Explorando las normativas CRA y NIS2: qué exigen y cómo prepararse
El Cyber Resilience Act (CRA) establece un nuevo marco europeo de ciberseguridad aplicable a los productos con elementos digitales comercializados en la Unión Europea. Su impacto será especialmente relevante para fabricantes, desarrolladores de software, integradores y empresas tecnológicas, ya que introduce requisitos obligatorios de ciberseguridad a lo largo de todo el ciclo de vida del producto y los vincula al acceso al mercado europeo.
El reglamento CRA no se limita a exigir productos más seguros desde el diseño, sino que también incorpora obligaciones relativas a la gestión de vulnerabilidades, las actualizaciones de seguridad, la documentación técnica, la información al usuario y, en determinados casos, la notificación de incidentes y vulnerabilidades explotadas activamente.
La Directiva NIS2 (Network and Information Security Directive) es una actualización del marco legal europeo en materia de ciberseguridad, aplicable desde octubre de 2024. Esta directiva tiene como objetivo mejorar la resiliencia y la capacidad de respuesta ante incidentes de ciberseguridad en sectores esenciales y relevantes, incluyendo operadores de servicios digitales, infraestructuras críticas y proveedores clave de servicios.
La preparación y el conocimiento de NIS2 representan una ventaja competitiva y una herramienta de gestión de riesgos empresariales clave en el entorno digital actual.
En esta jornada se ofrecerá una visión clara, práctica y orientada a empresa sobre el contenido de esta normativa, su ámbito de aplicación, las obligaciones que introduce para los distintos operadores económicos y empresas de diferentes tamaños y sectores.
Dirigido a
- Fabricantes de productos conectados o con elementos digitales.
- Empresas desarrolladoras de software, firmware, apps o componentes integrables en producto.
- Empresas proveedoras de servicios tecnológicos, cloud, data centers o servicios esenciales a terceros.
- Responsables de ciberseguridad, TI, calidad, desarrollo, compliance o gestión de producto.
- Equipos técnicos, jurídicos y de dirección que necesiten comprender el impacto de la normativa en su actividad.
Programa
CRA: Qué exige el Reglamento y cómo prepararse para cumplirlo
- Introducción al Cyber Resilience Act
- Ámbito de aplicación
- Requisitos esenciales de ciberseguridad
- Obligaciones de los operadores económicos
- Evaluación de conformidad y documentación
- Implicaciones prácticas del CRA para la empresa
- Demostración práctica: Herramienta SAC Composer para conformidad con CRA
Café y networking
Directiva NIS2: Implicaciones técnicas y legales para PYMEs
- Introducción técnica a NIS2
- Requisitos técnicos de NIS2
- Medidas organizacionales para la adecuación a NIS2
- Plan de acción y herramientas prácticas
- Mapeo de NIS2 con otras normativas
- Contexto legal de NIS2
- Obligaciones jurídicas derivadas
- Riesgos legales y cómo mitigarlos
- Caso práctico o simulación
Ponentes
Javier Puelles. Consultor senior en Tecnalia. Ingeniero Informático por la Universidad de Deusto y Máster en Ingeniería del Software Industrial por la UPV/EHU. Más de 34 años de experiencia en el ámbito TIC, con especialización en ciberseguridad, calidad y mejora de procesos.
Iker Lasa. Graduado en física por la universidad del País Vasco, máster en Investigación matemática, modelización estadística y programación por la Universidad del País Vasco y título de “Full time MSc. degree in Data Analytics, with distiction” por la “University of Strathclyde” de Glasgow, Escocia. Desde 2018 hasta noviembre de 2023 trabajó en Ormazabal como científico de datos. Desde diciembre de 2023 trabaja en la unidad Digital de Tecnalia, concretamente en Core Software Technologies. Su área de estudio es el uso de modelos de lenguaje para la mejora y automatización de los procesos de ingeniería de software.
Ander Galisteo. Director de Ciberseguridad Industrial en Cybertix. Doctor en telemática por la UC3M, MBA por la universidad de Quantic, Máster en Engineering Technology por la Universidad de Houston, Máster en Ingeniería de telecomunicaciones por la UNAV, Grado en Sistemas de Telecomunicaciones por la UNAV. Ex- director de Ingeniería en Dojo Five (USA), experiencia como docente en varias universidades, tanto nacionales como internacionales.
