Las normas del CRA: España, en primera línea de la ciberseguridad europea

El ‘Reglamento de Ciberresiliencia’, en vigor desde el 10 de diciembre de 2024 y aplicable desde el 11 de diciembre de 2027, marca un hito en la regulación europea de la ciberseguridad. Por primera vez, la UE establece requisitos horizontales de ciberseguridad para los productos con elementos digitales que se comercialicen. Este cambio plantea un desafío monumental: traducir los requisitos esenciales del reglamento en estándares técnicos concretos, medibles y aplicables por la industria.

En este contexto, el conjunto de tres normas horizontales —PNE-prEN 40000-1-1 (vocabulario), PNE-prEN 40000-1-2 (principios para la ciberresiliencia) y, por último, PNE-prEN 40000-1-3 (gestión de vulnerabilidades)— representa mucho más que documentos técnicos: constituye el trípode fundamental sobre el cual se construirá todo el edificio normativo del “Reglamento de Ciberresiliencia” (“Cyber Resilience Act”, CRA). Estas normas, desarrolladas por CEN/CLC JTC 13/WG 9 Cybersecurity and data protection – CRA en un tiempo récord bajo una presión regulatoria sin precedentes, definen el marco conceptual, metodológico y operativo que será aplicable a más del 90 % de los productos digitales del mercado europeo.

Arquitectura normativa del CRA: un sistema construido sobre tres pilares horizontales

Para comprender la importancia crítica de estas tres normas horizontales, es fundamental entender la arquitectura normativa que se construye para dar soporte al CRA. El mandato europeo de estandarización M/606, emitido el 3 de febrero de 2025, estableció un sistema jerárquico donde las normas horizontales (ítems 1, 2-14 y 15) constituyen la base sobre la que se desarrollarán las 26 normas verticales específicas por tipo de producto (ítems 16-41).

• Primer pilar. Norma PNE-prEN 40000-1-1 (Ítem 1): Vocabulario. Aunque pueda parecer menos técnica que sus hermanas, esta norma es absolutamente esencial. Establece el lenguaje común que utilizarán todas las demás normas del ecosistema CRA. Define con precisión qué entendemos por “producto con elementos digitales”, “vulnerabilidad”, “ciberresiliencia”, “ciclo de vida del producto” y decenas de otros términos críticos. Sin un vocabulario compartido y riguroso, cada norma vertical podría interpretar los mismos conceptos de manera diferente, creando inconsistencias y lagunas normativas. Esta norma garantiza que cuando un fabricante de rúteres, un desarrollador de software antimalware y un productor de tarjetas inteligentes hablen de “gestión de credenciales” o “superficie de ataque”, todos estén refiriéndose exactamente al mismo concepto.

• Segundo pilar. Norma PNE-prEN 40000-1-2 (Ítems 2-14): Principios para la ciberresiliencia. Este documento constituye el corazón técnico del sistema horizontal. Traduce los 13 requisitos esenciales del Anexo I del CRA en principios operativos y controles de seguridad específicos y verificables. Cubre desde el diseño y desarrollo seguro hasta la protección de funciones esenciales, pasando por la confidencialidad e integridad de datos, la minimización de superficies de ataque y la gestión de actualizaciones. Esta norma establece el enfoque de security by design y security by default aplicable a lo largo del ciclo de vida del producto. Proporciona una verdadera biblioteca de controles de seguridad que los fabricantes pueden implementar, y que las autoridades de vigilancia del mercado pueden verificar.

• Tercer pilar. Norma PNE-prEN 40000-1-3 (Ítem 15): Gestión de vulnerabilidades. Esta norma aborda uno de los aspectos más críticos y diferenciadores del CRA: la obligación de los fabricantes de gestionar las vulnerabilidades no solo durante el desarrollo, sino a lo largo de todo el ciclo de vida esperado del producto. Basada en los estándares internacionales ISO/IEC 30111 y 29147, establece los procesos de divulgación responsable de vulnerabilidades, coordinación con CERT/CSIRTs, gestión de parches y actualizaciones de seguridad, y seguimiento poscomercialización. Es la única norma horizontal que puede proporcionar presunción parcial de conformidad directa con el CRA, y será referenciada extensivamente por todas las normas verticales.

Equilibrio crítico: vocabulario, principios y procesos trabajando en conjunto

La verdadera potencia de estas tres normas no reside en cada una individualmente, sino en cómo trabajan como un sistema integrado. El vocabulario común (prEN 40000-1-1) permite que los principios de ciberresiliencia (prEN 40000-1-2) y los procesos de gestión de vulnerabilidades (prEN 40000-1-3) se expresen con precisión y sin ambigüedades. Los principios de ciberresiliencia establecen qué debe conseguirse en términos de seguridad del producto, mientras que la gestión de vulnerabilidades define cómo mantener esa seguridad a lo largo del tiempo. El vocabulario garantiza que todos hablen el mismo idioma al implementar ambos.

Esta integración se hace aún más evidente cuando consideramos su relación con las normas verticales. Cuando una norma vertical para sistemas operativos o dispositivos IoT necesita abordar, por ejemplo, la autenticación multifactor o la protección criptográfica, puede:

• Utilizar las definiciones precisas del vocabulario (prEN 40000-1-1).
• Referenciar los principios y controles genéricos aplicables (prEN 40000-1-2).
• Especificar cómo gestionar las vulnerabilidades específicas de ese tipo de producto (prEN 40000-1-3).

Todo ello manteniendo coherencia terminológica, metodológica y operativa con el resto del sistema normativo.

Desafío de coordinación: diversas normas CRA, múltiples comités, un solo objetivo

Esta arquitectura de normas horizontales más verticales plantea un desafío de coordinación sin precedentes en la historia de la normalización europea. Múltiples comités técnicos —entre otros, CEN/CLC JTC 13, ETSI TC CYBER,
CLC/TC 65X (automatización industrial), CLC/TC 47 (semiconductores y chips fiables), CEN/TC 224 (identificación personal)— están trabajando en diferentes partes del puzle, con plazos extremadamente ajustados (la mayoría de las normas verticales deben estar listas en octubre de 2026).

La coordinación efectiva entre estos comités no es simplemente deseable: es absolutamente esencial. Las tres normas horizontales cumplen precisamente con esta función vertebradora del sistema: establecen un vocabulario compartido, principios comunes y procesos estandarizados, garantizando que las normas verticales hablen el mismo idioma y mantengan coherencia metodológica. Sin esta base horizontal sólida y coherente, las normas verticales podrían desarrollar interpretaciones divergentes de los mismos requisitos esenciales, creando inconsistencias que dificultarían tanto la implementación por parte de los fabricantes como la verificación por parte de las autoridades de vigilancia del mercado.

La seguridad de los productos digitales deja de ser opcional para convertirse en un requisito legal verificable, creando  un nuevo paradigma de ciberseguridad en Europa

Doble propósito: uso directo y fundamento para verticales

Las tres normas horizontales están diseñadas con un doble propósito estratégico. Por un lado, deben ser directamente utilizables por los fabricantes de productos de clase por defecto (default class), que constituyen la inmensa mayoría del mercado. Un fabricante de cualquier producto digital —desde un rúter doméstico hasta un dispositivo wearable— debe poder tomar estas normas horizontales y tener una guía clara y completa para cumplir con el CRA: vocabulario para entender los requisitos, principios para diseñar e implementar la seguridad y procesos para gestionarla a lo largo del tiempo.

Por otro lado, estas normas deben servir de base técnica para el desarrollo de las 26 normas verticales. Esto implica un delicado equilibrio: deben ser suficientemente específicas para proporcionar orientación clara y verificable, pero suficientemente flexibles para permitir la especialización sectorial sin crear contradicciones. Las tres normas trabajan juntas para lograr este equilibrio: el vocabulario proporciona estabilidad terminológica, los principios establecen el marco de referencia común y la gestión de vulnerabilidades define el proceso continuo que todos los productos deben seguir.

Papel de España: participación activa en un proceso estratégico

España, a través de UNE y el Comité Técnico Nacional de Ciberseguridad, privacidad y protección de datos (CTN 320), está desempeñando un papel muy activo en este proceso. UNE participa como socio en ambos proyectos europeos de financiación EISMEA (STAN4CR), lo que garantiza que la voz de la industria española esté presente en las mesas de desarrollo normativo.

Esta participación no es meramente testimonial. Los expertos españoles contribuyen a los grupos de trabajo aportando la experiencia de sectores estratégicos nacionales como la automoción, las telecomunicaciones, la energía y la industria de defensa. Además, el CTN 320 actúa como espejo nacional de CEN/CLC JTC 13, canalizando los comentarios de la industria española y coordinando las posiciones nacionales en las votaciones europeas.

El actual periodo de Información Pública Paralela (IPP) de las tres normas horizontales representa una oportunidad única para que las empresas españolas influyan en el desarrollo de estos estándares fundamentales. Los comentarios recibidos durante este periodo no solo mejorarán la calidad técnica de las normas, sino que también ayudarán a garantizar que reflejen las realidades operativas y las mejores prácticas de la industria europea.

Esta arquitectura de normas horizontales más verticales plantea un desafío de coordinación sin precedentes en la historia de la normalización europea

Conclusión: un trípode que sostiene el futuro de la ciberseguridad europea

El desarrollo de las normas CRA está avanzando a una velocidad sin precedentes en la normalización europea. Las consultas públicas de 2025, la adopción de estándares en 2026, y la aplicabilidad del CRA en diciembre de 2027 marcan hitos inamovibles. Las empresas que comercialicen productos con elementos digitales en la UE no tienen otra opción que prepararse.

Las tres normas horizontales —vocabulario, principios y gestión de vulnerabilidades— son las herramientas que la industria necesita para esta preparación. Su importancia trasciende lo meramente técnico: representan la materialización de un nuevo paradigma de ciberseguridad en Europa, donde la seguridad de los productos digitales deja de ser opcional para convertirse en un requisito legal verificable. La coordinación efectiva entre comités técnicos y la participación activa de la industria en su desarrollo no son lujos: son condiciones necesarias para el éxito de todo el sistema. El trípode está construyéndose ahora, y su solidez determinará la estabilidad de todo lo que se construya sobre él.

Jesús Fernández

Presidente del CTN 320/SC6 Seguridad de producto (CRA)

La “Cyber Resilience Act” europea representa la apuesta regulatoria más ambiciosa en ciberseguridad de productos de consumo. Pero no está sola en el tablero.

Hoy compiten grandes regulaciones nacionales de productos —EE. UU., Singapur, Corea del Sur, Japón, Reino Unido y Australia— y una coalición de once países impulsando un esquema global de etiquetado de ciberseguridad (GCLI). Esta proliferación normativa anticipa una pugna geopolítica inevitable: ¿qué modelo se impondrá como estándar mundial?

Los contendientes se dividen en dos filosofías opuestas. Por un lado, el enfoque europeo, británico y australiano: requisitos obligatorios como barrera de entrada al mercado. Sin cumplimiento mínimo, no hay acceso. La protección del consumidor prima sobre la flexibilidad empresarial.

Por otro, el modelo estadounidense, singapurense, japonés y surcoreano: etiquetados voluntarios que dejan al mercado decidir. Los fabricantes eligen su nivel de inversión en seguridad; los consumidores informados premian a los fabricantes que ofrezcan mayor confianza

¿Cuál prevalecerá? Mi apuesta es clara: triunfarán los marcos que generen mayor transparencia entre fabricantes y consumidores y aquellos que sean más versátiles para adaptarse a los diferentes usos de los productos, en diferentes escenarios de riesgos. No ganará quien imponga más requisitos, sino quien ofrezca mayor valor a ciudadanos y consumidores.

La ciberseguridad ya no es solo técnica: es geopolítica. Y en esta batalla regulatoria, el premio es definir las reglas del juego digital global para las próximas décadas.

Fuente: revistanormalizacion.une