Requisitos esenciales de ciberseguridad
Los requisitos obligatorios de seguridad establecidos en el Anexo I del CRA que todo producto con elementos digitales debe cumplir. Se dividen en dos partes: la Parte I abarca las propiedades de seguridad del producto en sí, y la Parte II abarca los procesos de gestión de vulnerabilidades que el fabricante debe mantener durante el ciclo de vida del producto.
Citas de fuentes
Véase también
Texto reglamentario
El artículo 10 del Reglamento (UE) 2024/2847 exige que los fabricantes se aseguren de que los productos con elementos digitales cumplan los requisitos esenciales de ciberseguridad del Anexo I en el momento de su puesta en el mercado y durante toda la vida útil prevista o el periodo de soporte, si este es más largo.
Resumen del Anexo I, Parte I
Los productos deben:
- No contener vulnerabilidades conocidas explotables (en el momento de su puesta en el mercado)
- Tener una configuración segura por defecto
- Proteger los datos almacenados, transmitidos y procesados
- Minimizar la superficie de ataque
- Impedir el acceso no autorizado
- Mantener la disponibilidad de las funciones esenciales
- Registrar y supervisar los eventos de seguridad relevantes
- Proporcionar actualizaciones de seguridad
Resumen del Anexo I, Parte II
Los fabricantes deben:
- Identificar y documentar las vulnerabilidades y los componentes de los productos
- Corregir las vulnerabilidades oportunamente y sin costes adicionales
- Aplicar una política de CVD
- Elaborar y mantener un SBOM
- Notificar las vulnerabilidades activamente explotadas y los incidentes graves