CRA y EVSE: implicaciones técnicas para productos de carga
1. Por qué CRA impacta directamente al EVSE
El Cyber Resilience Act (CRA) exige requisitos de ciberseguridad para productos con elementos digitales durante diseño, fabricación y mantenimiento.
Un EVSE moderno está claramente dentro del alcance: firmware embebido, conectividad, actualizaciones OTA, integraciones OCPP y dependencia de servicios remotos.
Esto convierte la ciberseguridad en parte de la evidencia de conformidad del producto, no en una opción.
2. Fechas clave en la UE
- 10 dic 2024: entrada en vigor del Reglamento (UE) 2024/2847.
- 11 sep 2026: aplican obligaciones de reporte de vulnerabilidades e incidentes.
- 11 dic 2027: inicio de aplicación general del CRA en mercado UE.
- mar 2026: la Comisión publicó guía de implementación en borrador.
Para fabricantes EVSE, 2026 es la ventana real para arquitectura y procesos si se quiere evitar rediseños tardíos en 2027.
3. Implicaciones técnicas clave
3.1 Secure-by-design y secure-by-default
- Eliminar servicios de red innecesarios en imágenes de fábrica.
- Usar credenciales únicas y evitar passwords por defecto compartidas.
- Aplicar hardening y mínimo privilegio en sistemas embebidos.
3.2 Cadena de firmware y OTA
- Secure boot, firma de imagen y verificación de integridad en cada arranque.
- OTA firmada con anti-rollback y recuperación controlada.
- Estrategia de parches documentada durante el período de soporte declarado.
3.3 Operación de vulnerabilidades
Desde el 11 de septiembre de 2026, la velocidad de respuesta y el reporte pasan a ser capacidades obligatorias.
- Clasificar CVEs y mapear impacto por versión de firmware desplegada.
- Recoger telemetría y logs forenses para detectar compromiso real en campo.
- Ejecutar flujos de reporte alineados con hitos 24h / 72h / informe final.
3.4 PKI y confianza extremo a extremo
- Gestionar ciclo de vida de certificados TLS para OCPP y APIs backend.
- Soportar gobierno de certificados para Plug and Charge cuando aplique.
- Gestionar renovación y revocación remota sin afectar disponibilidad.
4. Impacto en negocio y operaciones
CRA cambia estructura de costos y modelo operativo, no solo la documentación de compliance.
- Mayor inversión temprana en seguridad de plataforma y menor riesgo de rediseño tardío.
- Contratos más estrictos con proveedores de software embebido y módulos de comunicación.
- Compromisos explícitos de soporte y parches para clientes CPO y B2B.
5. Hoja de ruta recomendada para EVSE
- Q2 2026: gap assessment CRA por plataforma hardware y línea de producto.
- Q2-Q3 2026: cerrar arquitectura de secure boot, OTA firmada y logging.
- Q3 2026: ejecutar simulacros de incidente y flujo de reporte.
- Q4 2026: completar expediente técnico, matriz de riesgo y evidencias.
- 2027: industrializar auditorías y governance de releases antes de go-to-market.
6. Conclusión
CRA convierte la ciberseguridad en un requisito estructural del producto EVSE.
Los equipos que usen 2026 como año de transición llegarán a 2027 con menor riesgo regulatorio y mejor ejecución comercial.
Referencias oficiales
- Comisión Europea - Cyber Resilience Act
- Preguntas y respuestas oficiales del CRA
- Guía de implementación en borrador (marzo 2026)
- Reglamento de Ejecución (UE) 2025/2392
Nota: este contenido es técnico e informativo, no asesoramiento legal.