Módulo H explicado: certificación del sistema de gestión de la ciberseguridad bajo el CRA

Evaluación y futura certificación del sistema de gestión de la ciberseguridad del producto conforme al Cyber Resilience Act.

El Módulo H del Cyber Resilience Act (CRA) define una vía de conformidad basada en el aseguramiento completo del sistema de gestión de la ciberseguridad del producto, cubriendo todo su ciclo de vida: desde el diseño y desarrollo hasta las actividades post-market.

A diferencia de otras rutas de conformidad centradas en evaluaciones producto a producto, el Módulo H permite demostrar el cumplimiento del CRA a través de un sistema de gestión robusto y centralizado, integrando de forma coherente:

• Procesos organizativos
• Controles técnicos
• Requisitos documentales

Este enfoque resulta especialmente adecuado para fabricantes con múltiples productos, mayor complejidad técnica o altos requisitos de aseguramiento, al permitir una gestión homogénea y escalable del cumplimiento regulatorio. El Módulo H se perfila como una de las vías preferidas por la industria para el cumplimiento del CRA, especialmente para productos clasificados como Important y Critical. No obstante, su aplicación efectiva dependerá del marco europeo de acreditación y notificación actualmente en desarrollo. 

Cómo se evaluará el CRA Módulo H y el enfoque de Applus+ Laboratories

El CRA Módulo H requiere demostrar que la organización dispone de procesos maduros, eficaces y coherentes, capaces de garantizar el cumplimiento continuado de los requisitos del CRA. Applus+ Laboratories está en proceso de acreditación y notificación como Organismo Notificado.

Cuando el esquema esté plenamente operativo, la evaluación del Módulo H se basará en una combinación servicios que incluirán: 

Evaluación del sistema de gestión de la ciberseguridad

Evaluación integral de los procesos y controles que sustentan la ciberseguridad del producto, incluyendo:

• Sistema de gestión de la calidad (QMS) que garantice que los productos se diseñan, desarrollan y producen cumpliendo los requisitos esenciales de ciberseguridad.
• Ciclo de vida de diseño, desarrollo y producción seguro (SDLC).
• Gestión de vulnerabilidades y tratamiento de riesgos.

Esta evaluación permite verificar la coherencia entre los procesos de calidad y los requisitos horizontales y verticales de cada tipo de producto bajo alcance de CRA. 

Auditorías de proceso frente al reglamento CRA

Auditorías de proceso específicas contra:

• Requisitos generales del Reglamento CRA
• Requisitos verticales aplicables según la tipología de producto
• Controles organizativos, técnicos y documentales exigidos por el Módulo H

El enfoque está orientado a demostrar la madurez y eficacia real del sistema de gestión, no únicamente la existencia de documentación. 

Revisión técnica y expediente CRA

Revisión estructurada de:

• Arquitectura de ciberseguridad del producto
• Análisis y tratamiento de riesgos
• Expediente técnico CRA, incluyendo evidencias de diseño y desarrollo

Esta revisión asegura la trazabilidad entre riesgos identificados, controles implementados y resultados de evaluación. 

Muestreo de productos representativos

Muestreo estructurado de productos para verificar la correcta implementación del sistema de gestión en productos reales, representativos de la familia o línea certificada. 

Evaluación de procesos clave de ciberseguridad

Análisis en detalle de los procesos críticos exigidos por el CRA, incluyendo:

• Gestión de actualizaciones y parches de seguridad
• Software Bill of Materials (SBOM)
• Cadena de suministro, diligencia debida y dependencias de terceros
• Funcionamiento del PSIRT y gestión coordinada de vulnerabilidades

Seguimiento anual

Una vez emitida la certificación y cuando el esquema esté oficialmente disponible:

• Auditorías de seguimiento anuales
• Verificación de la continuidad y mejora del sistema de gestión
• Revisión de cambios significativos en productos o procesos 

¿A quién va dirigido?

El servicio CRA Módulo H – Evaluación del Sistema de Gestión de la Ciberseguridad está dirigido a organizaciones para las que el cumplimiento del Cyber Resilience Act requiere un enfoque estructural, escalable y de largo plazo, en particular:

• Fabricantes de productos con elementos digitales clasificados como:
  • Important Class I
  • Important Class II
  • Productos críticos
• Fabricantes de productos Important Class I cuya ciberseguridad resulta especialmente relevante por su función, conectividad o impacto.
• Organizaciones con carteras amplias de productos que buscan una vía de conformidad centralizada, frente a esquemas alternativos basados en evaluaciones producto a producto (p. ej. Módulo B + C).
• Empresas con sistemas de gestión consolidados, que desean integrar los requisitos del CRA sobre una base existente, como:
  • ISO 9001
  • ISO/IEC 27001
  • IEC 62443-4-1 y 4-2 

Estado actual del esquema CRA módulo H y por qué elegir Applus+ Laboratories

Mientras el marco europeo de acreditación y notificación del CRA – Módulo H se encuentra en fase de definición, Applus+ Laboratories pone a disposición de los fabricantes un conjunto de servicios de preparación progresiva, adaptados al nivel de madurez de cada organización.

Para organizaciones en fases iniciales o con menor grado de madurez, ofrecemos:

• Readiness assessments, orientados a identificar brechas frente a los requisitos del Cyber Resilience Act y establecer una hoja de ruta de cumplimiento.
• Cursos de Formación para equipos técnicos, de cumplimiento y de gestión, con el objetivo de facilitar la comprensión práctica de los requisitos del CRA y su integración en los procesos existentes.

Para organizaciones con un mayor nivel de preparación, o que ya disponen de sistemas de gestión y procesos de ciberseguridad consolidados, podemos empezar a evaluar sus sistemas de calidad y emitir la certificación una vez que Applus+ Laboratories esté notificado.