Score
0 / 80 pts
CRA-04 — Ley Europea de Ciberresiliencia

Bajo escrutinio

La autoridad de vigilancia del mercado ya está aquí. Dispone de cinco días para demostrar que todo lo que ha creado funciona realmente.

NIVEL DE AMENAZA: VERDE

Usted es el director general de Kastos IoT. Hace ocho meses, una vulnerabilidad en el K400 desencadenó su primera respuesta ante un incidente en el marco de la CRA. Desde entonces, su equipo ha reconstruido la SBOM, ha elaborado un expediente técnico conforme a la CRA, ha gestionado la notificación de un investigador, ha definido un periodo de soporte de siete años y ha creado un programa de cumplimiento de la cadena de suministro. Hoy, la autoridad de vigilancia del mercado neerlandesa —la RDI— está aquí para verificarlo todo. No se trata de una medida punitiva. Es la primera oleada de inspecciones de vigilancia del mercado de la CRA en toda la UE. Los inspectores son profesionales y minuciosos. Disponen de cinco días. Usted tiene que demostrarlo todo.

  • Kastos IoT — 340 employees, €62M revenue, HQ Rotterdam
  • K400: Producto importante de clase I. Evaluación de la conformidad realizada por BSI Países Bajos
  • Módulo 1: Vulnerabilidad zero-day — Notificada a la ENISA, parcheada y resuelta
  • Módulo 2: Expediente técnico actualizado para la CRA. Versión 4.0 enviada junto con el certificado de conformidad
  • Módulo 3: Se ha completado la auditoría de la cadena de suministro. Se ha creado una bifurcación interna de la pila BLE
  • Inspección del RDI: 5 días. Inspectora principal: Dr. Elise Bakker
Resumen de la misión

Cómo funciona

Este es un escenario del tipo «elige tu propia aventura». Usted tomará las decisiones reales a las que se enfrenta un director general durante una inspección de vigilancia del mercado, y sus elecciones determinarán si el informe de RDI es ejemplar o crítico.

Tres Decisiones

Cada decisión se puntúa. La forma en que plantees la pregunta sobre el órgano de gestión, la corrección de la clasificación y el hallazgo relativo a la SBOM determinará tu valoración final.

Ensamblaje de Documentos

Elige los documentos adecuados para presentar de tu archivo. Algunos están actualizados. Otros son trampas obsoletas.

Entrevista en el Banquillo

Cuatro preguntas sobre gestión formuladas por el inspector jefe. Responde a cada una por tu cuenta o delega la respuesta; ambas opciones pueden ser correctas o incorrectas.

Clasificación de Hallazgos

Clasifica las cuatro observaciones del inspector por orden de gravedad. Tu clasificación permite determinar si la dirección es capaz de priorizar correctamente los riesgos de incumplimiento.

--:--:-- VERDE CRA-04: Bajo la lupa
Reunión informativa para el personal

En la habitación

Usted encarna a Hendrik van Dijk, director general de Kastos. Estas son las personas a las que deberá conocer y dirigir a lo largo de cinco días de inspección. Una de ellas está intentando ponerle en aprietos. El resto está tratando de ayudarle a salir adelante.

Dr. Elise Bakker
Dr. Elise Bakker
Inspectora principal, RDI Países Bajos
Ha visto todos los incumplimientos normativos que existen. Es un profesional. No le impresionan las florituras.
Sophie Laurent
Sophie Laurent
Director de Asuntos Jurídicos y Regulatorios
Lleva tres meses preparándose para esta inspección. Sabe perfectamente lo que puede y lo que no puede decir.
Leah Voss
Leah Voss
Responsable de seguridad del producto
Es el responsable del proceso PSIRT y de la SBOM. Es el pilar técnico de esta inspección.
Jan Mulder
Jan Mulder
Vicepresidente de Ingeniería
Bajo presión. Técnicamente brillante. No destaca precisamente por su paciencia en situaciones formales.
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación

Día 1 — Sesión inaugural

Martes, 09:00 CET

Llegan la Dra. Bakker y su equipo. Dos inspectores del RDI y un evaluador técnico. Ella comienza con una presentación general estructurada: «Sr. van Dijk, gracias por permitir esta inspección. Nos encontramos aquí en virtud de los artículos 52 a 58 de la Ley Europea de Ciberresiliencia. Se trata de una inspección rutinaria de vigilancia del mercado, la primera oleada en toda la UE. Estamos evaluando el cumplimiento del K400 con los requisitos esenciales de la CRA, su evaluación de la conformidad y sus obligaciones actuales como fabricante».

Ella describe el programa de cinco días: Día 1: visión general de la gestión y revisión de la documentación. Día 2: análisis técnico en profundidad (SBOM, proceso de gestión de vulnerabilidades, pruebas de seguridad). Día 3: diligencia debida de la cadena de suministro y los componentes. Día 4: entrevistas con el personal clave. Día 5: conclusiones y evaluación preliminar.

Su primera pregunta va dirigida directamente a usted: «¿Podría describir, con sus propias palabras, qué exige la CRA a Kastos como fabricante del K400?»

Dr. Elise Bakker
Dr. Elise Bakker — Inspectora jefe, RDI
No estoy pidiendo una exposición jurídica. Quiero saber si el órgano de dirección —usted personalmente— conoce el marco normativo en el que opera su empresa. ¿Qué exige la CRA a Kastos?
OF
OPS FEED — Resumen de la situación
[09:05] INSPECCIÓN — Inicio del Día 1. Responsable: Dr. Elise Bakker, RDI. Alcance: Cumplimiento de la CRA, línea de productos K400. Duración: 5 días.
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Se requiere una decisión

La cuestión del órgano de dirección

La Dra. Bakker quiere conocer SU interpretación de la CRA, no la de Sophie ni la de Leah. Quiere comprobar si el director general comprende realmente el marco normativo. ¿Cómo respondería usted?

--:--:-- VERDE CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Positive

El director general comprende el marco

Hable durante tres minutos. Describa los requisitos esenciales de la CRA con sus propias palabras —sin citar artículos, sino explicando lo que significan para Kastos—. Mencione el «zero-day» como una llamada de atención. Describa la reconstrucción del expediente técnico, el compromiso con el periodo de soporte y el programa de cadena de suministro. Sea sincero acerca de las deficiencias detectadas y las correcciones realizadas.

La Dra. Bakker toma notas. Cuando usted termina, ella dice: «Gracias. Esa es una exposición clara de sus obligaciones. Le agradezco su franqueza respecto a la corrección de la clasificación; lo discutiremos con más detalle. Por ahora, me parece satisfactorio que el órgano de dirección tenga una comprensión adecuada del marco de la CRA».

Sophie le hace un pequeño gesto con la cabeza. Buen comienzo.

Regulatory Reference
Responsabilidad de la CRA y del órgano de dirección
La CRA impone obligaciones al fabricante, es decir, a la entidad jurídica que comercializa el producto. Las autoridades de vigilancia del mercado evalúan si el órgano de dirección comprende y supervisa dichas obligaciones. Un director general capaz de explicar el marco normativo en términos prácticos demuestra que el cumplimiento normativo forma parte integrante del liderazgo de la organización, y no se delega en un equipo de cumplimiento.
Dr. Elise Bakker
Dra. Elise Bakker — Inspectora principal, RDI
«Gracias. Esa es una exposición clara de sus obligaciones. Agradezco la franqueza respecto a la corrección de la clasificación. Por ahora, me parece satisfactorio que el órgano de dirección tenga una comprensión adecuada del marco de la CRA».
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Neutral

Remitido al departamento jurídico

Sophie ofrece un resumen conciso de dos minutos sobre los requisitos de la CRA. A continuación, usted aporta el contexto operativo: «Desde mi punto de vista, el cambio más importante ha sido pasar de una mentalidad centrada en la certificación del hardware a una obligación continua en materia de seguridad del software».

El Dr. Bakker señala: «Gracias, Sra. Laurent. Sr. van Dijk, agradezco su punto de vista operativo. Debo aclarar que, cuando pido al órgano de dirección que describa el marco normativo, me interesa específicamente conocer su interpretación personal. Los inspectores hablarán con su equipo jurídico por separado. Para la evaluación del órgano de dirección, necesito que me lo explique usted directamente».

Es educada, pero el mensaje es claro: el director general no debería necesitar que el abogado le explique las obligaciones normativas de la empresa.

Dr. Elise Bakker
Dra. Elise Bakker — Inspectora principal, RDI
«Cuando pido al órgano de dirección que describa el marco normativo, lo que me interesa específicamente es su interpretación personal. Los inspectores hablarán con su equipo jurídico por separado».
--:--:-- ROJO CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Negative

Logros sin marco

Usted dedica cuatro minutos a repasar los logros de Kastos en materia de cumplimiento. El Dr. Bakker escucha y luego dice: «Sr. van Dijk, esas medidas operativas son impresionantes. Pero yo le pregunté qué exige la CRA a Kastos: el marco normativo, no las acciones. Las acciones son la prueba del cumplimiento. Necesito saber si el órgano de dirección sabe qué es lo que debe cumplir. ¿Podría describir los requisitos esenciales?».

La pregunta cae en el blanco. Se da cuenta de que ha estado hablando de lo que hizo Kastos, pero no del porqué. Sophie se inclina hacia usted y le entrega una nota: «Anexo I: requisitos esenciales de ciberseguridad. Artículo 13: obligaciones de los fabricantes. Artículo 14: notificación». Se recupera, pero los inspectores han observado que el director general tiene una visión más operativa que normativa.

Dr. Bakker: «Sigamos adelante. Podemos volver a tratar este tema durante la entrevista de seguimiento del cuarto día».

Sophie Laurent
Sophie Laurent — Directora de Asuntos Jurídicos y Regulatorios
«Anexo I: requisitos esenciales de ciberseguridad. Artículo 13: obligaciones del fabricante. Artículo 14: notificación.» [aprobado como nota]
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación

Día 1 — La cuestión de la clasificación

Martes, 14:00 CET

La Dra. Bakker se refiere a la clasificación del producto K400. Su equipo ha revisado los registros públicos: Kastos clasificó inicialmente el K400 en la categoría por defecto y le otorgó el marcado CE en consecuencia. El producto está ahora clasificado como «Clase I importante» y cuenta con un certificado de conformidad expedido por un organismo notificado de BSI Netherlands.

Ella pregunta: «El K400 se clasificó inicialmente como un producto de categoría predeterminada. Ahora se clasifica como Importante Clase I. ¿Podría explicarme qué ha sucedido y cuándo se produjo la reclasificación?».

Este es el legado del Módulo 1: la cuestión de la clasificación que planteó Sophie durante la respuesta al «zero-day». La forma en que lo gestionen ahora determinará si los inspectores ven una empresa que corrigió un error cometido de buena fe o una empresa que comercializó productos no conformes y fue descubierta.

Sophie Laurent
SOPHIE LAURENT — Directora de Asuntos Jurídicos y Regulatorios [susurró]
Empiece por la rectificación. Explique qué ocurrió, cuándo detectamos el error y qué medidas tomamos al respecto. No minimice el error original: asúmase la responsabilidad. La rectificación es la noticia, no el error.
OF
OPS FEED — Resumen de la situación
[14:00] INSPECCIÓN — Revisión de la clasificación. Original: predeterminada (autoevaluación). Actual: Clase I importante (BSI Países Bajos).
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Se requiere una decisión

Explicación de la reclasificación

El inspector pregunta por el cambio de clasificación del K400 —de la categoría por defecto (autoevaluación) a la Clase I importante (organismo notificado)—. ¿Cómo se presenta esto?

--:--:-- VERDE CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Positive

Total transparencia

Repase la cronología: autoevaluación inicial en septiembre de 2027, revisión de Sophie en octubre de 2027 durante la respuesta a la vulnerabilidad, intervención de BSI Países Bajos en noviembre y expedición del certificado de conformidad en enero de 2028. Incluya la suspensión de los envíos y los costes (evaluación de 62 000 €, 6 semanas de suspensión de las ventas).

Dr. Bakker: «Gracias por su franqueza. Corregir por iniciativa propia un error de clasificación antes de que se adopten medidas coercitivas es precisamente lo que nos gustaría ver. El hecho de que lo hayan detectado durante la respuesta a un incidente —en lugar de esperar a que lo descubriéramos nosotros— demuestra que su proceso de revisión interna funciona. Tomaré nota de esto como un aspecto positivo».

Y añade: «Que conste que, de todos modos, habríamos detectado esto durante la revisión de hoy. Sin embargo, el hecho de encontrarlo documentado en su propio cronograma de respuesta a incidentes, con una corrección ya aplicada, cambia significativamente la naturaleza del hallazgo».

Dr. Elise Bakker
Dra. Elise Bakker — Inspectora principal, RDI
«Corregir por iniciativa propia un error de clasificación antes de que se adopten medidas coercitivas es precisamente lo que nos gustaría ver. El hecho de que lo hayan detectado durante la respuesta a un incidente demuestra que su proceso de revisión interna funciona. Lo anotaré como un aspecto positivo».
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Neutral

Enfoque actual del estado

Usted presenta el certificado de la BSI y la actual clasificación de «Importante Clase I». El Dr. Bakker revisa la documentación y, a continuación, pregunta: «¿Cuándo se comercializó por primera vez el K400 en el mercado de la UE y con qué clasificación se comercializó en aquel momento?».

La pregunta siguiente era inevitable. Usted explica la clasificación inicial por defecto. Ella pregunta: «¿Hubo algún periodo en el que el K400 estuviera en el mercado con una clasificación incorrecta?». Usted confirma que sí lo hubo: aproximadamente seis semanas entre la fecha de presentación completa de la solicitud ante la CRA y la reclasificación.

El Dr. Bakker lo señala como una observación: «La corrección se llevó a cabo a tiempo y la situación actual cumple con la normativa. Sin embargo, debo dejar constancia de que el producto se comercializó con una evaluación de la conformidad incorrecta durante aproximadamente seis semanas. Se trata de una observación histórica, no de un incumplimiento actual, pero constará en el informe».

Sophie comenta en privado: «Si hubiéramos empezado contando toda la historia, ella habría visto la autocorrección. Ahora ve un error que ha tenido que descubrir por sí misma».

Sophie Laurent
Sophie Laurent — Directora de Asuntos Jurídicos y Regulatorios
«Si hubiéramos empezado contando toda la historia, se habría dado cuenta de la corrección. Ahora ve un error que ha tenido que descubrir por sí misma».
--:--:-- ROJO CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Negative

La actitud defensiva resulta contraproducente

Usted sostiene que la clasificación original era defendible. La expresión de la Dra. Bakker no cambia, pero pregunta: «Si la clasificación original era defendible, ¿por qué la modificó? ¿Y por qué recurrió a un organismo notificado?».

La lógica se desmorona. Si la clasificación original era correcta, no había necesidad de reclasificar. Si se reclasificó, la clasificación original era errónea. No se puede tener todo. Sophie interviene: «Para que quede claro, Dr. Bakker, identificamos el error de clasificación durante una revisión interna en octubre de 2027 y tomamos medidas correctivas. El Sr. van Dijk señala que las directrices normativas no eran tan claras como podrían haber sido en aquel momento».

Dr. Bakker: «Agradezco la aclaración. Para que conste: el K400 gestiona el acceso físico a las instalaciones a través de sistemas conectados a la red. Se enmarca claramente en la Clase I de importancia. La autoevaluación no cumplía con los requisitos. Tomo nota de que se ha realizado la corrección, pero también observo que el órgano de gestión lo calificó inicialmente como «justificable» en lugar de reconocer el error. Esto se incluirá en la sección del informe dedicada a las deficiencias de gestión».

Regulatory Reference
Artículos 52 a 58 de la CRA — Vigilancia del mercado
Las autoridades de vigilancia del mercado evalúan no solo la conformidad actual del producto, sino también el historial del fabricante, incluyendo la forma en que se identificaron y corrigieron los errores. La autocorrección antes de la intervención de las autoridades se valora positivamente. Intentar justificar el incumplimiento de forma retroactiva socava la credibilidad. Los inspectores están capacitados para distinguir entre errores involuntarios (corregidos de forma proactiva) y actitudes defensivas (errores minimizados a posteriori).
Sophie Laurent
Sophie Laurent — Directora de Asuntos Jurídicos y Regulatorios
«Para que quede claro, Dr. Bakker, detectamos el error de clasificación durante una revisión interna en octubre de 2027 y tomamos medidas correctivas. El Sr. van Dijk señala que las directrices normativas no eran tan claras como podrían haber sido en aquel momento.»
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación

Día 2 — Análisis técnico en profundidad

Miércoles, 10:00 CET

El evaluador técnico revisa la lista de componentes de software (SBOM) del K400, los registros de gestión de vulnerabilidades y los resultados de las pruebas de seguridad. Leah presenta el proceso del PSIRT, los registros de notificación de ENISA y el historial de implementación de parches.

La evaluadora queda impresionada con la reconstrucción de la SBOM y los plazos de respuesta ante vulnerabilidades. Entonces descubre algo: «Su SBOM muestra 312 dependencias. Su última compilación tiene 318 dependencias. El mes pasado se añadieron seis nuevas bibliotecas en la versión de mantenimiento v4.1. Están en la compilación, pero aún no figuran en la SBOM».

Component classv4.0v4.1
Top-level dependencies4747
Transitive dependencies265271
Security-critical (BLE, TLS, crypto)33
Diagnostic utilities (added v4.1)+6
Total en la versión de producción312318
Total registrado en la SBOM312312
Undocumented delta06

En la versión de mantenimiento v4.1 se han añadido seis herramientas de diagnóstico. No hay CVE conocidos. Sin embargo, la SBOM de la CRA no se basa en el riesgo, sino que exige la documentación completa de los componentes, independientemente de su estado de vulnerabilidad.

Se trata de una deficiencia en el proceso: la actualización de la SBOM no se integró en la lista de comprobación de la versión 4.1. La discrepancia es menor (6 bibliotecas de utilidades, sin CVE conocidos), pero es el mismo tipo de deficiencia que causó problemas en el Módulo 1.

Leah Voss
LEAH VOSS — Responsable de Seguridad de Productos
Tiene razón. En la versión 4.1 se añadieron seis bibliotecas para una nueva función de diagnóstico. El proceso de compilación las detectó, pero la actualización de la SBOM se pospuso hasta el siguiente ciclo de lanzamiento principal. Debería haberse actualizado antes del lanzamiento.
Jan Mulder
Jan Mulder — Vicepresidente de Ingeniería [murmurando]
Seis bibliotecas de utilidades. Sin repercusiones en la seguridad. Esto es precisamente el tipo de cosas que hacen que los ingenieros detesten el cumplimiento normativo.
OF
OPS FEED — Resumen de la situación
[10:32] INSPECCIÓN — Discrepancia en la SBOM: 318 dependencias en la compilación frente a 312 en la SBOM documentada. 6 bibliotecas no documentadas en la versión 4.1.
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Actividad

Recopilación de pruebas de inspección

Ronda de práctica — sin puntuación. Tu puntuación se basa en las tres decisiones.

Miércoles, 14:00 CET

El Dr. Bakker ha solicitado el paquete de pruebas de cumplimiento de la norma K400. Seleccione los documentos que tiene intención de presentar. Algunos están actualizados, otros son versiones obsoletas que podrían perjudicar su caso y otros faltan por completo. Si presenta una versión incorrecta, el inspector se dará cuenta.

Selected: 0
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Se requiere una decisión

Día 4 — El hallazgo del SBOM

La Dra. Bakker señala formalmente la discrepancia en la SBOM como un hallazgo: «Seis dependencias no documentadas en la versión de producción actual». Pregunta: «¿Cómo piensan abordar este problema y qué medidas tomarán para evitar que se repita?». Esta es su oportunidad para definir las medidas correctivas.

--:--:-- VERDE CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Positive

Solución sistemática

Se compromete a cumplir con la actualización de la SBOM cada 48 horas y con la integración de CI/CD. Leah confirma: «Podemos integrar la generación de la SBOM en el proceso de compilación para el próximo sprint. En cada lanzamiento, la SBOM se volverá a generar automáticamente y se verificará con respecto a los artefactos de compilación. No habrá ningún paso manual ni será posible posponerlo».

El Dr. Bakker señala: «Bien. Este es el tipo de respuesta sistémica que espero. El hallazgo en sí es menor —seis bibliotecas de utilidades—. Pero el patrón —la deriva del SBOM entre versiones— es el mismo que causó problemas en su incidente de octubre. El hecho de que estén abordando la causa raíz, y no solo el síntoma, es positivo».

Y añade: «Anotaré esto como una irregularidad menor con una medida correctiva satisfactoria. No es necesaria ninguna inspección de seguimiento para este punto».

Leah Voss
Leah Voss — Responsable de seguridad del producto
«Podemos integrar la generación de la SBOM en el proceso de compilación para el próximo sprint. En cada lanzamiento, la SBOM se volverá a generar automáticamente y se verificará con respecto a los artefactos de compilación. No habrá ningún paso manual ni posibilidad de aplazamiento».
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Neutral

Solución rápida durante la inspección

Su equipo actualiza la SBOM durante la noche. Para el quinto día, el documento recoge 318 dependencias, todas ellas verificadas. Usted añade la «verificación de la SBOM» a la lista de comprobación del lanzamiento.

Dr. Bakker: «Gracias por la rápida actualización. La incorporación de la lista de comprobación es un primer paso razonable. Le animaría a que considerara la posibilidad de implementar una verificación automatizada en su proceso de compilación; las listas de comprobación manuales funcionan hasta que alguien tiene prisa. Anotaré esto como una observación menor con medidas correctivas en curso».

El hallazgo figura en el informe como «incumplimiento menor, subsanado durante la inspección». No es lo ideal, pero tampoco es perjudicial.

Dr. Elise Bakker
Dra. Elise Bakker — Inspectora principal, RDI
«Gracias por la rápida actualización. La incorporación de la lista de comprobación es un primer paso razonable. Te animaría a que consideraras la posibilidad de implementar una verificación automatizada en tu proceso de compilación: las listas de comprobación manuales funcionan hasta que alguien tiene prisa».
--:--:-- ROJO CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Negative

Minimizar la importancia del hallazgo

Usted explica los motivos de la priorización. El Dr. Bakker escucha y luego responde: «Sr. van Dijk, entiendo que estas bibliotecas no suponen un alto riesgo por sí solas. Pero el requisito de la CRA relativo a la SBOM no se basa en el riesgo, sino que exige la documentación de todos los componentes. La SBOM es la base de su capacidad de gestión de vulnerabilidades. Si faltan 6 dependencias, no podrá supervisarlas en busca de CVE, no podrá incluirlas en las evaluaciones de riesgo y no podrá proporcionar información precisa a la ENISA si se detecta una vulnerabilidad».

Y continúa: «También observo que se trata de la misma discrepancia en la documentación que afectó a su SBOM durante el incidente de octubre de 2027: siete discrepancias entonces, seis ahora. Este patrón sugiere que la corrección del proceso del Módulo 1 no se aplicó en su totalidad. Anotaré esto como un hallazgo recurrente».

Jan mira fijamente la mesa. Una «incidencia recurrente» señalada por una autoridad de vigilancia del mercado es mucho más grave que una discrepancia menor cometida por primera vez.

Regulatory Reference
Anexo VII del CRA — La SBOM como documento evolutivo
La CRA exige que la SBOM sea precisa y esté actualizada. No se trata de una instantánea de un momento concreto, sino de un documento vivo que debe actualizarse con cada lanzamiento de producto. Una SBOM que no refleje la versión de producción actual incumple los requisitos, independientemente de si los componentes que faltan presentan vulnerabilidades conocidas. El objetivo de la SBOM no es solo el seguimiento de vulnerabilidades, sino que constituye una prueba de que el fabricante conoce el contenido del producto.
Dr. Elise Bakker
Dra. Elise Bakker — Inspectora principal, RDI
«El patrón indica que la solución del proceso del Módulo 1 no se aplicó en su totalidad. Anotaré esto como un hallazgo recurrente.»
--:--:-- ROJO CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación

Día 3 — Descubrimiento inesperado

Jueves, 11:20 CET

La evaluadora técnica ha estado revisando su registro de implementaciones remotas. Ha detectado algo inesperado: un único panel K400 instalado en el Lessing-Gymnasium de Düsseldorf funciona con la versión de firmware v3.2, la misma que presenta la vulnerabilidad de octubre de 2027. Nunca se ha actualizado.

Según sus registros, el centro aceptó el parche de la OTA. El panel nunca lo instaló. El proveedor de TI del centro desactivó las actualizaciones salientes en la subred del controlador del edificio hace seis meses, un cambio en la red del que nunca se informó a Kastos. El panel vulnerable se encuentra en la parte trasera de un pasillo de servicio con poco tránsito de personas.

Antes de que pueda responder, Jan pierde los estribos.

Jan Mulder
Jan Mulder — Vicepresidente de Ingeniería [en voz alta, dirigiéndose a Bakker]
¿En serio? Un solo panel. En un pasillo de servicio. En un colegio. Nadie va a atacarlo. Este es precisamente el tipo de tontería burocrática que hace que los ingenieros abandonen los equipos de cumplimiento normativo.

La expresión de Bakker no cambia. Toma nota. En la sala reina el silencio.

Sophie Laurent
SOPHIE LAURENT — Jefa del Departamento Jurídico [susurró con urgencia]
Hendrik, dos cosas a la vez. El panel de Düsseldorf constituye un nuevo motivo de notificación en virtud del Artículo 14: un firmware v3.2 vulnerable que se puede explotar activamente, ya instalado y sin parches. Y Jan acaba de elevar el asunto ante un inspector. Debe ocuparse de ambas cuestiones, en este orden.
OF
OPS FEED — Resumen de la situación
[11:23] DESCUBRIMIENTO — K400 SN-K4-08812, Lessing-Gymnasium Düsseldorf. Firmware v3.2 (PRE-PATCH). Último contacto hace 184 días. El parche nunca se instaló.
--:--:-- ROJO CRA-04: Bajo la lupa
Resumen de la situación
Se requiere una decisión

Dos incendios a la vez

Acaba de aparecer ante el inspector un panel de la versión 3.2 sin parches. Su vicepresidenta de Ingeniería acaba de responderle con brusquedad en la sala de juntas. ¿Cómo reacciona usted —ante ambas situaciones— en este momento?

--:--:-- VERDE CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Positive

Se han extinguido ambos incendios

Se dirige primero a Jan. «Jan, el contexto de implementación es real. Un panel en el pasillo de un colegio no presenta el mismo perfil de riesgo que uno situado en el vestíbulo de un banco. Tiene razón en eso. Tampoco cambia nuestra obligación en virtud del Artículo 14. Tenemos una versión 3.2 sin parchear en el mercado. Presentamos el informe. Retiramos el producto. Averiguamos cómo el cliente desactivó nuestra ruta de actualización». Jan exhala. No discute. Asiente con la cabeza.

Se dirige a Bakker. «Dr. Bakker, hoy presentaremos una nueva notificación de alerta temprana a la ENISA. Tendremos un plan de corrección para el comité de Düsseldorf en un plazo de 48 horas y una auditoría de toda la flota para detectar problemas similares en las rutas de actualización en un plazo de dos semanas. Entiendo que esto probablemente prolongue su inspección».

Bakker se queda escribiendo durante un buen rato. «Gracias, señor van Dijk. Hay dos cosas que voy a destacar en el informe. En primer lugar, el hallazgo de Düsseldorf es significativo, pero la respuesta ha sido ejemplar. En segundo lugar, la situación de gestión que acabamos de presenciar. Que un vicepresidente de Ingeniería exprese su frustración es algo humano. Que un director general corrija el rumbo en tiempo real sin menospreciar a su equipo es una muestra de liderazgo. Eso se incluirá en la sección de supervisión de la gestión, como un aspecto positivo».

Regulatory Reference
Artículo 14 de la CRA: una nueva toma de conciencia conlleva nuevas obligaciones
El plazo de notificación de 24 horas no es un hecho puntual vinculado a la divulgación inicial. Cada vez que se tiene conocimiento de un producto implementado que puede ser objeto de explotación activa, surge una nueva obligación en virtud del Artículo 14. Una implementación que se creía que había sido parcheada, pero que en realidad no lo está —descubierta mediante una auditoría, un informe de un cliente o un análisis realizado por terceros— constituye un nuevo motivo de notificación.
Dr. Elise Bakker
Dra. Elise Bakker — Inspectora principal, RDI
«Que un vicepresidente de ingeniería exprese su frustración es algo humano. Que un director general corrija el rumbo en tiempo real sin menospreciar a su equipo es una muestra de liderazgo. Eso se incluye, sin duda, en la sección de supervisión de la gestión».
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Neutral

Restablecer y volver

Le pide a Bakker un descanso de 30 minutos. Ella accede sin hacer comentarios. Se lleva a Jan a su despacho. Él se disculpa antes de que usted pueda decir nada. «No debería haber dicho eso delante de ella. Lo sé». Usted asiente brevemente y pasa a hablar del trabajo: hay que enviar una notificación al panel de Düsseldorf, hay que investigar el bloqueo de la actualización del lado del cliente y la inspección se prolonga.

Regresas a las 11:55. Presenta la nueva notificación a la ENISA antes de que termine el día. Bakker anota el incidente de la mañana en sus notas: el arrebato, la interrupción, la recuperación. Su informe del quinto día incluye una frase que no esperabas: «El órgano de dirección reconoció que se trataba de un momento difícil y lo abordó en privado. Es lo adecuado. Preferiría no tener que recurrir a una pausa para llegar a ese resultado, pero la respuesta fue acertada».

Conclusión: ni perjudicial ni ejemplar. La ruptura queda constancia.

Dr. Elise Bakker
Dra. Elise Bakker — Inspectora principal, RDI
«El órgano de dirección reconoció que se trataba de un momento difícil y decidió suspender la sesión. Ha sido lo más adecuado. Hubiera preferido no tener que recurrir a un receso para llegar a ese resultado, pero la respuesta ha sido acertada.»
--:--:-- ROJO CRA-04: Bajo la lupa
Resumen de la situación
Actualización de la situación
Outcome: Negative

Defendiendo la colina equivocada

Usted se pone del lado de Jan. Explica la ubicación del pasillo, el cambio en la red del cliente y la ausencia de pruebas de que el panel haya sido objeto de un ataque. Sostiene que se trata de información destinada al cliente, y no de un caso que requiera notificación a la CRA.

Bakker escucha. Cuando usted termina, ella dice: «Señor van Dijk, comprendo el punto de vista operativo. Este es el punto de vista normativo. Usted tiene un producto implementado que ejecuta un firmware con una vulnerabilidad que puede explotarse activamente y que ha sido revelada públicamente. La reducción del riesgo que proporciona la ubicación física del panel no forma parte del umbral del Artículo 14. El hecho de que su cliente haya desactivado las actualizaciones OTA es una constatación sobre su proceso de garantía de actualizaciones, no una defensa».

Y continúa: «Quiero señalar tres cosas. El hallazgo de Düsseldorf constituye ahora un incumplimiento sustancial, no una simple observación de auditoría. El director general no ha rebatido la interpretación de su vicepresidente de Ingeniería, lo que interpreto como la postura del órgano de dirección. Y la tónica general —desviaciones en la SBOM, correcciones en la clasificación y, ahora, una versión 3.2 sin parches en el entorno de producción— hace que esta inspección pase de ser rutinaria a ser reforzada. Ampliaremos nuestro alcance».

Jan mira fijamente la mesa. Sophie ha dejado de escribir.

Regulatory Reference
Artículo 14 de la CRA + Límites de las obligaciones del fabricante
Los fabricantes no pueden trasladar sus obligaciones en virtud de la CRA a los clientes mediante la configuración de la red por parte de estos. Si la política de red de un cliente bloquea las actualizaciones de seguridad, la obligación del fabricante es conocerlo, comunicarlo como un riesgo y disponer de una vía de solución, no considerarlo un problema del cliente. La excusa de «intentamos enviar la actualización» no tiene cabida en la CRA.
Dr. Elise Bakker
Dra. Elise Bakker — Inspectora principal, RDI
«La sucesión de acontecimientos —la deriva del SBOM, la corrección de la clasificación y, ahora, una versión 3.2 sin parches en circulación— hace que esta inspección pase de ser rutinaria a ser más exhaustiva. Ampliaremos nuestro alcance».
--:--:-- ÁMBAR CRA-04: Bajo la lupa
Resumen de la situación
Actividad

Día 4 — Entrevista con la dirección

Ronda de práctica — sin puntuación. Tu puntuación se basa en las tres decisiones.

Viernes, 09:00 CET

La última sesión de la Dra. Bakker es la entrevista de gestión. Ella formula cuatro preguntas incisivas. Para cada una de ellas, elija la respuesta que demuestre una visión global genuina de la gestión, y no solo argumentos bien ensayados.

--:--:-- VERDE CRA-04: Bajo la lupa
Resumen de la situación
Actividad

Día 5 — Resultados de la inspección

Ronda de práctica — sin puntuación. Tu puntuación se basa en las tres decisiones.

Viernes, 14:00 CET

El Dr. Bakker presenta cuatro hallazgos de la inspección. Clasifíquelos por gravedad (1 = más grave, 4 = menos grave). Su clasificación determina la prioridad de corrección de Kastos y muestra al inspector si la dirección es capaz de priorizar correctamente los riesgos de cumplimiento.

--:--:-- VERDE CRA-04: Bajo la lupa
Resumen de la situación
Prueba de conocimientos

Antes de ver sus resultados, responda a cuatro preguntas sobre la CRA. Seleccione una respuesta por pregunta.