Cómo minimizar los riesgos en la seguridad de las redes industriales y cumplir la Ley de Ciberresiliencia de la Unión Europea (CRA)

La ciberseguridad en la automatización industrial ya no es opcional: es esencial. A medida que avanza la Industria 4.0, los sistemas conectados se enfrentan a riesgos crecientes derivados de ciberataques y de la evolución de la normativa. En este artículo se explica cómo Festo garantiza el cumplimiento de la normativa y la fiabilidad en materia de ciberseguridad y seguridad de los productos, y por quéla Ley de Ciberresiliencia (CRA) de la Unión Europea es importante para la seguridad de las redes industriales.

¿Qué es la seguridad OT y por qué es importante en ciberseguridad?

La seguridad de la tecnología operativa (OT) protege los sistemas que controlan las operaciones industriales, abarcando la fabricación, la robótica, las redes de energía y las infraestructuras críticas. Dado que la tecnología operativa gestiona directamente los procesos físicos, su protección es vital para la seguridad, la fiabilidad y la producción ininterrumpida.

Dado que los ciberataques son cada vez más sofisticados, la seguridad de los productos es ahora crucial para garantizar la seguridad de la tecnología operativa. Una brecha de seguridad puede detener las operaciones, dañar los equipos, causar importantes riesgos financieros y provocar una posible pérdida de datos. Esto hace que las estrategias a medida sean esenciales para los sistemas heredados, las demandas en tiempo real y la convergencia de las redes de las tecnologías de la información y operativas.

Entre los principales reglamentos y normas que determinan la seguridad de las tecnologías operativas figuran los siguientes:

• Ley de Ciberresiliencia (CRA): Establece requisitos de seguridad más estrictos en toda la UE para los productos con elementos digitales, especialmente los dispositivos conectados.
• El Reglamento (UE) 2023/1230 relativo a las máquinas, aplicable a partir del 20 de enero de 2027, exige que los productos estén protegidos contra la corrupción de los datos y la manipulación.
• La Directiva NIS2 de la UE (UE) 2022/2555, aplicable a partir del 18 de octubre de 2024, establece requisitos de ciberseguridad más estrictos para las entidades esenciales e importantes.
• NIST SP 800-82: Guía estadounidense con las mejores prácticas para arquitecturas de las tecnologías operativas, mitigación de amenazas y respuesta.
• Una lista de materiales de software (SBOM) que enumera todas las bibliotecas y dependencias de un producto de software para mejorar la transparencia y la seguridad.
• IEC62443 Norma internacional para la seguridad de los sistemas de control industrial, desde el diseño hasta la supervisión.
• ISA/IEC61511: Aborda los sistemas instrumentados de seguridad en los que se cruzan la seguridad y la ciberseguridad.

¿Qué son los sistemas de control industrial (ICS) y por qué son fundamentales para la ciberseguridad?

Los sistemas de control industrial (ICS) son soluciones de hardware y software que supervisan, controlan y automatizan procesos en sectores como la fabricación, la energía, el tratamiento de aguas y el transporte. Los principales componentes incluyen sistemas SCADA para la supervisión remota, sistemas de control distribuido (DCS) para el control centralizado de la planta, PLC para tareas específicas de la fábrica y HMI que permiten a los operarios visualizar y gestionar los procesos. Además de garantizar la seguridad y la eficiencia de las operaciones, los ICS son fundamentales para defenderse de los ciberataques que pueden interrumpir las infraestructuras esenciales. La Ley de Ciberresiliencia (CRA) pone de manifiesto esta urgencia, y Festo garantizará la seguridad de sus productos y apoyará a sus clientes con soluciones de automatización fiables y conformes a la normativa.

Cómo refuerza la ciberseguridad el CRA de la Unión Europea

La Ley de Ciberresiliencia de la UE es un reglamento concebido para garantizar que todos los productos conectados con elementos digitales –hardware y software– sean seguros por diseño, seguros por defecto y seguros durante todo su ciclo de vida. Se aplica a los fabricantes, importadores y distribuidores que comercializan estos productos en la UE.

Las obligaciones clave comprenden:

• Evaluaciones de riesgos y ciberseguridad antes de comercializar los productos
• Actualizaciones continuas de seguridad y gestión de vulnerabilidades
• Marcado CE (Conformidad Europea) para demostrar la conformidad
• Notificación a ENISA, a partir del 11 de septiembre de 2026, de las vulnerabilidades explotadas durante los ciberataques.

El pleno cumplimiento será obligatorio a partir del 11de diciembre de 2027, con sanciones de hasta 15 millones de euros o el 2,5 % de la facturación mundial en caso de incumplimiento.