Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
La regulación horizontal de ciberseguridad de la UE's para productos con elementos digitales, que exige principios de seguridad por diseño, incluida la agilidad criptográfica y la seguridad de la cadena de suministro de software.
El Cyber Resilience Act (CRA) introduce requisitos obligatorios de ciberseguridad para todos los productos con elementos digitales vendidos en el mercado de la UE. Esta normativa amplia se aplica al hardware y al software por igual — desde dispositivos IoT hasta aplicaciones empresariales — exigiendo a los fabricantes gestionar vulnerabilidades, proporcionar actualizaciones de seguridad e implementar principios de seguridad por diseño a lo largo del ciclo de vida del producto.
Un requisito fundamental del CRA es agilidad criptográfica — la capacidad de actualizar o reemplazar algoritmos y parámetros criptográficos sin reemplazar todo el producto. Esto es esencial para la preparación post-cuántica y garantiza que los productos puedan adaptarse a paisajes de amenazas en evolución. Para PKI, esto significa que los certificados y los primitivos criptográficos deben estar diseñados para rotación desde el primer día.
El CRA también exige seguridad de la cadena de suministro de software, incluyendo la firma de código para garantizar la integridad del software y los Boletines de Materiales de Software (SBOM) para la transparencia. Estos requisitos generan nuevas demandas de gestión de certificados a gran escala, particularmente para los fabricantes que gestionan flotas de dispositivos conectados y lanzamientos frecuentes de software.
Los productos deben diseñarse con seguridad desde el principio, incluyendo protecciones criptográficas apropiadas, superficies de ataque mínimas y la capacidad de actualizar los componentes de seguridad.
Los fabricantes deben identificar y documentar vulnerabilidades, proporcionar actualizaciones de seguridad para la vida útil esperada del producto's, y garantizar que las actualizaciones se desplieguen de forma segura y automática.
Los productos deben soportar la capacidad de actualizar o reemplazar algoritmos y parámetros criptográficos sin requerir el reemplazo completo del producto — esencial para la preparación post-cuántica.
Los fabricantes deben documentar todos los componentes y dependencias en un SBOM legible por máquina, permitiendo la transparencia de la cadena de suministro y el seguimiento de vulnerabilidades a lo largo de la pila de software.
Los productos deben someterse a procedimientos de evaluación de conformidad — autoevaluación para productos estándar, evaluación de terceros para productos críticos — antes de llevar el marcado CE.
Las vulnerabilidades explotadas activamente deben ser reportadas dentro de 24 horas. Las autoridades de vigilancia del mercado pueden retirar productos no conformes e imponer sanciones significativas.
La Comisión Europea propone la Ley de Resiliencia Cibernética para abordar la falta de requisitos horizontales de ciberseguridad para productos con elementos digitales.
El CRA se adopta formalmente en marzo de 2024 y se publica en el Diario Oficial en noviembre de 2024 como Reglamento (UE) 2024/2847.
Los fabricantes deben comenzar a reportar vulnerabilidades explotadas activamente e incidentes de seguridad graves a ENISA y a los CSIRT nacionales.
Todos los requisitos del CRA se vuelven plenamente aplicables, incluyendo evaluaciones de conformidad, gestión de vulnerabilidades y obligaciones de seguridad por diseño.
Las autoridades de vigilancia del mercado inician acciones de cumplimiento, con los productos no conformes sujetos a multas de hasta 15 millones de EUR o el 2,5 % de la facturación global.
La Ley de Resiliencia Cibernética introduce demandas nuevas y fundamentales sobre la infraestructura PKI para fabricantes de productos y editores de software. A continuación, las áreas críticas:
Los productos deben admitir la capacidad de rotar algoritmos criptográficos, lo que impulsa directamente la necesidad de preparación postcuántica y una infraestructura de certificados que pueda adaptarse sin romper los sistemas desplegados.
Los certificados de firma de código se vuelven obligatorios para garantizar la integridad del software. Cada actualización de firmware, parche de software y lanzamiento debe estar firmado criptográficamente y ser verificable.
Los dispositivos conectados requieren certificados de identidad únicos para la autenticación y la comunicación segura, lo que genera una gran demanda de emisión y gestión de certificados a escala de fabricación.
Los parches de vulnerabilidad deben desplegarse de forma rápida y segura, requiriendo capacidades automatizadas de rotación de certificados que puedan escalar a lo largo de flotas completas de productos sin intervención manual.
Panel de agilidad criptográfica — Rastree el uso de algoritmos en todo su inventario de certificados, identifique primitivas criptográficas débiles o obsoletas y planifique su ruta de migración post‑cuántica.
Rotación automatizada de certificados — Rote rápidamente los certificados en todas las flotas de productos en respuesta a vulnerabilidades, garantizando seguridad continua sin interrupción del servicio.
Aplicación de políticas para estándares criptográficos — Defina y aplique estándares criptográficos mínimos en todos los productos, garantizando el cumplimiento de los requisitos de seguridad por diseño de CRA's desde el desarrollo hasta la implementación.
Inventario de certificados en flotas de productos — Mantenga visibilidad completa sobre todos los certificados de dispositivos y firma de código en toda su cartera de productos, desde la fabricación hasta el fin de vida.
