La Ley Europea de Ciberresiliencia (CRA), promulgada en diciembre de 2024, es una importante pieza legislativa que establece requisitos de seguridad para los productos digitales conectados.
Con la entrada en vigor de las obligaciones de notificación de vulnerabilidades en septiembre de 2026 y la entrada en vigor de todas las disposiciones en diciembre de 2027, con fuertes sanciones para las empresas incumplidoras, esta es una guía sencilla sobre los requisitos clave de la CRA y lo que los fabricantes de productos digitales deben abordar ahora.

Se explican los principales requisitos de la CRA y se esbozan las medidas específicas que deben adoptar los fabricantes de productos digitales.
Se explican los puntos clave de actuación, desde el diseño, el desarrollo y la producción teniendo en cuenta la ciberseguridad, hasta la eliminación de vulnerabilidades conocidas antes del lanzamiento al mercado, pasando por la notificación de vulnerabilidades e incidentes y el suministro de parches tras el lanzamiento al mercado. Además, se presentan métodos de análisis de riesgos y sistemas eficaces de supervisión de vulnerabilidades.

Generalmente se cree que el “departamento de control de calidad” se encarga de las auditorías internas basadas en la norma ISO/SAE 21434, pero en realidad, la propia “organización auditada” debe desempeñar cierto papel para garantizar la eficacia del SGC (Sistema de Gestión de Ciberseguridad) y realizar auditorías sin problemas.
El curso explica cómo proceder con las auditorías internas y los conocimientos básicos necesarios para hacer funcionar eficazmente un SGCC. Dé el primer paso hacia el establecimiento de la ciberseguridad en su conjunto aprendiendo conocimientos prácticos.

(i) La necesidad de realizar auditorías internas basadas en la norma ISO/SAE 21434 y las medidas que deben adoptarse en toda la organización.
Las auditorías internas basadas en la norma ISO/SAE 21434 son esenciales para mantener y mejorar el sistema de gestión (CSMS) con el fin de garantizar la ciberseguridad de los productos integrados, incluidos los automóviles. En respuesta a la importancia del software en la industria del automóvil y a la creciente sofisticación de los ciberataques, es necesario gestionar las vulnerabilidades a lo largo de todo el ciclo de vida, desde el desarrollo hasta la eliminación.
La cooperación multisectorial, que incluye no sólo a los departamentos de calidad sino también a las “organizaciones no auditoras”, garantiza la detección precoz de los riesgos y la seguridad mediante auditorías y mejoras continuas en toda la empresa.

(ii) Conocimientos básicos de las actividades del sistema de gestión como auditor.
Para las organizaciones de la industria del automóvil que han establecido un sistema de gestión de la ciberseguridad (SGCS), las auditorías internas son esenciales como parte de las actividades de evaluación (C: Comprobación en el ciclo PDCA). Para llevar a cabo estas auditorías de manera eficaz, es esencial tener un conocimiento básico de las actividades del sistema de gestión operado por la organización que va a ser auditada (organización auditada).
En esta sección se presentan los conocimientos básicos sobre las actividades del sistema de gestión de la organización auditada, que son esenciales para llevar a cabo sin problemas las auditorías internas.