Realizar una evaluación de riesgos de ciberseguridad antes de la puesta en el mercado

El artículo 13(2) del Reglamento (UE) 2024/2847 exige que los fabricantes de productos con elementos digitales, teniendo en cuenta los requisitos esenciales de ciberseguridad establecidos en el Anexo I Parte I, lleven a cabo una evaluación de los riesgos de ciberseguridad asociados al producto con elementos digitales.

Dicha evaluación debe tenerse en cuenta durante las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento del producto, con el fin de minimizar los riesgos de ciberseguridad, prevenir incidentes de seguridad y minimizar el impacto de tales incidentes.

1. Evaluación de riesgos previa a la comercialización: completada antes de la puesta en el mercado
2. Diseño basado en el riesgo: los resultados deben trasladarse a las decisiones de diseño del producto
3. Alcance durante todo el ciclo de vida: abarca la planificación, el diseño, el desarrollo, la producción, la entrega y el mantenimiento
4. Documentación: la evaluación de riesgos forma parte de la documentación técnica exigida por el Anexo VII
5. Proporcionalidad: la profundidad de la evaluación debe ser proporcional a los riesgos

Esta obligación sustenta la mayoría de los deberes del Art. 13. La evaluación de riesgos determina:

• Qué requisitos del Anexo I Parte I son aplicables y cómo
• La vía de evaluación de la conformidad adecuada (Módulo A, B+C o H)
• El período de asistencia técnica declarado (OBL-ART13-08)
• Qué vulnerabilidades deben abordarse antes de la distribución (OBL-ART13-05)

• Documento de evaluación de riesgos de ciberseguridad (metodología STRIDE, TARA o equivalente)
• Modelo de amenazas con análisis de la superficie de ataque
• Decisiones de tratamiento del riesgo vinculadas a decisiones de diseño
• Registros que acrediten que la evaluación se actualizó cuando el producto fue modificado