El creciente número de ciberataques que afectan a los productos digitales, unido a las vulnerabilidades generalizadas y a la insuficiencia de actualizaciones de seguridad oportunas, genera una pesada carga financiera para la sociedad. En respuesta, la Comisión Europea ha elaborado la Ley de Ciberresiliencia (CRA), una nueva propuesta de reglamento para definir el marco legislativo de los requisitos esenciales de ciberseguridad que deben cumplir los fabricantes al comercializar en el mercado interior cualquier producto con elementos digitales. Para facilitar la adopción de las disposiciones de la CRA, estos requisitos deben traducirse en forma de normas armonizadas, que los fabricantes puedan cumplir. En apoyo del esfuerzo de normalización, este estudio intenta identificar las normas de ciberseguridad existentes más relevantes para cada requisito de la ACC, analiza la cobertura ya ofrecida en el ámbito previsto del requisito y destaca las posibles lagunas que deben abordarse. La propuesta de CRA abarca todos los productos con elementos digitales comercializados que puedan conectarse a un dispositivo o a una red, incluidos sus componentes básicos (es decir, hardware y software), así como las soluciones proporcionadas en forma de software como servicio (SaaS) si se consideran soluciones de tratamiento de datos a distancia. Estos requisitos deben ser objeto de un proceso de normalización por parte de los organismos europeos de normalización (OEN) para expresarlos en forma de especificaciones en normas armonizadas. El principio general es que, para los productos comercializados, será suficiente una autoevaluación del cumplimiento de varios requisitos. Para determinadas categorías de productos más críticos, se exigirá la aplicación de normas armonizadas. Para los productos aún más críticos, será obligatoria una evaluación por terceros. Este informe detalla los resultados de normalización disponibles sobre la ciberseguridad de los productos (productos de hardware y software, incluidos los componentes de hardware y software de productos más complejos) llevados a cabo principalmente por OEN y organizaciones internacionales de desarrollo de normas (SDO). En concreto, el estudio tiene por objeto presentar una correspondencia entre las normas de ciberseguridad existentes y los requisitos esenciales de la propuesta de ACC, junto con un análisis de las diferencias entre las normas correspondidas y los requisitos. Con vistas al desarrollo de normas armonizadas, este análisis ofrece una posible visión general sobre la cobertura actual de los requisitos por parte de las especificaciones existentes, destacando las posibles carencias que pueden compensarse mediante nuevos trabajos de normalización. A petición de la DG CNECT, este estudio ha sido elaborado conjuntamente por el Centro Común de Investigación (CCI) y la Agencia de Ciberseguridad de la Unión Europea (ENISA). Ello se ajustaba también a las expectativas de la propuesta de Reglamento, en la que se afirma que la Comisión y ENISA deben considerar las sinergias en los aspectos de normalización. 

Para cada uno de los comités identificados se ha identificado la lista de actividades de normalización, incluidas las actividades en curso, con relevancia potencial para la cartografía, elaborando una lista de las normas respectivas. Las normas identificadas anteriormente se han analizado sobre la base de la información libremente disponible para confirmar su pertinencia para el tema específico. Para aquellas consideradas relevantes se ha propuesto un mapeo tentativo a los requisitos de ciberseguridad del Reglamento CRA, mientras que las demás han sido descartadas. En el presente documento se resumen algunas estadísticas relativas a esta actividad, a fin de dar un orden de magnitud de su alcance. Esta visión de conjunto de alto nivel representó un terreno preparatorio para el análisis profundo de la etapa siguiente. Una vez enumeradas todas las normas que podían ser pertinentes en un primer análisis cuantitativo, el análisis adoptó un enfoque ascendente. Para cada requisito de la CRA se seleccionaron las normas más pertinentes sobre la base de un análisis de expertos, lo que permitió identificar tanto la cobertura ofrecida actualmente como las posibles lagunas que debían abordarse en fases posteriores de normalización. Los requisitos esenciales de ciberseguridad CRA se presentan en una lista, y cada uno de ellos se expresa en forma de texto genérico. Para mejorar la identificación y evaluación de las normas que posiblemente cubran aspectos recogidos por los requisitos esenciales, se ha considerado útil analizarlas y destacar algunos conceptos básicos. En concreto, para cada requisito esencial se ha identificado un conjunto de ejemplos de subrequisitos y palabras clave. Dichos elementos han servido principalmente de guía para identificar las normas pertinentes para las ERC, pero no pretenden representar una lista exhaustiva de subrequisitos, dado que el desglose específico de un requisito puede depender de las especificidades de los productos y las aplicaciones. Hay que señalar que cuando una norma identificada estaba disponible tanto en forma de norma internacional como de norma europea, se ha referenciado según esta última. Además de la correspondencia entre requisitos y normas, dado que los requisitos de seguridad pueden aplicarse a distintas fases del ciclo de vida de los productos, el estudio se ha enriquecido con información que señala la posible pertinencia de un requisito con fases específicas del ciclo de vida del producto. Esto puede ser útil desde el punto de vista del fabricante para navegar mejor a través de los requisitos y normas en función de la fase en la que se encuentre el producto. Se ha tomado como referencia el ciclo de vida genérico de alto nivel que se aplica a toda diversidad de productos. Los productos con elementos digitales están cada vez más presentes en la vida de las personas. El creciente número de ciberataques que los afectan desencadena repercusiones negativas en muy diversos aspectos de la sociedad. Como respuesta, la Comisión Europea ha propuesto la Ley de Ciberresiliencia, un nuevo marco legislativo que prescribe una serie de requisitos de ciberseguridad que los fabricantes deben aplicar en sus productos con elementos digitales. Los requisitos definidos deberían traducirse en normas europeas armonizadas que se convertirían en las especificaciones de ciberseguridad de referencia que deberían seguir los fabricantes. Con vistas a esta actividad de normalización, este informe identifica las normas de ciberseguridad más relevantes ya existentes y las relaciona con los diferentes requisitos, describiendo tanto el nivel de cobertura ofrecido como las lagunas que posiblemente deban considerarse en futuros esfuerzos de normalización. El análisis ofrece la seguridad de que ya existe una buena base de normalización internacional en materia de ciberseguridad para atender el ámbito de aplicación de los requisitos de la Ley de Ciberresiliencia, pero es necesaria una armonización para garantizar una cobertura horizontal homogénea, y aún deben colmarse algunas lagunas, como se destaca en este informe.

El informe está dividido en 5 secciones, en resumen, en la Sección 2 se resume la metodología adoptada para llevar a cabo este estudio. La sección 3 está dedicada a la presentación de la correspondencia entre requisitos y normas, con un análisis de la cobertura ofrecida por las normas y las posibles lagunas. En la Sección 4 se ofrece un resumen de todas las normas identificadas y su respectiva correspondencia, junto con algunas observaciones generales, mientras que la Sección 5 está dedicada a las conclusiones. Para cada una de las organizaciones enumeradas anteriormente, se han identificado los respectivos comités que trabajan en normas de ciberseguridad. El informe destaca la importancia de la resiliencia cibernética para garantizar la seguridad y la estabilidad de los sistemas digitales en la Unión Europea (UE). El CRA establece requisitos para los proveedores de servicios digitales esenciales y los operadores de infraestructuras críticas en términos de gestión de riesgos, incidentes y notificación de incidentes, así como cooperación entre los Estados miembros de la UE. El informe analiza cómo los estándares de ciberseguridad existentes pueden ayudar a cumplir con los requisitos del CRA, centrándose en estándares reconocidos internacionalmente como ISO/IEC 27001 para la gestión de la seguridad de la información, ISO/IEC 27035 para la gestión de incidentes de seguridad de la información, y ISO/IEC 30111 para la gestión de vulnerabilidades. Además, se consideran estándares específicos de la UE, como ENISA’s CSIRTs in Network and Information Security Directive y el NIS Cooperation Group Good Practices for Security of Critical Information Infrastructures. El informe destaca la importancia de adaptar los estándares existentes a las necesidades específicas de los proveedores de servicios digitales esenciales y los operadores de infraestructuras críticas, así como de establecer mecanismos de evaluación y certificación de la conformidad con los requisitos del CRA. También se resalta la importancia de promover la colaboración entre los Estados miembros de la UE en materia de ciberseguridad para garantizar una respuesta eficaz a los incidentes cibernéticos y fortalecer la resiliencia cibernética en toda la UE.