Cumplimiento CRA para Proveedores de Automoción: Alineación con UN R155/R156 y Guía de Posventa

La industria automotriz tiene sus propias regulaciones de ciberseguridad (UN R155 (CSMS) y R156 (SUMS) para homologación de tipo de vehículo. Sin embargo, muchos productos relacionados con automoción aún caen bajo el CRA. Entender qué regulación aplica es esencial para OEMs, proveedores tier y fabricantes de productos de posventa.

Esta guía clarifica la aplicabilidad del CRA para productos de automoción.

La Exención de Automoción en el CRA

Qué Dice el CRA

El Artículo 2(2) del CRA exime ciertos productos de vehículos motorizados:

"Este Reglamento no se aplicará a productos con elementos digitales Qué sean [...] vehículos de motor y sus remolques, y sistemas, componentes y unidades técnicas independientes diseñados y construidos para dichos vehículos, Qué están regulados por [reglamentos de homologación de tipo]..."

Exención clave: Los productos cubiertos por el Reglamento UN N° 155 (ciberseguridad) y N° 156 (actualizaciones de software) bajo el marco de homologación de tipo de la UE están exentos del CRA.

Por Qué Existe la Exención

UN R155 y R156 ya requieren:

• Sistema de gestión de ciberseguridad (CSMS)
• Sistema de gestión de actualizaciones de software (SUMS)
• Evaluación de ciberseguridad para homologación de tipo
• Monitorización continua de ciberseguridad

La UE evitó la doble regulación eximiendo productos de automoción homologados del CRA.

Entendiendo Qué Está Exento

Vehículos y Componentes Homologados

EXENTOS del CRA:

PRODUCTOS EXENTOS POR HOMOLOGACIÓN DE TIPO

VEHÍCULOS COMPLETOS:
- Turismos (M1)
- Autobuses y autocares (M2, M3)
- Camiones (N1, N2, N3)
- Remolques (categorías O)
- Vehículos de dos/tres ruedas (categoría L, desde 2024)

COMPONENTES OEM (instalados en vehículos nuevos):
- Unidades de control de motor (ECUs)
- Sistemas de infoentretenimiento (instalados de fábrica)
- Componentes ADAS
- Unidades telemáticas de coche conectado
- Sistemas de navegación OEM
- Módulos de control de carrocería
- ECUs de gateway

PIEZAS DE REPUESTO (reemplazando originales):
- ECUs de reemplazo (misma especificación)
- Piezas de repuesto de equipo original

Productos NO Exentos (CRA Aplica)

PRODUCTOS Qué REQUIEREN CUMPLIMIENTO CRA

PRODUCTOS DE POSVENTA:
- Cámaras de salpicadero de posventa
- Dongles de diagnóstico OBD-II
- Rastreadores GPS de posventa
- Sistemas de infoentretenimiento de terceros
- Dispositivos de integración de smartphone
- Sistemas de alarma de posventa
- Dispositivos de tuning de rendimiento

INFRAESTRUCTURA DE CARGA:
- Estaciones de carga de VE
- Equipos de carga doméstica
- Software de gestión de carga
- Controladores de carga inteligente

GESTIÓN DE FLOTAS:
- Dispositivos telemáticos (retrofit)
- Sistemas de seguimiento de flotas
- Monitorización de comportamiento del conductor
- Equipos de seguimiento de activos

ACCESORIOS:
- Monitores de presión de neumáticos conectados (posventa)
- Herramientas de diagnóstico
- Hotspots WiFi de automoción
- Funciones conectadas de posventa

La Cuestión de los Proveedores Tier

¿Están Exentos los Proveedores Tier 1/2/3?

Depende de cómo se vende el componente:

ANÁLISIS DE PROVEEDORES TIER

ESCENARIO 1: Vendiendo a OEM para Producción de Vehículos Nuevos
┌─────────────────────────────────────────────────┐
│ Componente → OEM → Vehículo Homologado          │
│                                                 │
│ Resultado: Componente cubierto por homologación │
│ de tipo del vehículo. UN R155/R156 aplican vía │
│ OEM. CRA NO aplica directamente al proveedor.  │
│                                                 │
│ PERO: OEM requerirá evidencia CSMS de ti       │
└─────────────────────────────────────────────────┘

ESCENARIO 2: Vendiendo Directamente a Usuarios/Mercado de Reparación
┌─────────────────────────────────────────────────┐
│ Componente → Distribución → Usuario/Taller     │
│                                                 │
│ Resultado: No parte del proceso de homologación.│
│ CRA aplica a ti Cómo fabricante.               │
└─────────────────────────────────────────────────┘

ESCENARIO 3: Componentes de Doble Uso
┌─────────────────────────────────────────────────┐
│ Mismo componente vendido a OEM y posventa      │
│                                                 │
│ Resultado: Situación compleja.                 │
│ - A OEM: cubierto por homologación de tipo     │
│ - A posventa: CRA aplica                       │
│ - Considerar variantes de producto separadas   │
└─────────────────────────────────────────────────┘

Requisitos OEM Fluyen hacia Abajo

Incluso si CRA no aplica directamente, los OEMs requerirán evidencia de ciberseguridad:

REQUISITOS OEM PARA PROVEEDORES TIER

UN R155 REQUIERE Qué LOS OEMs:
- Identifiquen y gestionen riesgos de proveedores
- Aseguren capacidades de ciberseguridad de proveedores
- Verifiquen procesos de proveedores

ESTO TÍPICAMENTE SIGNIFICA:
- Requisitos de evidencia CSMS
- Solicitudes de cumplimiento ISO/SAE 21434
- Evaluaciones y auditorías de seguridad
- Acuerdos de gestión de vulnerabilidades
- Requisitos de SBOM (cada vez más)

RESULTADO PRÁCTICO:
Incluso sin obligación CRA directa, necesitarás
capacidades similares para suministrar a OEMs de automoción

Alineación ISO/SAE 21434 y CRA

¿Qué es ISO/SAE 21434?

ISO/SAE 21434 "Vehículos de carretera: Ingeniería de ciberseguridad" es el estándar de ciberseguridad automotriz Qué cubre:

• Gestión de ciberseguridad
• Metodología de evaluación de riesgos
• Desarrollo de productos
• Producción y operaciones
• Respuesta a incidentes

Mapeo ISO/SAE 21434 ↔ CRA

Para productos de posventa donde CRA aplica:

Usando ISO/SAE 21434 para CRA

ISO/SAE 21434 → CUMPLIMIENTO CRA

SI tienes implementación ISO/SAE 21434:
→ Base técnica de seguridad sólida
→ Reutilizar análisis de amenazas y evaluación de riesgos
→ Aprovechar evidencia del proceso de desarrollo
→ Usar capacidades de respuesta a incidentes

ADICIONAL PARA CRA:
[ ] Generación de SBOM (no en ISO 21434)
[ ] Capacidad de notificación ENISA
[ ] Proceso de marcado CE
[ ] Compromiso de soporte 5 años
[ ] Documentación de consumidor (si aplica)

Productos de Posventa en Profundidad

Cámaras de Salpicadero y DVRs

CUMPLIMIENTO CRA CÁMARAS DE SALPICADERO

CLASIFICACIÓN: Típicamente categoría Default

APLICA PORQUE:
- No parte del vehículo homologado
- Vendida directamente a consumidores/operadores de flotas
- Instalación de posventa

REQUISITOS CLAVE:
- Seguro por defecto (WiFi, Bluetooth)
- Protección de privacidad (datos de vídeo)
- Mecanismo de actualización
- Sin contraseñas por defecto
- SBOM para firmware
- Soporte 5 años

CONSIDERACIONES ADICIONALES:
- Privacidad de vídeo (alineación GDPR)
- Seguridad de almacenamiento cloud (si aplica)
- Seguridad de app (apps companion)

Dispositivos OBD-II

CUMPLIMIENTO CRA DONGLE OBD-II

CLASIFICACIÓN: Potencialmente Clase Importante I
(interfaz con sistemas del vehículo)

APLICA PORQUE:
- Producto de posventa
- Conecta al vehículo pero no homologado
- Mercado de consumo/flotas

REQUISITOS CLAVE:
- Seguridad de red del vehículo (¡crítico!)
- Protección de datos (datos del vehículo son sensibles)
- Comunicación segura
- Sin comandos no autorizados al vehículo
- Seguridad del firmware
- SBOM

CONSIDERACIONES ESPECIALES:
- Acceso a redes críticas de seguridad
- Potenciales riesgos de inmovilización del vehículo
- Implicaciones de seguro y responsabilidad
- Considerar guías de la industria (SAE J3061)

Equipos de Carga de VE

CUMPLIMIENTO CRA ESTACIÓN DE CARGA VE

CLASIFICACIÓN: Potencialmente Clase Importante I o II
(infraestructura energética)

APLICA PORQUE:
- No parte de homologación del vehículo
- Producto de infraestructura separado
- Conectividad digital

REQUISITOS CLAVE:
- Seguridad de red (infraestructura energética)
- Seguridad de pagos (si aplica)
- Seguridad de protocolo de comunicación (OCPP)
- Seguridad física
- Mecanismo de actualización
- SBOM

ALINEACIÓN DE ESTÁNDARES:
- IEC 61851 (Carga VE)
- Guías de seguridad OCPP
- Estándares de red inteligente
- Requisitos esenciales CRA

Telemática de Flotas

CUMPLIMIENTO CRA TELEMÁTICA DE FLOTAS

CLASIFICACIÓN: Default o Clase Importante I

APLICA PORQUE:
- Instalación retrofit/posventa
- No homologado con el vehículo
- Producto separado

REQUISITOS CLAVE:
- Protección de datos del vehículo
- Privacidad de ubicación
- Seguridad de comunicación
- Seguridad de plataforma de gestión
- Seguridad de firmware del dispositivo
- SBOM

CONSIDERACIONES COMERCIALES:
- Producto B2B (puede afectar documentación)
- Requisitos del cliente de flotas
- Integración con plataformas de gestión de flotas

Consideraciones de Piezas de Repuesto

¿Cuándo Están Exentas las Piezas de Repuesto?

ANÁLISIS DE PIEZAS DE REPUESTO

EXENTO (Probablemente):
- Reemplazo directo de pieza OEM
- Misma especificación Qué la original
- Vendida Cómo repuesto para vehículo homologado
- Mantiene estado de homologación del vehículo

NO EXENTO:
- Versiones mejoradas/ampliadas
- Especificaciones diferentes
- No coincide con homologación original
- Modificaciones de rendimiento

ZONA GRIS:
- Piezas remanufacturadas
- Piezas equivalentes de terceros
- Piezas con cambios de software

RECOMENDACIÓN:
Documentar claramente la base de la exención.
En caso de duda, considerar cumplimiento CRA.

Rutas Prácticas de Cumplimiento

Para Fabricantes de Productos de Posventa

RUTA CRA PRODUCTO POSVENTA

EVALUACIÓN:
[ ] Confirmar no cubierto por homologación de tipo
[ ] Clasificar según categorías CRA
[ ] Identificar estándares aplicables

ENFOQUE DE CUMPLIMIENTO:
[ ] Aprovechar ISO/SAE 21434 si ya implementado
[ ] Implementar requisitos esenciales CRA
[ ] Generar SBOM
[ ] Establecer gestión de vulnerabilidades
[ ] Preparar notificación ENISA

DOCUMENTACIÓN:
[ ] Expediente técnico
[ ] Evaluación de riesgos
[ ] Documentación de usuario
[ ] Declaración de Conformidad
[ ] Marcado CE

Para Proveedores Tier con Canales Duales

PROVEEDOR TIER CON OEM + POSVENTA

ESTRATEGIA 1: Productos Separados
- Variante OEM: suministrar bajo flujo de homologación
- Variante posventa: cumple CRA
- Diferenciación clara de productos

ESTRATEGIA 2: Cumplimiento CRA para Todos
- Aplicar CRA a todas las variantes
- Excede requisitos OEM de todos modos
- Gestión de cumplimiento simplificada
- Documentación de producto única

ESTRATEGIA 3: Enfoque Escalonado
- Seguridad base para todos (ISO 21434)
- Elementos CRA adicionales para posventa
- Documentación central compartida

Para OEMs Gestionando Requisitos de Proveedores

GESTIÓN DE PROVEEDORES OEM

REQUISITOS UN R155:
- Verificar capacidades de ciberseguridad de proveedores
- Evaluar procesos de proveedores
- Monitorizar riesgos de proveedores

ENFOQUE PRÁCTICO:
- Requerir cumplimiento ISO/SAE 21434
- Solicitar evidencia de evaluación de seguridad
- Incluir requisitos de SBOM en contratos
- Establecer acuerdos de compartición de vulnerabilidades
- Definir requisitos de notificación de incidentes

ALINEACIÓN CON CRA:
Aunque CRA no aplica a componentes homologados,
requerir evidencia tipo CRA de proveedores
fortalece tu cumplimiento UN R155

Estándares y Recursos de la Industria

Estándares Relevantes

ESTÁNDARES DE CIBERSEGURIDAD AUTOMOTRIZ

ISO/SAE 21434: Vehículos de carretera - Ingeniería de ciberseguridad
Reglamento UN 155: Ciberseguridad (CSMS)
Reglamento UN 156: Actualización de Software (SUMS)

ESTÁNDARES DE SOPORTE:
ISO/SAE 8000: Auditoría de CSMS
ISO 24089: Ingeniería de Actualización de Software
Especificaciones de ciberseguridad AUTOSAR
SAE J3061: Guía de Ciberseguridad

ESPECÍFICOS DE CARGA:
IEC 61851: Carga VE
OCPP (Open Charge Point Protocol)
ISO 15118: Comunicación V2G

Organizaciones de la Industria

Lista de Verificación para Productos de Automoción

LISTA DE VERIFICACIÓN CRA PRODUCTOS AUTOMOCIÓN

CLASIFICACIÓN:
[ ] ¿Producto cubierto por homologación de tipo? (Exento si sí)
[ ] ¿Es producto de posventa? (CRA aplica)
[ ] ¿Es pieza de repuesto? (Evaluar base de exención)
[ ] ¿Es infraestructura de carga? (Usualmente CRA)

SI CRA APLICA:
[ ] Clasificación CRA determinada
[ ] Ruta de evaluación de conformidad seleccionada
[ ] Documentación técnica preparada

CUMPLIMIENTO TÉCNICO:
[ ] Alineación ISO/SAE 21434 aprovechada
[ ] Implementación seguro por defecto
[ ] Seguridad de red del vehículo (si aplica)
[ ] Mecanismo de actualización
[ ] Generación de SBOM
[ ] Gestión de vulnerabilidades

DOCUMENTACIÓN:
[ ] Evaluación de riesgos (metodología TARA funciona)
[ ] Arquitectura de seguridad
[ ] Documentación de usuario
[ ] Declaración de Conformidad
[ ] Marcado CE

CONSIDERACIONES ESPECIALES:
[ ] Privacidad de datos del vehículo (GDPR)
[ ] Implicaciones de seguridad evaluadas
[ ] Requisitos OEM (si suministras)

Recursos Clave

RECURSOS DE CIBERSEGURIDAD AUTOMOTRIZ

REGULACIONES:
Reglamento UN 155 (CSMS)
Reglamento UN 156 (SUMS)
https://unece.org/transport/vehicle-regulations

Homologación de Tipo UE:
Reglamento (UE) 2018/858
https://eur-lex.europa.eu

ESTÁNDARES:
ISO/SAE 21434:2021
Disponible en ISO o SAE

GUÍAS:
ENISA Buenas Prácticas para Seguridad de Coches Inteligentes
Mejores Prácticas Auto-ISAC

INDUSTRIA:
Documentos de Posición CLEPA
VDA Ciberseguridad Automotriz

Guías relacionadas:

• Clasificación de Productos CRA: ¿Es su Producto Default, Important o Critical?
• CRA Supplier Due Diligence: Cuestionario y Lista de Verificación para Componentes Open Source

Cómo Ayuda CRA Evidence

Para productos de posventa de automoción Qué requieren cumplimiento CRA:

• Mapeo ISO/SAE 21434: Aprovechar trabajo existente de seguridad automotriz
• SBOM para embebidos: Soporte para componentes de firmware automotriz
• Seguimiento de vulnerabilidades: Coordinación de cadena de suministro automotriz
• Gestión multi-producto: Manejar familias de productos entre canales
• Generación de expediente técnico: Plantillas apropiadas para automoción

Comienza tu cumplimiento CRA en app.craevidence.com.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento, particularmente sobre límites de homologación de tipo, consulte con asesoría regulatoria cualificada.