Servicios para la evaluación de la preparación para la Ley de Ciberresiliencia (CRA)

Prepara tus productos y tu organización para cumplir con la Ley de Ciberresiliencia de la UE

La Ley de Ciberresiliencia de la UE (CRA) introduce requisitos exhaustivos de ciberseguridad para todos los productos con elementos digitales comercializados en el mercado de la UE.

Los fabricantes, importadores y distribuidores pronto estarán obligados a demostrar el cumplimiento de las obligaciones esenciales en materia de ciberseguridad y gestión de vulnerabilidades a lo largo de todo el ciclo de vida del producto: desde el diseño hasta el desmantelamiento.

Applus+ Laboratories ayuda a las organizaciones a prepararse para el CRA mediante un proceso de evaluación independiente. Nuestro servicio ayuda a comprender el nivel actual de cumplimiento, identificar las deficiencias, priorizar las medidas correctivas y prepararse para la futura evaluación de la conformidad y el marcado CE.

Servicios para la evaluación de la preparación para la Ley de Ciberresiliencia (CRA) de la UE: descripción general del servicio

La evaluación de la preparación para el CRA de Applus+ Laboratories evalúa la conformidad de tus productos con los requisitos normativos, técnicos y procedimentales de la Ley de Ciberresiliencia.

La evaluación, de duración fija, se adapta a las necesidades de la organización y se centra en tres dimensiones fundamentales:

• Evaluación de riesgos y controles de seguridad.
• Procesos de gestión de vulnerabilidades.
• Contenido de la documentación técnica y obligaciones aplicables.

Cobertura técnica de la evaluación de riesgos, requisitos esenciales de seguridad (ESR) y controles de seguridad

Analizamos cómo la evaluación de riesgos y los controles técnicos de la organización abordan los requisitos esenciales de seguridad (ESR) definidos por el CRA.

Las actividades clave incluyen:

• Revisar la integridad y la adecuación de la evaluación de riesgos del producto.
• Asignar los riesgos identificados a los ESR pertinentes y a los controles de seguridad implementados.
• Realizar una evaluación de vulnerabilidades y revisar las medidas de mitigación.
• Evaluar las propiedades de seguridad implementadas frente a las amenazas identificadas a lo largo del ciclo de vida del producto.

Gestión de vulnerabilidades y preparación poscomercialización

Evaluamos los procesos de gestión de vulnerabilidades y vigilancia poscomercialización para garantizar que se ajustan a las obligaciones del CRA.

Esto incluye:

• Revisar los procedimientos de divulgación de vulnerabilidades, aplicación de parches y actualizaciones.
• Evaluar el cumplimiento de las obligaciones de notificación y gestión de incidentes.
• Revisar la gestión de la lista de materiales de software (SBOM) y los controles de dependencia de terceros.

​​​​Documentación técnica y obligaciones del fabricante

Verificamos la integridad y exactitud de su documentación técnica y las responsabilidades del fabricante en virtud de la CRA.

Nuestra revisión abarca:

• Verificación de todos los elementos obligatorios de la documentación, incluyendo la descripción del producto, la evaluación de riesgos, las especificaciones de diseño, los controles implementados, las pruebas de ensayo y los procedimientos de mantenimiento.
• Evaluación de las obligaciones posteriores a la comercialización, tales como la supervisión, la presentación de informes y la mejora continua.
• Confirmación de que la documentación se ajusta a los requisitos específicos de la CRA para la evaluación de la conformidad y el marcado CE.

Entregables de la preparación para la Ley de Ciberresiliencia de la UE (CRA)

Una vez completada la evaluación, Applus+ Laboratories proporciona un informe exhaustivo sobre la preparación para la CRA en el que se destacan las áreas de incumplimiento.

Ventajas principales

• Identificación temprana de las deficiencias de cumplimiento antes de la entrada en vigor del CRA.
• Evaluación independiente realizada por una organización de confianza con experiencia como futuro organismo notificado de la CRA y laboratorio de ciberseguridad.
• Alcance de la evaluación a medida, centrado en áreas específicas, según lo solicitado, o proporcionando una evaluación completa.
• Mayor confianza para los fabricantes, socios y clientes finales en la resiliencia de ciberseguridad de sus productos.