Cómo minimizar los riesgos en la seguridad de las redes industriales y cumplir la Ley de Ciberresiliencia de la Unión Europea (CRA)

La ciberseguridad en la automatización industrial ya no es opcional: es esencial. A medida que avanza la Industria 4.0, los sistemas conectados se enfrentan a riesgos crecientes derivados de ciberataques y de la evolución de la normativa. En este artículo se explica cómo Festo garantiza el cumplimiento de la normativa y la fiabilidad en materia de ciberseguridad y seguridad de los productos, y por quéla Ley de Ciberresiliencia (CRA) de la Unión Europea es importante para la seguridad de las redes industriales.

¿Qué es la seguridad OT y por qué es importante en ciberseguridad?

La seguridad de la tecnología operativa (OT) protege los sistemas que controlan las operaciones industriales, abarcando la fabricación, la robótica, las redes de energía y las infraestructuras críticas. Dado que la tecnología operativa gestiona directamente los procesos físicos, su protección es vital para la seguridad, la fiabilidad y la producción ininterrumpida.

Dado que los ciberataques son cada vez más sofisticados, la seguridad de los productos es ahora crucial para garantizar la seguridad de la tecnología operativa. Una brecha de seguridad puede detener las operaciones, dañar los equipos, causar importantes riesgos financieros y provocar una posible pérdida de datos. Esto hace que las estrategias a medida sean esenciales para los sistemas heredados, las demandas en tiempo real y la convergencia de las redes de las tecnologías de la información y operativas.

Entre los principales reglamentos y normas que determinan la seguridad de las tecnologías operativas figuran los siguientes:

• Ley de Ciberresiliencia (CRA): Establece requisitos de seguridad más estrictos en toda la UE para los productos con elementos digitales, especialmente los dispositivos conectados.
• El Reglamento (UE) 2023/1230 relativo a las máquinas, aplicable a partir del 20 de enero de 2027, exige que los productos estén protegidos contra la corrupción de los datos y la manipulación.
• La Directiva NIS2 de la UE (UE) 2022/2555, aplicable a partir del 18 de octubre de 2024, establece requisitos de ciberseguridad más estrictos para las entidades esenciales e importantes.
• NIST SP 800-82: Guía estadounidense con las mejores prácticas para arquitecturas de las tecnologías operativas, mitigación de amenazas y respuesta.
• Una lista de materiales de software (SBOM) que enumera todas las bibliotecas y dependencias de un producto de software para mejorar la transparencia y la seguridad.
• IEC62443 Norma internacional para la seguridad de los sistemas de control industrial, desde el diseño hasta la supervisión.
• ISA/IEC61511: Aborda los sistemas instrumentados de seguridad en los que se cruzan la seguridad y la ciberseguridad.

¿Qué son los sistemas de control industrial (ICS) y por qué son fundamentales para la ciberseguridad?

Los sistemas de control industrial (ICS) son soluciones de hardware y software que supervisan, controlan y automatizan procesos en sectores como la fabricación, la energía, el tratamiento de aguas y el transporte. Los principales componentes incluyen sistemas SCADA para la supervisión remota, sistemas de control distribuido (DCS) para el control centralizado de la planta, PLC para tareas específicas de la fábrica y HMI que permiten a los operarios visualizar y gestionar los procesos. Además de garantizar la seguridad y la eficiencia de las operaciones, los ICS son fundamentales para defenderse de los ciberataques que pueden interrumpir las infraestructuras esenciales. La Ley de Ciberresiliencia (CRA) pone de manifiesto esta urgencia, y Festo garantizará la seguridad de sus productos y apoyará a sus clientes con soluciones de automatización fiables y conformes a la normativa.

Cómo refuerza la ciberseguridad el CRA de la Unión Europea

La Ley de Ciberresiliencia de la UE es un reglamento concebido para garantizar que todos los productos conectados con elementos digitales –hardware y software– sean seguros por diseño, seguros por defecto y seguros durante todo su ciclo de vida. Se aplica a los fabricantes, importadores y distribuidores que comercializan estos productos en la UE.

Las obligaciones clave comprenden:

• Evaluaciones de riesgos y ciberseguridad antes de comercializar los productos
• Actualizaciones continuas de seguridad y gestión de vulnerabilidades
• Marcado CE (Conformidad Europea) para demostrar la conformidad
• Notificación a ENISA, a partir del 11 de septiembre de 2026, de las vulnerabilidades explotadas durante los ciberataques.

El pleno cumplimiento será obligatorio a partir del 11de diciembre de 2027, con sanciones de hasta 15 millones de euros o el 2,5 % de la facturación mundial en caso de incumplimiento.

¿Cómo apoya Festo a sus clientes en el marco del Reglamento de Ciberresiliencia?

El hardware y el software de Festo con interfaces digitales –como los PLC, ordenadores perimetrales, terminales de válvulas, controladores de movimiento, herramientas de ingeniería y aplicaciones analíticas basadas en IA– están sujetos al CRA. Para apoyar el cumplimiento del CRA, Festo ofrece una herramienta de código abierto para crear, editar y validar los SBOM de CycloneDX, ayudando a los usuarios a documentar los componentes de software utilizados y a detectar vulnerabilidades. Ayudamos a los fabricantes de maquinaria, distribuidores e importadores a gestionar el cumplimiento del CRA en cuanto a plazos, documentación y seguridad.

Aunque todavía no hay productos que cumplan el la Ley CRA, Festo cuenta con la certificación IEC 62443-4-1 para su desarrollo seguro, auditado por TÜV Süd, y aplica métodos de análisis de amenazas y riesgos (TARA) para identificar posibles riesgos al utilizar nuestros productos y mitigarlos. Nos aseguramos de que para diciembre de 2027, los clientes puedan utilizar con confianza las soluciones de Festo de conformidad con la normativa de la UE.

Funciones bajo el CRA y contacto de seguridad en Festo

El CRA afecta a todas las funciones de la automatización: Los fabricantes de equipos originales deben demostrar la conformidad de las máquinas, los integradores son responsables de que los componentes sean seguros, los operadores exigen garantías de continuidad y los responsables de compras deben evaluar la preparación de los proveedores. El mayor reto es la incertidumbre en torno a la certificación, los ciclos de vida de los productos y el abastecimiento, que abordamos con transparencia y medidas documentadas. Festo cumple las normas ISO/IEC 29147 e ISO/IEC 30111.

Las vulnerabilidades pueden notificarse a nuestro Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) a través del formulario de contacto o por correo electrónico a psirt@festo.com, y en nuestro sitio web publicamos de forma transparente avisos con vulnerabilidades conocidas y corregidas.

Su lista de verificación paso a paso del cumplimiento de la ciberseguridad para el CRA

☑ Comprender cómo afecta el CRA a las máquinas, las operaciones y las adquisiciones.

☑ Confirmar ahora la preparación de los proveedores para el CRA, no esperar hasta 2027.

☑ Utilizar los avisos, declaraciones y documentación de seguridad de Festo para la planificación.

☑ Mantenerse alineado con los requisitos de IEC 62443 y CRA para evitar riesgos de cumplimiento.

☑ Confiar en Festo como su socio de confianza en seguridad de productos.