Garantizar la seguridad del producto a lo largo de su ciclo de vida (seguridad desde el diseño)
- Se aplica a
- Manufacturer
- Citas de fuentes
- Art. 13(1)Art. 13(2)Annex I Part I §1
- Clases de productos
- DefaultImportant — Class IImportant — Class IICritical
Lenguaje claro
El producto debe desarrollarse teniendo en cuenta la seguridad desde el primer momento. Esto implica identificar los riesgos de seguridad antes de la comercialización, adoptar decisiones de seguridad durante el diseño (no como medida posterior) y continuar abordando la seguridad durante toda la vida útil del producto. Se trata de la «seguridad desde el diseño»: se requiere un proceso documentado, no solo buenas intenciones.
Texto jurídico
El artículo 13(1) del Reglamento (UE) 2024/2847 exige que los fabricantes de productos con elementos digitales garanticen que estos sean diseñados, desarrollados y producidos de conformidad con los requisitos esenciales de ciberseguridad establecidos en el Anexo I Parte I.
El artículo 13(2) exige además que los fabricantes lleven a cabo una evaluación de los riesgos de ciberseguridad asociados al producto con elementos digitales, teniendo en cuenta los riesgos para la seguridad de los usuarios.
Requisitos clave
- Evaluación de riesgos en la fase de diseño: identificar y documentar los riesgos de seguridad
- Proceso de desarrollo seguro: aplicar los requisitos del Anexo I Parte I en todas las fases
- Configuración segura por defecto: ningún estado inseguro de fábrica
- Minimización de la superficie de ataque: desactivar funciones y puertos no necesarios
- Seguridad durante el ciclo de vida: la seguridad se aborda en el diseño, el desarrollo y la producción
Documentación que puede necesitar
- Evaluación de riesgos de ciberseguridad del producto (documentada)
- Política del ciclo de vida de desarrollo seguro
- Documentos de arquitectura y diseño que reflejen las decisiones de seguridad
- Registros de pruebas que demuestren el cumplimiento del Anexo I