La aprobación del Reglamento de Ciberresiliencia (CRA) por parte de la Unión Europea marca un antes y un después en la seguridad de los productos con elementos digitales. Es un paso histórico hacia un mercado más seguro, transparente y robusto. Pero también abre una pregunta imprescindible para nuestro ecosistema: ¿Puede aplicarse directamente un reglamento en tecnologías de operación cuyo ciclo de vida, restricciones operativas y riesgos son completamente distintos?
En el CCI creemos que la respuesta es clara: no. Y esa es precisamente la motivación del nuevo Position Paper CRA Industrial.
Por qué la industria necesita una CRA adaptada
Los entornos de tecnología operativa no son una extensión del IT. Son sistemas críticos que llevan décadas en funcionamiento, con ciclos de vida de 15 a 30 años, integraciones altamente personalizadas y un requisito irrenunciable: la disponibilidad operativa es sagrada. Por eso, desde el CCI defendemos una idea clave:
sin una adaptación específica para OT, el CRA no podrá aplicarse de forma efectiva, eficiente ni justa en la industria.
Qué propone el CCI con la CRA Industrial multisectorial
El Position Paper plantea una adaptación estructurada, pragmática y alineada con los principios europeos, basada en ejes esenciales:
-
Un enfoque basado en riesgo industrial real
La CRA Industrial de CCI propone clasificar productos según su nivel de amenaza y su impacto operativo (Clase I, II o Crítico), considerando no solo vulnerabilidades digitales, sino también la seguridad física, la continuidad del servicio y el entorno regulatorio sectorial
-
Equilibrio entre ciberseguridad y disponibilidad
El objetivo no es imponer requisitos inviables, sino garantizar que cualquier medida fortalezca la seguridad sin poner en riesgo la operación. Por ello se impulsa el concepto de planes de seguridad compensatoria, una pieza clave en OT
-
Gradualidad y transición ordenada
La propuesta establece una hoja de ruta realista:
- Inicio CRA Industrial en 2026
- Obligación en nuevos productos en 2027
- Transición hasta 2032 para productos ya operativos
-
Responsabilidad compartida (fabricante–integrador–operador)
Por primera vez, se articula un modelo de cumplimiento distribuido que reconoce que la ciberseguridad OT depende del ecosistema, no solo del fabricante. Esto incluye gestión coordinada de vulnerabilidades, validación en puesta en marcha y supervisión permanente
-
Adaptación de Common Criteria al mundo OT
El documento propone cambios concretos en EUCC y Common Criteria para que sean viables en OT:
- Perfiles de protección para PLCs, RTUs, IEDs, SCADA o gateways industriales
- Evaluaciones modulares
- Inclusión de amenazas físicas y operativas reales
- Integración con safety y normativa sectorial (IEC 61508, 61511…)
El objetivo final: una guía multisectorial para toda la industria
El Position Paper es el primer paso hacia una CRA Industrial aplicada a sectores como eléctrico, agua, transporte, químico, oil&gas, alimentación, salud, metalurgia o manufactura. Una guía que permitirá a cada actor, fabricante, integrador y operador, entender qué se espera de él, cómo cumplir y cómo hacerlo sin disrupciones. El enfoque incorpora experiencias de marcos existentes, como los mecanismos de “modificación sustancial” usados en el sector ferroviario o sanitario, donde la viabilidad técnica y económica es parte del análisis regulatorio.
