Ley de Ciberresiliencia: organismo notificado

El papel de un organismo notificado de la Ley de Ciberresiliencia

Un organismo notificado del CRA es una organización independiente y acreditada, designada para llevar a cabo evaluaciones de la conformidad por terceros frente a los requisitos esenciales de ciberseguridad del CRA. En la práctica, un organismo notificado:

• Evalúa el diseño y la arquitectura de ciberseguridad de tu producto frente a los requisitos esenciales del CRA.
• Revisa tu documentación técnica, incluidos los análisis de riesgos, la SBOM, etc.
• Analiza tus procesos de gestión de vulnerabilidades y notificación de incidentes.
• Apoya tu proceso hacia el marcado CE mediante la emisión de certificados de examen UE de tipo, cuando corresponda.

Para los productos Importantes y Críticos, se requerirá una evaluación por terceros. En concreto, para los productos Importantes de Clase I, la evaluación por terceros será necesaria salvo que existan normas armonizadas que permitan la autoevaluación conforme al Módulo A.

Situación actual de los organismos notificados del CRA

Los estados miembros de la UE están trabajando actualmente en la designación de los organismos notificados del CRA. En esta fase, las listas formales aún están pendientes, pero el calendario de implantación del CRA ya está en marcha y los fabricantes no pueden esperar hasta el último momento para empezar a prepararse.

En Applus+ Laboratories, hemos estructurado nuestros servicios de CRA de modo que los ensayos y evaluaciones realizadas hoy puedan reutilizarse parcialmente como entrada para futuras evaluaciones NB, una vez completada la designación formal. Esto permite comenzar a generar evidencias y cerrar brechas mucho antes de que el CRA sea plenamente aplicable.

Normas armonizadas: retrasos, limitaciones e implicaciones

Las normas específicas del CRA todavía están en desarrollo y su proceso de aprobación y publicación incluye múltiples etapas. A corto y medio plazo, esto significa que:

• Muchos productos Importantes que en el futuro podrían autoevaluarse seguirán necesitando en la práctica un organismo notificado.
• Los productos Críticos seguirán dependiendo de la evaluación de la conformidad por terceros o de esquemas de certificación de ciberseguridad.
• Esperar a la publicación de normas armonizadas antes de actuar probablemente dará lugar a plazos comprimidos, mayor riesgo y reprocesos adicionales.

Vías de evaluación de la conformidad del CRA

El CRA ofrece distintas vías de evaluación de la conformidad. A continuación se resumen las más relevantes para los fabricantes.

Módulo A — Control interno (Autoevaluación)

En el marco del Módulo A, el fabricante realiza una evaluación interna de la conformidad y emite la declaración UE de conformidad sin la intervención de un organismo notificado.

¿Cuándo es posible?

• Para la categoría por defecto.
• Para la categoría Importante Clase I, pero solo cuando existan normas armonizadas disponibles para la categoría de producto.  

Principales limitaciones:

• Dependencia de calendarios externos, lo que puede dar lugar a márgenes de tiempo limitados para las actividades de cumplimiento.
• Ausencia de una garantía independiente de terceros para clientes o autoridades reguladoras.
• Alto riesgo de reprocesos si evolucionan las normas, las guías o las expectativas.

Módulo B + C — Examen UE de tipo + Control de la producción 

El Módulo B + C es la principal vía de evaluación por terceros bajo el CRA para muchos productos:

• Módulo B (examen UE de tipo): un organismo notificado evalúa el diseño del producto, los controles de ciberseguridad y los procesos de gestión de vulnerabilidades. Si el resultado es conforme, el NB emite un certificado de examen UE de tipo.
• Módulo C (conformidad con el tipo basada en el control interno de la producción): el fabricante garantiza que las unidades producidas en serie se ajustan al tipo aprobado y aplica el marcado CE en consecuencia.

Ventajas del Módulo B + C:

• Adecuado — y a menudo obligatorio — para productos Importantes y Críticos mientras no existan normas armonizadas.
• Proporciona una garantía independiente y reconocida de la ciberseguridad de su producto.
• Reduce el riesgo regulatorio y comercial en comparación con la autoevaluación puramente interna.
   

Módulo H — Aseguramiento completo de la calidad

En el Módulo H, la conformidad se basa en la evaluación del sistema de gestión de la calidad en ciberseguridad del fabricante, que abarca el diseño, el desarrollo, la producción y la gestión de vulnerabilidades, en lugar de ensayos individuales por producto. El sistema es evaluado y está sujeto a vigilancia continua por parte de un organismo notificado, y los productos conformes llevan el marcado CE.

Ventajas del Módulo H:

• Adecuado para grandes fabricantes con procesos de gestión de la calidad y ciberseguridad maduros.
• Idóneo para desarrolladores de software con lanzamientos frecuentes y ciclos de desarrollo continuos.
• Reduce la necesidad de evaluaciones repetidas de la conformidad producto por producto.
• Ofrece un modelo de cumplimiento escalable alineado con el Nuevo Marco Legislativo.

Esquemas del Reglamento de Ciberseguridad de la UE (CSA/EUCC)

Además de los módulos específicos del CRA, determinados productos pueden recurrir a esquemas europeos de certificación de ciberseguridad establecidos en el Reglamento de Ciberseguridad, como EUCC, en particular los de las categorías Importante y Crítica.

En la práctica, esta vía resulta especialmente adecuada para fabricantes que ya utilizan la certificación EUCC o la certificación Common Criteria en el mercado. Estos productos suelen clasificarse como Importantes o Críticos en el marco del CRA y, por lo general, desempeñan un papel habilitador de la seguridad para otros sistemas. EUCC se basa en perfiles de protección existentes y en evaluaciones Common Criteria, y puede aportar evidencias de conformidad sólidas y reutilizables que respaldan el cumplimiento del CRA, especialmente cuando se aplica la presunción de conformidad y cuando los reguladores o los clientes sensibles a la seguridad esperan garantías certificadas.

Un análisis más detallado sobre cómo puede utilizarse EUCC para respaldar el cumplimiento del CRA se aborda en la publicación de Applus+ Laboratories basada en el webinar sobre el esquema EUCC.

Por qué trabajar con un organismo notificado incluso cuando no es obligatorio

Incluso cuando la autoevaluación pueda ser legalmente posible en el futuro, colaborar con un organismo notificado ofrece importantes ventajas estratégicas. Tal como se destaca en el Cyber Global Marketing Plan, el principio clave es: “Evaluar ahora. Reutilizar después. Reducir reprocesos.”

Ventajas de implicar a un organismo notificado:

• Mayor confianza para clientes, socios y licitaciones públicas.
• Validación independiente de sus controles, documentación y postura de seguridad.
• Reducción del riesgo de rediseños costosos cuando se finalicen las normas y las guías.
• Posibilidad de reutilizar ensayos y evaluaciones tempranas una vez que los organismos notificados del CRA estén formalmente designados.
• Mejor alineación entre su hoja de ruta de desarrollo y los plazos regulatorios.

Comienza ahora tu evaluación CRA y reutilízala más adelante

No es necesario esperar a la publicación de normas armonizadas ni a las listas oficiales de NB para iniciar tu camino hacia el CRA. Applus+ Laboratories ya ofrece servicios orientados al CRA que pueden reutilizarse en futuras evaluaciones de organismos notificados y EUCC, entre ellos:

• Análisis de riesgos de ciberseguridad centrados en el CRA para productos con elementos digitales.
• Revisión de la documentación técnica y de la SBOM frente a las expectativas del CRA.
• Evaluación de los procesos de gestión, divulgación y notificación de vulnerabilidades.
• Ensayos de seguridad y vulnerabilidades alineados con los próximos requisitos del CRA y de EUCC.
• Preevaluación del Módulo B + C con un futuro organismo notificado del CRA.

Este trabajo temprano crea una base sólida de evidencias sobre la que construir, en lugar de comenzar desde cero cuando la aplicación del CRA resulte crítica.

Servicios de precertificación como organismo notificado del CRA 

Applus+ Laboratories ofrece un portafolio modular de servicios de precertificación diseñados específicamente en torno al CRA y a futuras evaluaciones de organismos notificados: 

• Evaluación de preparación para el CRA: análisis de brechas y hoja de ruta hacia el cumplimiento del CRA. 
• Ensayos de seguridad y vulnerabilidades: planes de ensayo adaptados para productos Importantes, Críticos y por defecto. 
• Preevaluación para el CRA con un organismo notificado (simulación del Módulo B + C): una evaluación estructurada de tipo “mock” para preparar el proceso formal con el NB. 
• Evaluación de la conformidad con la EUCC: vía de certificación de alta garantía que respalda el cumplimiento del CRA para productos elegibles. 
• Sesiones de formación sobre el CRA: sesiones formativas específicas sobre los requisitos del CRA y su impacto en sus productos. 

Por qué elegir a Applus+ Laboratories como organismo notificado del CRA 

Applus+ Laboratories combina una amplia experiencia en ciberseguridad con sólidas credenciales en certificación: 

• Más de 250 expertos en ciberseguridad con una amplia experiencia en evaluación de seguridad, certificación y pruebas de penetración. 
• Acreditaciones en más de 30 esquemas de ciberseguridad, incluidos EUCC y Common Criteria. 
• Participación activa en los marcos europeos de ciberseguridad a través de organizaciones como ENISA y SCCG. 
• Presencia global en Europa, Norteamérica y Asia prestando servicios a fabricantes internacionales.