Impacto del Cyber Resilience Act (Ley de Ciber Resiliencia) en los productos conectados de climatización

El pasado 14 de mayo, Afec organizó el webinar ‘Cyber Resilience Act (CRA): nuevas obligaciones de ciberseguridad para productos conectados en climatización’ impartido por miembros del grupo de trabajo de Regulación y Control de la asociación.

La sesión informativa organizada por la Asociación de Fabricantes de Equipos de Climatización AFEC, se centró en el nuevo marco regulatorio europeo que impondrá requisitos obligatorios de ciberseguridad para productos con elementos digitales vendidos en la Unión Europea.

En el evento participaron dos empresas representantes de AFEC del grupo de trabajo de Regulación y Control, Miriam Solana (CAREL) y Salvatore Cataldi (Belimo / eu.bac), acompañados por Marta Castro (TECNALIA) como tercer ponente, quienes expusieron las implicaciones prácticas del CRA para fabricantes, integradores y operadores en el sector HVACR.

Durante la sesión, se revisaron las principales fechas de aplicación del reglamento y se destacó que las obligaciones de notificación de vulnerabilidades comenzarán en septiembre de 2026, y que la aplicación completa del CRA será en diciembre de 2027.

Los ponentes también explicaron el alcance de la normativa, que afectará a productos de hardware y software conectados, así como a plataformas digitales y soluciones en la nube relacionadas con edificios.

Uno de los puntos clave del webinar fue la necesidad de incorporar la ciberseguridad desde el diseño del producto y la importancia de desarrollar procesos internos para gestionar continuamente vulnerabilidades, actualizaciones de seguridad, documentación técnica y soporte a lo largo de la vida útil del equipo.

También se discutió la relevancia del análisis de riesgos como un elemento fundamental para definir las medidas de seguridad necesarias, dependiendo del tipo de producto, su uso y el entorno de instalación destacando que la ciberseguridad pasa de ser un aspecto puntual a ser una responsabilidad constante durante todo el ciclo de vida del producto.

Además, se analizaron los desafíos específicos que presenta la interoperabilidad en sistemas conectados y la automatización de edificios, esto es especialmente relevante en entornos donde interactúan múltiples dispositivos, plataformas y fabricantes, los expertos coincidieron en que el CRA representa no solo un reto técnico, sino también organizativo, que requerirá coordinación entre áreas como ingeniería, calidad, cumplimiento y soporte.

Durante la sesión, se evaluaron los procedimientos de conformidad y las normas técnicas que actualmente pueden servir de guía para avanzar en el cumplimiento del reglamento, mientras se desarrollan futuras normas armonizadas europeas.