siendo la EN 304 627 la encargada de proporcionar la interpretación específica a nivel de producto una vez armonizada.
La estructura puede entenderse a través de los siguientes bloques principales:
Alcance (Scope)
Referencias (References)
Definiciones, símbolos y abreviaturas
Contexto del producto
Requisitos técnicos
Evaluación del cumplimiento
Además de la estructura principal, la norma incluye anexos que facilitan su implementación:
Para determinar qué requisitos son aplicables a un producto específico, la norma incluye una sección de análisis de amenazas y vulnerabilidades que contempla tanto las amenazas como los factores de riesgo.
Los factores de riesgo básicos derivan de las propiedades de seguridad exigidas para todos los productos de red. Asimismo, pueden considerarse otros factores de riesgo relacionados con el acceso de gestión, la implementación de protocolos o las operaciones de datos.
La metodología de evaluación de factores de riesgo se basa en identificar las amenazas aplicables, teniendo en cuenta los factores de riesgo relevantes y el contexto del producto. Estos aspectos deben evaluarse y documentarse adecuadamente.
Una vez completada la evaluación, el siguiente paso consiste en analizar qué requisitos de ciberseguridad son aplicables para la mitigación de los riesgos identificados. La norma incluye una tabla que relaciona amenazas, factores de riesgo y requisitos, permitiendo determinar qué controles deben aplicarse.
La norma define un conjunto completo de controles de ciberseguridad:
| Referencia | Breve explicación |
|---|---|
| [KEV-1] Sin vulnerabilidades explotables conocidas | Analizar la lista de materiales de software (SBOM) y las vulnerabilidades presentes tanto en el producto como en los componentes de terceros. |
| [DEFAULT-1] Configuración segura por defecto | Garantizar una configuración predeterminada segura habilitando únicamente los servicios necesarios, aplicando controles de acceso estrictos, autenticación, auditoría, criptografía moderna, principio de mínimo privilegio y una gestión segura de protocolos heredados y funciones de diagnóstico. |
| [RESET-1] Restablecimiento de fábrica | Garantizar que un restablecimiento de fábrica restaure un estado seguro por defecto, conserve el firmware y las actualizaciones, y elimine toda la información sensible. |
| [UPDATE-1] Mecanismos de actualización | Garantizar una gestión segura de las actualizaciones exigiendo instalaciones autenticadas, verificando la integridad, habilitando actualizaciones automáticas (cuando sea necesario), realizando seguimiento de versiones y generando registros de auditoría. |
| [AUTH-1] Autenticación | Garantizar una autenticación robusta y la seguridad del acceso eliminando credenciales predeterminadas, protegiendo los datos sensibles mediante criptografía moderna, aplicando requisitos de fortaleza de credenciales y controles frente a fallos, y asegurando el acceso de gestión. |
| [AUTH-2] Autorización | Garantiza un control de acceso estricto mediante la separación de privilegios, limitando a los usuarios a los niveles autorizados y bloqueando cualquier comando no autorizado en todas las interfaces de gestión. |
| [AUTH-3] Ciclo de vida de las sesiones autenticadas | Garantiza una gestión segura de las sesiones mediante el uso de criptografía robusta, la aplicación de tiempos de expiración, la protección de los datos de sesión, la limitación de sesiones concurrentes y la prevención de la escalada de privilegios no autorizada. |
| [AUTH-4] Control de acceso a protocolos | Garantiza una gestión segura mediante el uso de protocolos criptográficos robustos, la protección de las sesiones, la limitación de accesos y concurrencia, la aplicación de tiempos de expiración y la prevención de la escalada de privilegios no autorizada. |
| [DATA-1] Protección de la confidencialidad | Garantiza una sólida seguridad de los datos mediante el cifrado de la información en reposo y en tránsito, la prevención de modificaciones no autorizadas, la minimización del procesamiento y la retención de datos, y la exigencia de consentimiento explícito del usuario para la recopilación de diagnósticos o telemetría. |
| [AVAIL-1] Disponibilidad y resiliencia | Garantiza la protección frente a ataques de denegación de servicio (DoS) aplicando limitación de tasas y control de conexiones, habilitando la recuperación automática y registrando los eventos relevantes. |
| [INTEGRITY-1] Integridad del sistema y proceso de arranque | Garantiza un arranque seguro verificando la integridad mediante criptografía robusta, imponiendo una cadena de arranque de confianza, protegiendo los modos de recuperación y registrando todas las actividades de arranque. |
| [PACKET-1] Tratamiento predeterminado de paquetes | Descartar cualquier paquete para el que no pueda determinarse una acción de procesamiento. |
| [EXPOSURE-1] Minimización de la exposición de interfaces y servicios | Garantiza que únicamente estén activos los servicios e interfaces configurados, con control flexible para habilitarlos o deshabilitarlos según sea necesario. |
| [LOG-1] Monitorización y registro | Garantiza un registro de auditoría completo mediante el seguimiento de eventos de autenticación, actividades de sesión y cualquier intento de ejecutar comandos no autorizados. |
| [TRANSFER-1] Exportación y transferencia segura de datos | Garantiza la importación y exportación seguras de datos utilizando canales cifrados, restringiendo las operaciones al acceso de gestión autorizado y registrando todas las actividades de transferencia. |
| [CRY-SOTA] Criptografía de última generación (State of the Art) | Para cada algoritmo, esquema o protocolo criptográfico utilizado por un mecanismo de seguridad del producto, se proporciona evidencia adecuada que demuestre su clasificación como CRY-SOTA. |
En esta versión preliminar sometida a consulta de la norma, no existe una referencia explícita a las normas horizontales CEN-CENELEC EN 40000-1-3 «Requisitos de ciberseguridad para productos con elementos digitales – Gestión de vulnerabilidades» ni CEN-CENELEC EN 40000-1-2 «Requisitos de ciberseguridad para productos con elementos digitales – Principios para la ciberresiliencia».
En futuras versiones de la EN 304 627, podrían incluirse más detalles sobre las normas EN 40000-1-2 y EN 40000-1-3.
La norma EN 304 627 ha sido desarrollada para facilitar el cumplimiento del Cyber Resilience Act (CRA) y definir los requisitos esenciales de ciberseguridad para routers, módems destinados a la conexión a Internet y switches. Los requisitos de este documento siguen un enfoque basado en el riesgo y se aplican de forma condicionada para garantizar que las medidas de seguridad sean adecuadas al contexto de despliegue y al nivel de exposición a amenazas.
Los routers, módems destinados a la conexión a Internet y switches deben cumplir esta norma cuando proporcionan capacidades de gestión. Por tanto, los productos no gestionados que funcionan con capacidades predefinidas y no ofrecen ninguna interfaz de configuración ni acceso administrativo quedan fuera de su ámbito de aplicación.
Para determinar qué requisitos son aplicables a un producto específico, la norma proporciona una sección de análisis de amenazas y vulnerabilidades que incluye las amenazas y los factores de riesgo pertinentes.
¿Es obligatoria la EN 304 627?
No. Sin embargo, una vez armonizada, podrá proporcionar presunción de conformidad respecto a los requisitos esenciales del CRA.
¿Todos los routers deben cumplirla?
No. Solo aquellos que dispongan de funcionalidades y capacidades de gestión.
¿Pueden excluirse los dispositivos no gestionados?
Sí. Los productos no gestionados, con funcionalidad fija y sin interfaces de configuración, están fuera del alcance de la norma.
¿Necesito certificación por terceros?
Dependerá de la categoría del producto y de la disponibilidad de normas armonizadas aplicables.
Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies.
Permiten el funcionamiento de la web, cargar contenido multimedia y proteger su seguridad. Consulta las cookies que almacenamos en nuestra Política de cookies.
Nos permiten conocer cómo interactúas con la web, el número de visitas en las diferentes secciones y establecer estadísticas para mejorar nuestras prácticas comerciales. Consulta las cookies que almacenamos en nuestra Política de cookies.
A través de tu comportamiento en la web (dónde haces click, el tiempo que navegas, etc.) establecemos parámetros y un perfil para que visualices anuncios que se correspondan con tus intereses. Consulta las cookies que almacenamos en nuestra Política de cookies.