Guía CRA de pasarelas de contadores inteligentes
Resumen
Una pasarela de contador inteligente es el único producto de energía que la CRA sitúa en su nivel más alto, el que etiqueta como Crítico. Eso cambia el trabajo. Un producto Crítico no puede autodeclarar su propia conformidad como sí puede hacerlo un router corriente. Tiene que recibir el visto bueno de un evaluador externo. Si tu dispositivo es realmente esa pasarela, o solo un contador conectado estándar, depende de un registro que escribes primero: el memorando del límite de medición.
No todo dispositivo de medición es Crítico. Un subcontador, un repartidor de costes de calefacción, un módulo de radio de contador de agua o un puente de energía para el consumidor sigue cubierto por la CRA, pero no es automáticamente una pasarela de contador inteligente. La etiqueta Crítica es para la pasarela que actúa como unidad de comunicación de un sistema de medición inteligente, y para los dispositivos vendidos para realizar una tarea de seguridad. Una norma de la UE de 2025 lo hizo vinculante y confirmó que alcanza también a las pasarelas de gas y calor, no solo de electricidad. Un contador no pasa a ser Crítico solo porque mida consumo o use cifrado.
En el modelo alemán, una caja de comunicación separada se sitúa entre los contadores y la red. Francia, España e Italia lo hacen de otra forma: el contador mide y comunica en una sola unidad y habla con un concentrador de datos en el centro de transformación local, sin caja doméstica. Allí la cuestión Crítica se traslada al concentrador.
El memorando nombra las partes del sistema: el contador, la pasarela, el enlace hacia abajo con los contadores, las conexiones de área doméstica y de área amplia, el módulo de seguridad que guarda las claves, el administrador que gestiona la flota, el servicio de actualización, los datos de privacidad de las lecturas, el flujo de trabajo del instalador y quién hace qué entre fabricante y empresa de suministro. Esa única decisión fija la ruta de conformidad.
Dos cosas dan forma al expediente antes incluso de que empiece la ruta de conformidad. Primero, una evaluación CRA no da el visto bueno a la función metrológica sellada: una actualización de seguridad todavía necesita una comprobación de impacto metrológico antes de tocar el software de medida legalmente relevante. Segundo, los deberes de notificación de vulnerabilidades explotadas activamente e incidentes graves empiezan el 11 de septiembre de 2026, antes de la plena aplicación de la CRA el 11 de diciembre de 2027, y alcanzan a los productos ya en el mercado, así que una flota de contadores o pasarelas instalada puede arrastrar una obligación de notificación viva incluso donde el resto de la CRA solo se aplica tras una modificación sustancial.
| Variante de producto | Ruta CRA probable | Por qué |
|---|---|---|
| Pasarela de contador inteligente en un sistema de medición inteligente | Ruta de producto Crítico | La CRA sitúa las pasarelas de contadores inteligentes dentro de los sistemas de medición inteligente en su nivel Crítico |
| Subcontador eléctrico conectado, subcontador de gas, calor o agua o módulo de radio | Ruta estándar dentro del ámbito salvo que aplique otra función listada | Un producto de medición conectado, no la pasarela que es la unidad de comunicación de un sistema de medición inteligente |
| Software de cabecera suministrado con la pasarela | Depende del límite | Puede ser parte del producto cuando es necesario para la función prevista |
| Puente de datos de energía para consumidores | Ruta estándar | Normalmente muestra o reenvía lecturas |
| Dispositivo vendido para una finalidad de seguridad avanzada, incluido el criptoprocesamiento seguro | Ruta de producto Crítico | La finalidad de seguridad avanzada, no el uso ordinario de la criptografía, marca la ruta |
| Contador integrado de la DSO (modelo Linky, español o italiano) | Ruta estándar en la mayoría de diseños | Un contador de punto final conectado, no la unidad de comunicación del sistema |
| Concentrador de datos en el centro de transformación | Candidato a ruta Crítica, confirmado en el memorando de límite | El nodo de agregación y control de comunicación del sistema de medición |
Qué exige la CRA a las pasarelas de contadores inteligentes
La CRA trata una pasarela de contador inteligente como un único producto compuesto por muchos elementos digitales. El producto puede incluir el firmware del contador, el sistema operativo de la pasarela, el módulo de comunicación, la pila DLMS/COSEM (el protocolo estándar de datos de medición) o de protocolo de contador propietario, la SIM, eSIM o credencial de radio, el almacén de claves, el conector de cabecera (el enlace al sistema central de recogida de la empresa de suministro), la pantalla local, una app móvil, un portal en nube, el servicio de actualización, la herramienta del instalador y el proceso de gestión de vulnerabilidades. Normalmente excluye el sistema de facturación de la empresa de suministro, la aprobación metrológica legal, los sistemas de operación de la red y el contrato de energía del cliente, salvo que el mismo fabricante los suministre como parte del producto.
Ese límite es el corazón del expediente. La evidencia tiene que mantener la ciberseguridad separada de la metrología legal, documentando a la vez las interfaces entre la pasarela, los contadores y la cabecera. La aprobación metrológica bajo la Directiva de Instrumentos de Medida y las normas nacionales de medición responde a una pregunta distinta de la CRA. Una prueba que la medida es correcta y está sellada. La otra prueba que el producto conectado resiste ataques a lo largo de su periodo de soporte. Un fabricante que mezcla las dos acaba con un expediente que no satisface a ninguno de los dos revisores.
| Área de requisitos | Qué debe capturar el fabricante de una pasarela de contador inteligente |
|---|---|
| Finalidad prevista | Pasarela en un sistema de medición inteligente, subcontador, repartidor, módulo de radio, puente para el consumidor, o un dispositivo vendido para una finalidad de seguridad avanzada |
| Comprobación Crítica | Si el producto es una pasarela dentro de un sistema de medición inteligente, u otro producto de medición conectado en la ruta estándar |
| Límite del producto | Interfaz del contador, pasarela, módulo de comunicación, módulo de seguridad, conector de cabecera, pantalla local, herramienta del instalador, servicio de actualización y los sistemas excluidos de la empresa de suministro |
| Estado seguro por defecto | Autenticación mutua en cada enlace, sin secreto de lote compartido, actualizaciones firmadas, rechazo de retroceso, exposición de datos minimizada y acceso de depuración bloqueado |
| Ciclo de vida de claves | Identidad por dispositivo, aprovisionamiento de certificados, rotación, revocación, puesta en servicio y desmantelamiento, con el módulo de seguridad como ancla de confianza |
| Privacidad de las lecturas | Datos de intervalo, eventos de manipulación y corte, inferencia de ocupación, perfiles de procesamiento, seudonimización, retención y exportación de soporte |
| Ruta de actualización | Firmware firmado, decisión de impacto metrológico, despliegue escalonado de la flota, recuperación y respaldo |
| Reparto de roles | Fabricante del contador, fabricante de la pasarela, empresa de suministro, administrador de la pasarela, instalador, importador y cualquier responsabilidad de marca blanca |
| Soporte y notificación | Declaración del periodo de soporte, disponibilidad de actualizaciones de seguridad, un contacto único de vulnerabilidades y el flujo de notificación bajo el artículo 14 |
Los requisitos de ciberseguridad y la documentación técnica que los demuestra funcionan igual para todo producto CRA, y la guía de documentación técnica cubre eso. Esta página se ciñe a lo específico de una pasarela de medición: la clasificación Crítica, la ruta de conformidad, la arquitectura de la pasarela y la evidencia específica de medición.
¿Está tu dispositivo en el nivel Crítico?
La etiqueta Crítica es estrecha, y un producto de medición puede situarse a cualquiera de sus dos lados. Un dispositivo es la pasarela Crítica cuando es la unidad de comunicación del sistema de medición: controla el enlace con las empresas de suministro, procesa los datos del contador y los datos personales, ejecuta la criptografía y puede actuar de cortafuegos del sistema y controlar otros dispositivos. Un contador que solo mide e informa se queda en la ruta estándar, y usar criptografía fuerte para proteger una función ordinaria tampoco convierte a un dispositivo en Crítico. El Reglamento de Ejecución (UE) 2025/2392 (el Reglamento de Ejecución), vinculante desde el 21 de diciembre de 2025, fija esa prueba y la extiende a las pasarelas de gas y calor, no solo de electricidad. Resuelve la respuesta una sola vez en el memorando de límite. La tabla del Resumen de arriba mapea las variantes habituales a su ruta.
Cómo difiere la arquitectura entre países de la UE
Alemania usa un modelo de pasarela separada con una unidad de comunicación discreta, el modelo en torno al cual se dibujó la lista Crítica. Francia, España e Italia no miden así. Operan contadores integrados que miden y comunican en una sola unidad sellada y alcanzan directamente un concentrador de datos en el centro de transformación, sin caja de pasarela doméstica. El concentrador gestiona la agregación y el enlace ascendente, así que la evidencia CRA sigue aplicando, pero a dispositivos distintos, y la cuestión de ruta Crítica se mueve con él. El modelo alemán tiene su propia sección más abajo.
La forma es la misma en los tres mercados: un contador integrado en el cliente, comunicación de banda estrecha por línea eléctrica subiendo por la línea de baja tensión, un concentrador en el centro de transformación de distribución, y luego un enlace móvil hacia el operador. Lo que cambia es la tecnología de línea eléctrica, el canal del consumidor y, en Italia, una segunda interfaz de radio. En cada uno, el concentrador es el nodo que agrega muchos contadores y controla la comunicación con terceros autorizados. El contador integrado es normalmente un producto conectado de ruta estándar. Ninguna de las dos decisiones es automática. El Reglamento de Ejecución hace girar la categoría sobre la funcionalidad principal, así que un contador cuyas propias funciones encajen en la descripción de la pasarela puede argumentarse dentro del nivel Crítico, y el fabricante fija el reparto en el memorando de límite en lugar de darlo por supuesto.
Francia: Enedis Linky
El contador Linky hace ambas tareas. Mide el consumo y comunica hacia arriba desde una sola unidad, alcanzando un concentrador en el centro de transformación HTA/BT (de media a baja tensión) directamente en lugar de a través de una pasarela doméstica. El enlace es comunicación de banda estrecha por línea eléctrica en la banda CENELEC A, la banda de baja frecuencia de las empresas de suministro, predominantemente el perfil G3-PLC, con una parte de la flota en el esquema S-FSK de primera generación. El concentrador transporta el tráfico al sistema central de Enedis por red móvil pública, GPRS en el diseño original. Enedis es el operador del sistema de distribución que opera el sistema, no el fabricante del contador. La interfaz del consumidor es opcional: el contador expone un puerto de información TIC que una pantalla doméstica puede leer a través de un módulo de radio separado, un complemento en lugar de equipo estándar de Enedis. El despliegue empezó en 2015 y alcanzó alrededor de 35 millones de contadores.
España: PRIME y Meters and More
España opera la misma forma de tres niveles: un contador DLMS integrado en la finca, un concentrador en el centro de transformación y una cabecera en la DSO. La tecnología de línea eléctrica de baja tensión se divide por operador. Iberdrola (i-DE) y UFD operan PRIME, mientras que Endesa (e-distribución) opera Meters and More. El concentrador agrega los contadores, retransmite comandos y supervisa la red de baja tensión, y habla con la cabecera por el protocolo supervisor STG-DC. Transporta el tráfico por un enlace de red pública, habitualmente móvil y a menudo sobre una VPN. La base legal es la Orden ITC/3860/2007, que exigió sustituir los contadores por unidades de telegestión, así que España alcanzó pronto una cobertura casi completa, alrededor de 27 millones de contadores de baja tensión.
Italia: Open Meter de e-distribuzione
Italia fue el primer gran despliegue de la UE, con la primera generación Telegestore desde 2001, y está ahora en la segunda generación Open Meter, alrededor de 30 millones de contadores instalados en 2023. ARERA permite que Chain 1 funcione por línea eléctrica banda A, una interfaz de radio a 169 MHz u otras tecnologías de telecomunicación, y el Open Meter lleva una interfaz Chain 1 doble que combina línea eléctrica banda A y radio a 169 MHz. Un canal Chain 2 separado por línea eléctrica en banda C alcanza los User Devices opcionales del consumidor, normalizados por la serie CEI TS 13-82 a 13-85 y obligados por la resolución ARERA 87/2016. El concentrador en el centro de transformación MT/BT (de media a baja tensión) es, en palabras de la propia e-distribuzione, el centro de información y actuador para la automatización de la red, y transporta el tráfico por la red pública GSM, GPRS, UMTS o PSTN.
| Mercado | Forma del contador | Enlace de baja tensión | Nodo de agregación | Transporte | Canal del consumidor | Candidato a ruta Crítica |
|---|---|---|---|---|---|---|
| Alemania (SMGW) | Pasarela separada más contadores | Red metrológica local hacia la pasarela | La pasarela | Celular de área amplia u otro | Red de área doméstica y pantalla del consumidor | La pasarela |
| Francia (Linky) | Contador integrado | G3-PLC, banda CENELEC A | Concentrador en el centro de transformación HTA/BT | Celular, GPRS originalmente | Puerto TIC y pantalla de radio opcionales | El concentrador |
| España (PRIME, Meters and More) | Contador DLMS integrado | PLC PRIME o Meters and More | Concentrador en el centro de transformación | Celular, algo de fibra o radio | No se detalla aquí | El concentrador |
| Italia (Open Meter) | Contador integrado | PLC banda A y RF a 169 MHz | Concentrador en el centro de transformación MT/BT | GSM, GPRS, UMTS o PSTN | PLC Chain 2 banda C a los User Devices | El concentrador |
Nada de esto declara al concentrador un producto Crítico. Suele ser el candidato más fuerte. La determinación es específica del dispositivo y del uso, gira sobre la descripción de funcionalidad principal del Reglamento de Ejecución, y pertenece al memorando de límite del fabricante. La decisión de abajo es la versión corta de esa prueba.
Cómo se construye un sistema de pasarela separada (el modelo alemán)
Este es el modelo de pasarela separada, el que tiene una unidad de comunicación discreta como caja propia. En los mercados de contador integrado descritos arriba, Francia, España e Italia, estos mismos límites de evidencia existen, pero colapsan en el contador y el concentrador de red en lugar de una pasarela discreta. Una pasarela de contador inteligente es la unidad central de comunicación de un sistema de medición inteligente. El BSI la describe como el componente central que recibe y almacena los datos de los contadores y los procesa para los participantes del mercado autorizados a verlos. La Agencia Federal de Redes (Bundesnetzagentur) la llama el corazón del sistema. La pasarela se sitúa entre tres redes, y el ancla de confianza para todas ellas es un módulo de seguridad dedicado. Cada límite es donde se ancla una pieza de evidencia CRA, así que vale la pena dibujar la arquitectura con precisión.
Las tres redes llevan cada una un riesgo distinto y un control distinto:
- La red metrológica local (LMN) conecta la pasarela con los contadores, de electricidad, gas, agua o calor, de uno o más consumidores finales. Aquí es donde las lecturas entran en el producto. La evidencia aquí cubre cómo autentica la pasarela un contador, cómo rechaza lecturas de un contador no autorizado, y cómo se empareja y protege el enlace contador-pasarela.
- La red de área doméstica (HAN) conecta la pasarela con sistemas locales controlables como la solar en cubierta, la cogeneración, las bombas de calor y la carga de vehículos eléctricos, con un técnico de servicio durante el mantenimiento, y con el consumidor que tiene derecho a ver su propio consumo. La evidencia aquí cubre el aislamiento entre la vista del consumidor y los secretos del dispositivo, y el alcance de cualquier comando de control que llegue a un sistema local.
- La red de área amplia (WAN) conecta la pasarela con participantes externos del mercado, los suministradores de energía, los operadores de red y el operador del punto de medida, y con el administrador de la pasarela. Esta es la ruta de flota. La evidencia aquí cubre la autenticación mutua, la custodia de certificados, la seudonimización de los datos del contador antes de que lleguen a un participante del mercado, y los perfiles de procesamiento que deciden qué datos van a dónde.
El módulo de seguridad es el ancla de confianza. El BSI lo define como el lugar de almacenamiento seguro del material de claves criptográficas, que proporciona las rutinas criptográficas centrales para la creación y verificación de firmas, la generación de claves, el acuerdo de claves y la generación de números aleatorios. Si el módulo de seguridad es sólido, la pasarela puede probar quién es en cada red. Si es débil, todos los demás controles aguas abajo descansan sobre arena. El expediente CRA debería tratar el módulo de seguridad como un componente con nombre con su propia evidencia de proveedor, su propia historia de actualización y su propio límite en el diagrama.
El administrador de la pasarela (GWA) configura, administra y supervisa la pasarela en remoto a través de la red de área amplia. Empuja firmware, fija configuración y perfiles de procesamiento, y vigila la flota. Desde el punto de vista de la CRA, el administrador de la pasarela es una ruta privilegiada de control remoto, muy parecida al servidor de autoconfiguración de un router. El expediente tiene que registrar la identidad del administrador, el alcance de los comandos que puede emitir, el ancla de confianza contra la que se autentica y el rastro de auditoría que deja.
Varios controles se superponen luego sobre el cable, y cada uno es una pieza de evidencia separada en el expediente.
El enlace de área amplia se protege con TLS, protegiendo el canal entre la pasarela y la entidad con la que habla.
El contenido del contador destinado a participantes externos del mercado se protege además de extremo a extremo con CMS, la Cryptographic Message Syntax, para que la carga útil siga protegida más allá del punto final de transporte.
Las lecturas se seudonimizan antes de llegar a un participante del mercado, y los perfiles de procesamiento deciden qué conjunto de datos se minimiza, agrega y enruta a cada destinatario.
La protección física contra manipulación protege el dispositivo de la manipulación en campo.
Régimen nacional, vía separada. Alemania ya opera un régimen nacional detallado para este dispositivo bajo la Ley de Operación del Punto de Medida, construido sobre una pila de normas del BSI:
- TR-03109-1: requisitos de interoperabilidad para la unidad de comunicación, dentro de la familia TR-03109 más amplia. Ahora en la versión 2.0.
- TR-03109-4: la infraestructura de clave pública de medición inteligente.
- BSI-CC-PP-0073: perfil de protección Common Criteria para la pasarela. V2.0 certificado en diciembre de 2024.
- BSI-CC-PP-0077: perfil de protección Common Criteria para el módulo de seguridad.
Las líneas base anteriores PP-0073 v1.3 y TR-03109-1 v1.1 siguen siendo válidas hasta el 31 de diciembre de 2027.
La CRA no adopta TR-03109. Su ruta pasa por sus propias normas armonizadas desarrolladas bajo la solicitud de normalización de la Comisión. El sentido de mencionar el régimen alemán es un encuadre honesto: los reguladores ya exigen esta profundidad de arquitectura de seguridad al mismo dispositivo que la CRA lista ahora como Crítico, así que el listón que un fabricante de pasarelas tiene que superar no es teórico. Alemania tampoco es el único listón anterior a 2027. Un contador con radio ya debe los requisitos de ciberseguridad de la RED hoy, en todos los mercados, como expone abajo el solapamiento con la RED, la MID, el RGPD y NIS2.
| Punto de control de arquitectura | Pregunta de evidencia |
|---|---|
| Enlace contador-pasarela (LMN) | Documenta el enlace óptico, cableado, inalámbrico, DLMS/COSEM o propietario, y cómo la pasarela autentica un contador y rechaza uno no autorizado. |
| Red de área doméstica (HAN) | Muestra el aislamiento entre la vista del consumidor, el acceso del técnico de servicio y los comandos a sistemas locales controlables, para que una vista del hogar no pueda llegar a los secretos del dispositivo. |
| Red de área amplia (WAN) | Muestra la autenticación mutua, la custodia de certificados y claves, el comportamiento de reconexión, y qué participante del mercado recibe qué conjunto de datos. |
| Módulo de seguridad | Trata el almacén de claves y las rutinas criptográficas como un componente con nombre con evidencia de proveedor, una historia de actualización y resistencia a la manipulación. |
| Administrador de la pasarela | Registra la identidad del administrador, el alcance de comandos, el ancla de confianza y el rastro de auditoría para la configuración remota y el firmware. |
| Seudonimización y perfiles | Muestra dónde se seudonimizan las lecturas y qué perfil de procesamiento minimiza y enruta cada conjunto de datos. |
| Límite metrológico | Separa las actualizaciones de ciberseguridad del software metrológico legalmente relevante, y documenta dónde se necesita una aprobación metrológica adyacente. |
Cómo funciona la ruta de conformidad para un producto Crítico
Como una pasarela es Crítica, la ruta de autodeclaración que puede usar un router Clase I importante queda cerrada. Toma la ruta externa bajo el artículo 32: un examen por tercero o una auditoría completa de aseguramiento de la calidad, o un esquema europeo de certificación de ciberseguridad una vez que aplique alguno bajo el artículo 8. Todavía no se ha hecho obligatorio ningún esquema para pasarelas, así que hoy la ruta es la evaluación por tercero o del sistema de calidad, con el esquema como un disparador futuro que seguir. La mecánica de cada procedimiento está en la guía de evaluación de la conformidad. El detalle específico de medición es el límite metrológico: una evaluación CRA no da el visto bueno a la función de medida legalmente relevante, así que mantén la evidencia de conformidad y la aprobación metrológica como registros separados.
Qué evidencia debe contener la documentación técnica
El expediente debería permitir a un revisor seguir la pasarela desde la identidad del producto hasta los controles de seguridad sin adivinar. La tabla de abajo lista los registros específicos del expediente que la tabla de requisitos anterior no cubría ya: identidad, la determinación Crítica, el resultado de conformidad y el inventario de componentes. Los dos registros que cargan con la mayor parte del peso para una pasarela de medición, el ciclo de vida de claves y certificados y el reparto entre cambios relevantes para la metrología y solo de ciberseguridad, se dibujan en detalle debajo de ella.
| Área de evidencia | Evidencia de medición a conservar |
|---|---|
| Identidad del producto | Modelo de contador y pasarela, firmware metrológico, módulo de comunicación, pieza del módulo de seguridad y revisión de hardware |
| Determinación Crítica | Si el producto es una pasarela dentro de un sistema de medición inteligente u otro producto de medición conectado, con el razonamiento registrado |
| Resultado de conformidad | El certificado de examen UE de tipo del organismo notificado o la aprobación de aseguramiento total de la calidad, la declaración UE de conformidad y el marcado CE, con el número del organismo notificado añadido solo cuando el organismo opera la ruta de aseguramiento total de la calidad |
| Inventario de componentes | Lista versionada de los elementos digitales enviados, con titulares nombrados y una vigilancia de avisos del proveedor |
El módulo de seguridad hace que el ciclo de vida de claves sea distinto de una historia genérica de claves IoT. Un secreto por dispositivo se inyecta en fábrica y nunca sale del módulo en claro. En la instalación, el instalador vincula la pasarela a sus contadores y al rol del operador sin tocar nunca una clave de lote, así que una credencial de instalador filtrada no puede suplantar a una flota. En operación, la pasarela se autentica ante la cabecera con el ancla de confianza configurada y registra cada lectura, evento de manipulación y actualización. La rotación es programada, motivada por un incidente o disparada por un cambio de rol, y actualiza tanto la pasarela como el registro del operador. En el retiro, la vinculación antigua se revoca y las claves se destruyen o deshabilitan, así que una pasarela devuelta o reemplazada no puede seguir actuando como pasarela de contador viva.
El segundo registro específico de medición es el reparto entre el software metrológico legalmente relevante y los cambios solo de ciberseguridad. Un fabricante de pasarelas enviará correcciones de seguridad mucho más a menudo que cambios metrológicos, y el expediente tiene que mostrar que una actualización de seguridad no alteró calladamente la función de medida aprobada. La matriz de abajo es la ayuda de decisión: le dice al fabricante dónde registrar la decisión de ciberseguridad, y dónde se necesita una aprobación metrológica adyacente o una ventana de cambio coordinada con el operador.
Reparto de actualización entre metrología y ciberseguridad. Las correcciones de seguridad deben evaluarse contra el software legalmente relevante sin pretender que la CRA sustituye la aprobación metrológica.
| Área de cambio | Cambio de ejemplo | Pregunta de decisión | Ruta de versión | Evidencia |
|---|---|---|---|---|
| Metrología legalmente relevante | Cálculo de medida o firmware sellado del contador | ¿Afecta esto a la función metrológica aprobada? | Retener para una decisión de impacto metrológico | Evaluación de impacto y registro de aprobación |
| Seguridad de la pasarela | Corrección de TLS, emparejamiento, agente de actualización o almacén de claves | ¿Puede enviarse la corrección sin cambiar la lógica de medida? | Actualización de seguridad firmada con reversión | Registro de decisión de impacto metrológico, resultado de prueba y aviso al cliente |
| Módulo de comunicaciones | Firmware del módem móvil o parche de biblioteca de protocolo | ¿El cambio del proveedor cambia los servicios expuestos o las credenciales? | Actualización de campo escalonada | Decisión sobre el aviso del proveedor y prueba de compatibilidad |
| Conector de cabecera | Formato de exportación, ancla de confianza o flujo de emparejamiento | ¿Necesitará el operador una ventana de cambio coordinada? | Despliegue coordinado con el operador | Instrucción al operador y registro de migración |
Puerta de decisión: este reparto no es un atajo para esquivar la aprobación metrológica o de la empresa de suministro. Le dice al fabricante dónde registrar la decisión de ciberseguridad, y dónde se necesita una aprobación adyacente o una retención del operador. La pregunta que responde: ¿puede enviarse esta corrección como actualización de ciberseguridad, o toca software metrológico legalmente relevante? Artefacto: registro de decisión de impacto metrológico por versión.
Cómo es una evaluación de riesgos de medición real
Úsalo como ejemplo de la profundidad que necesita un expediente de nivel Crítico. El fabricante sigue teniendo que ejecutar la evaluación contra su pasarela real, el módulo de seguridad, la pila de protocolo del contador, el módulo de comunicación, los componentes del proveedor, la titularidad de la actualización, las afirmaciones de venta y la promesa del periodo de soporte.
Inventario de activos
Producto de ejemplo: ExampleCo GridMeter G2, una pasarela de contador inteligente emparejada con contadores de electricidad, un módulo de comunicación móvil, un módulo de seguridad de hardware, un conector de cabecera de la empresa de suministro, una interfaz de pantalla para el consumidor, actualizaciones de firmware firmadas y una herramienta de puesta en servicio del instalador.
El límite del producto incluye el hardware de la pasarela, el módulo de seguridad, la interfaz del contador, el módulo de comunicación, el almacén de claves, el conector de cabecera, la interfaz de pantalla para el consumidor, el servicio de actualización de firmware, la herramienta del instalador, la entrada de divulgación coordinada y el proceso de avisos. Excluye el sistema de facturación de la empresa de suministro, la aprobación metrológica legal, los sistemas de operación de la red y el contrato de energía del cliente, salvo que el mismo operador los suministre como parte del producto.
| Activo | Por qué importa | Dónde reside |
|---|---|---|
| Enlace contador-pasarela (LMN) | Lleva los datos de medición al producto y debe rechazar contadores no autorizados | Interfaz del contador, material de emparejamiento, pila de protocolo LMN |
| Módulo de seguridad de hardware y almacén de claves | Guarda las claves que prueban la identidad de la pasarela en cada red | Módulo de seguridad, almacén de claves, registros de aprovisionamiento |
| Conexión de cabecera y WAN | Ruta privilegiada hacia los participantes del mercado y el administrador de la pasarela | Módulo móvil, credenciales WAN, almacén de certificados |
| Ruta de comandos del administrador de la pasarela | Una ruta de control de flota puede actuar sobre muchas pasarelas a la vez | Gestión WAN, credenciales del administrador, auditoría de comandos |
| Ancla de confianza de firma de firmware | Protege el canal de actualización contra el retroceso y la manipulación | Gestor de arranque, almacenamiento seguro, servicio de actualización OTA |
| Datos de lecturas de intervalo y privacidad | El consumo de grano fino puede revelar ocupación y comportamiento | Almacén de lecturas, perfil de procesamiento, exportación de soporte |
| Flujo de puesta en servicio del instalador | La autoridad de puesta en servicio vincula la pasarela al contador y al rol del operador | Herramienta del instalador, portal del instalador, atestación de emparejamiento |
| Firmware del módulo de comunicación | Las vulnerabilidades del módem afectan a la disponibilidad y la exposición | Módulo móvil, SDK del proveedor, avisos del proveedor |
| Límite metrológico | Una actualización de seguridad no debe tocar calladamente el software de medida legalmente relevante | Función metrológica sellada, proceso de versión, registro de impacto metrológico |
Documenta el reparto de roles y los sistemas excluidos de la empresa de suministro.
Comprobación de ruta | archivo del producto | archivo de riesgos | declaración del periodo de soporte
Ciclo de vida de claves, revisión de privacidad, pruebas de firmware y evidencia de aceptación de la empresa de suministro.
Vigilancia de la biblioteca de protocolo, evidencia de firmware del módem, pruebas del almacén de claves y avisos del proveedor.
Procedimiento de revocación, instrucciones del instalador, ruta de actualización de piezas de repuesto y registro de notificación al cliente.
La salida más sensible a la privacidad de una pasarela es la lectura de intervalo. Los datos de consumo de grano fino pueden revelar ocupación, uso de electrodomésticos y comportamiento, así que el expediente necesita un punto de estrangulamiento de minimización claro y una respuesta clara a qué puede ver el soporte durante una investigación. El flujo de abajo lo conecta con los controles de seudonimización y perfiles de procesamiento de la sección de arquitectura.
La cadencia de lectura es específica del operador o del mercado. La pasarela registra solo el conjunto de datos soportado.
Un perfil de procesamiento conserva solo lo que la función declarada necesita, y las lecturas se seudonimizan antes de llegar a un participante del mercado.
Las vistas del consumidor y del operador se separan de los secretos del dispositivo y del material de emparejamiento en bruto.
Una exportación de soporte elimina las claves, la topología precisa y el detalle personal innecesario. Artefacto: lista de redacción del paquete de soporte.
Límites de confianza
| Entorno | Exposición esperada | Consecuencia de riesgo |
|---|---|---|
| Enlace del contador (LMN) | Alcanzable desde los contadores instalados en campo | Un contador no autorizado o suplantado puede inyectar lecturas falsas |
| Red de área doméstica (HAN) | Compartida con pantallas del consumidor y sistemas locales controlables | Un aislamiento débil puede filtrar lecturas o alcanzar funciones de control |
| Red de área amplia (WAN) | Expuesta de forma continua a participantes externos del mercado y al administrador | Un compromiso de credenciales o certificados puede escalar por toda la flota |
| Ruta del administrador de la pasarela | Canal privilegiado de configuración y actualización remota | Un alcance de comandos excesivo o un administrador comprometido afecta a muchas pasarelas |
| Interfaz del módulo de seguridad | Alcanzada por cada operación que firma, verifica o almacena claves | Un módulo débil socava cada control aguas abajo |
| Ruta de actualización y recuperación | Recibe imágenes de firmware privilegiadas | Una firma débil o el retroceso reintroducen vulnerabilidades conocidas |
| Soporte y exportación de lecturas | Cruza desde el dispositivo hacia operadores y personal de soporte | Las exportaciones sin redactar pueden exponer claves, topología o datos personales de consumo |
Escenarios de amenaza
| ID | Escenario de amenaza | Activo en riesgo | Punto de entrada |
|---|---|---|---|
| M1 | La pasarela acepta lecturas de contador de un contador no autorizado | Integridad de la lectura | Enlace del contador |
| M2 | El certificado de cabecera o la clave del dispositivo se reutiliza entre lotes | Autenticación de la flota | Aprovisionamiento |
| M3 | El retroceso de firmware reintroduce una vulnerabilidad conocida | Integridad del firmware | Agente de actualización |
| M4 | Los datos de intervalo filtran la ocupación a través de una exportación de soporte | Privacidad de la lectura | Paquete de soporte |
| M5 | La cuenta del instalador sigue activa tras la baja del contratista | Autoridad de puesta en servicio | Portal del instalador |
| M6 | La interfaz del consumidor expone las lecturas de otro hogar | Privacidad | API en nube o local |
| M7 | Una actualización con impacto metrológico se envía sin separación de la corrección de seguridad | Límite metrológico | Proceso de versión |
| M8 | Una vulnerabilidad del módem móvil no se tría durante el soporte | Disponibilidad de la pasarela | Módulo del proveedor |
| M9 | El reseteo de fábrica no revoca la vinculación de la empresa de suministro ni las claves antiguas | Propiedad, claves | Reemplazo o devolución |
| M10 | El alcance de comandos del administrador de la pasarela excede el perfil evaluado | Control de la flota | Gestión WAN |
Registro de riesgos inicial
| ID | Probabilidad | Impacto | Decisión inicial | Razonamiento |
|---|---|---|---|---|
| M1 | Baja | Alto | Tratar antes de la versión | La integridad de la lectura es central |
| M2 | Baja | Severo | Tratar antes de la versión | La reutilización de claves puede escalar por toda la flota |
| M3 | Baja | Severo | Tratar antes de la versión | Una debilidad de actualización socava el soporte |
| M4 | Media | Medio | Tratar antes de la versión | Los datos de medición son sensibles a la privacidad |
| M5 | Media | Alto | Tratar antes de la versión | Los instaladores afectan a muchos dispositivos |
| M6 | Baja | Alto | Tratar antes de la versión | Una fuga entre hogares es severa |
| M7 | Media | Alto | Tratar antes de la versión | Las actualizaciones de metrología y ciberseguridad interactúan |
| M8 | Media | Medio | Tratar antes de la versión | Los módulos de comunicación envejecen rápido |
| M9 | Media | Alto | Tratar antes de la versión | El reemplazo y la devolución son normales |
| M10 | Media | Severo | Tratar antes de la versión | Una ruta de control de flota puede afectar a muchas pasarelas |
Asignación de controles y evidencias
| Amenazas | Control de diseño | Evidencia que el fabricante debería conservar |
|---|---|---|
| M1, M2 | Autenticación mutua, claves por dispositivo ancladas en el módulo de seguridad, auditoría de aprovisionamiento | Registro de inyección de claves, pruebas de emparejamiento |
| M3 | Actualizaciones firmadas, anti-retroceso, verificación de recuperación | Pruebas de actualización, rechazo de retroceso |
| M4, M6 | Minimización de datos, perfiles de procesamiento, seudonimización, aislamiento de inquilinos, redacción de soporte | Revisión de privacidad, pruebas de API |
| M5, M9 | Separación de roles del instalador, baja, flujo de reemplazo y revocación | Pruebas de rol, lista de comprobación de devolución |
| M7 | Evaluación de impacto metrológico y separación de versiones | Registro de decisión de versión |
| M8 | Inventario de componentes y vigilancia de avisos del proveedor | Registro de avisos, decisión de parche |
| M10 | Perfil de administrador de mínimo privilegio, inventario de certificados, auditoría de comandos | Revisión de perfil, muestra de auditoría de comandos |
Riesgo residual tras los controles
| Área residual | Por qué permanece | Evidencia de operación |
|---|---|---|
| Sistemas de la empresa de suministro | La facturación y las operaciones de cabecera pueden quedar fuera del control del fabricante del producto | Memorando de reparto de roles |
| Inferencia de privacidad | Las lecturas de grano fino aún pueden revelar comportamiento | Registro de retención y minimización |
| Ruta de certificación | El tratamiento de producto Crítico depende del esquema y del futuro acto delegado | Registro de decisión de ruta, nota de vigilancia de esquemas |
¿Qué va en un SBOM de pasarela de contador inteligente?
La mecánica genérica del SBOM, la elección de formato y la firma viven en la guía SBOM, la guía HBOM y la guía BSI TR-03183. Lo específico de una pasarela es la forma del árbol. Es un producto de hardware que envía muchos elementos digitales en ciclos de actualización separados, rara vez menos de diez y a menudo más cerca de veinte componentes de nivel superior, cada uno con su propio proveedor, cadencia de actualización y canal de avisos. Lístalos como un único inventario a nivel de producto con secciones separadas por elemento, o un inventario por elemento enviado, mientras siga siendo legible por máquina y cubra las dependencias de nivel superior.
| Componente | Función en la pasarela | Ejemplo concreto |
|---|---|---|
| Gestor de arranque seguro y raíz de confianza | Verifica e inicia la cadena de firmware firmado | Una primera etapa de arranque medido o verificado que comprueba firmas antes de que cargue el sistema operativo y rechaza imágenes degradadas |
| Sistema operativo y núcleo | La plataforma sobre la que corre la pasarela | Un Linux embebido construido con Yocto/OpenEmbedded sobre un núcleo de soporte a largo plazo, o un RTOS endurecido |
| Firmware metrológico | La función de medida sellada y legalmente relevante | Firmware de medida del contador sellado bajo la Directiva de Instrumentos de Medida (2014/32/UE) y la ley metrológica nacional. Dentro del límite de la pasarela solo cuando el contador es parte del producto introducido en el mercado, de lo contrario reside en el contador y se identifica según la guía de software WELMEC 7.2 |
| Pila de protocolo del contador (LMN) | Lee contadores por la red metrológica local | Una pila DLMS/COSEM (Device Language Message Specification / Companion Specification for Energy Metering) (IEC 62056). En despliegues alemanes, SML (Smart Message Language) y Wireless M-Bus (EN 13757-4) con perfiles OMS (Open Metering System) |
| Firmware del módulo de comunicación (WAN) | Lleva el enlace de área amplia a los participantes del mercado | Firmware de banda base del proveedor sobre un módulo móvil NB-IoT o LTE-M (p. ej. de u-blox o Quectel). Algunas redes usan transporte por línea eléctrica en su lugar |
| Conector / cliente de cabecera | Habla con el sistema de cabecera y el administrador de la pasarela | Un cliente WAN que implementa el protocolo del operador (en Alemania, el enlace TR-03109-1 con el administrador de la pasarela) |
| Firmware del módulo de seguridad y almacén de claves | El ancla de confianza: almacenamiento de claves y el núcleo criptográfico | Un elemento seguro o HSM (módulo de seguridad de hardware) evaluado contra un perfil de protección Common Criteria (en Alemania, BSI PP-0077) |
| Cliente PKI / gestión de certificados | Da de alta, renueva y revoca los certificados del dispositivo | Un cliente de certificados (p. ej. EST o CMP) contra la PKI del operador. En Alemania, la PKI de medición inteligente TR-03109-4 |
| Biblioteca TLS | Protege el canal WAN | mbedTLS, wolfSSL u OpenSSL |
| Capa CMS | Protección de contenido de extremo a extremo de las lecturas más allá del punto final de transporte | Una implementación de Cryptographic Message Syntax (RFC 5652) que firma y cifra el contenido del contador para el destinatario habilitado |
| Agente de actualización por el aire | Aplica firmware firmado con reversión | Un cliente de actualización A/B como SWUpdate, Mender o RAUC, con verificación de firma y anti-retroceso |
| Motor de perfiles de procesamiento y configuración | Minimiza y enruta cada conjunto de datos al destinatario habilitado | El componente que aplica perfiles de procesamiento y seudonimiza las lecturas antes de que salgan de la pasarela |
| Subsistema de registro de eventos y manipulación | Registra lecturas, eventos de manipulación y actualización para el rastro de auditoría | Un registro de eventos de solo adición que alimenta el rastro de auditoría del operador y la evidencia de disputas de facturación |
| Fuente de tiempo segura | Proporciona tiempo de confianza para certificados, registros y tarifas | Un reloj sincronizado, como NTP autenticado, que sustenta la validez de certificados y las marcas de tiempo de eventos de manipulación |
| Pantalla local / interfaz HAN | La vista de transparencia para el consumidor y el enlace con sistemas locales controlables | Una vista web local para el consumidor final, o una interfaz EEBus / OMS a sistemas de área doméstica |
| Herramienta de instalador / puesta en servicio | Empareja, aprovisiona y reemplaza pasarelas en campo | Una app de campo o herramienta de portátil que vincula la pasarela a sus contadores y al rol del operador sin tocar una clave de lote |
Mantén la obligación honesta. La CRA pide un inventario legible por máquina que cubra al menos las dependencias de nivel superior, refrescado a lo largo del periodo de soporte, con vigilancia de avisos del proveedor para que una vulnerabilidad conocida en el firmware del módem o la biblioteca de protocolo se tríe en lugar de pasarse por alto. Todavía no obliga a un único formato fijo ni a una profundidad más allá de las dependencias de nivel superior. Refleja esa redacción en lugar de inventar una regla más estricta.
El inventario no es una lista pasiva. El artículo 13 te hace ejercer la diligencia debida cuando integras un componente de terceros, incluido el de código abierto, para que no debilite la ciberseguridad de la pasarela. Va más allá en las vulnerabilidades. Cuando encuentras una en un componente integrado, la notificas a la entidad que fabrica o mantiene ese componente, la corriges en tu producto bajo las reglas de gestión de vulnerabilidades del Anexo I, y donde has construido una corrección de software o hardware compartes el código o la documentación relevante de vuelta con ese mantenedor. El módulo móvil y el módulo de seguridad no son meras líneas de inventario. Cada uno es un producto con elementos digitales por derecho propio, con sus propias obligaciones CRA, así que el aviso de la banda base del módem y la fe de erratas del módulo de seguridad forman parte de tu vigilancia y tu notificación aguas arriba, no del problema de otro.
¿Cómo deberían funcionar el soporte, las actualizaciones y la notificación?
Una flota de contadores sobrevive a la mayoría de la electrónica de consumo. Las pasarelas se quedan en las paredes una década o más, así que el modelo de soporte es parte del expediente, no una ocurrencia tardía. La evidencia de soporte debería cubrir el firmware metrológico, el firmware de la pasarela, el módulo de seguridad, el módulo de comunicación, el conector de cabecera y las herramientas del instalador. Las flotas de larga vida también necesitan evidencia para la continuidad de la autoridad de certificación, la caducidad de la clave de firma, las líneas base de pasarela de repuesto, y la separación entre el software metrológico legalmente relevante y las actualizaciones solo de ciberseguridad.
| Área operativa | Evidencia a preparar |
|---|---|
| Periodo de soporte y disponibilidad de actualizaciones | Los mínimos genéricos están en la guía del periodo de soporte. Para una flota de contadores, planifica una ventana que case con un despliegue de varios años en lugar del mínimo, muestra la fecha de fin con mes y año en la compra, y conserva imágenes de recuperación, hashes y notas de versión para las líneas base de pasarela de repuesto. |
| Separación del impacto metrológico | Un registro de decisión por versión que muestre si un cambio tocó la función metrológica aprobada, y dónde se necesitó una aprobación adyacente o una retención del operador. |
| Contacto único de vulnerabilidades | Un contacto directo de notificación de vulnerabilidades para el fabricante de referencia, no solo un canal automatizado. Donde la empresa de suministro es fabricante de una pasarela con marca, la empresa de suministro es titular de una ruta de entrada. |
| Diligencia de componentes | Vigilancia de avisos del proveedor para el núcleo, la pila de protocolo, el firmware del módem, el módulo de seguridad, las bibliotecas TLS y CMS y el agente de actualización, con triaje y propagación de correcciones. |
| Notificación de explotación activa e incidentes graves | Notifica a través de la plataforma única al CSIRT coordinador y a ENISA en el plazo de la CRA, y añade luego la capa específica de la pasarela: coordina el aviso al usuario y cualquier mitigación con la empresa de suministro, y registra el impacto metrológico de la corrección. Los plazos de alerta temprana, notificación e informe final son los transversales detallados en la guía de gestión de vulnerabilidades y la guía de divulgación coordinada de vulnerabilidades. |
Las actualizaciones de seguridad tienen que coordinarse con las empresas de suministro y el administrador de la pasarela para que el despliegue en campo, el impacto metrológico y el aviso al usuario sean trazables. Un fabricante de pasarelas no puede empujar una actualización de flota como lo hace una app de teléfono. El operador es titular de la ventana de cambio, y el expediente debería mostrar esa coordinación en lugar de darla por supuesta. Los deberes de notificación bajo el artículo 14 empiezan el 11 de septiembre de 2026, así que la política de divulgación y el contacto único deberían estar funcionando antes de esa fecha, mientras que el resto de la CRA se aplica desde el 11 de diciembre de 2027, la fecha en la que la ruta de conformidad y la documentación técnica tienen que estar completas.
Una regla transitoria importa más a una flota de contadores que a casi cualquier otro producto. Un producto introducido en el mercado antes de la fecha de aplicación queda atrapado por la CRA plena solo si se modifica sustancialmente después, así que un contador instalado años antes no necesita retroactivamente la ruta de conformidad. Un deber rompe esa regla. La notificación de vulnerabilidades explotadas activamente e incidentes graves alcanza a todo producto en el ámbito ya en el mercado, flota desplegada incluida (artículo 69). Así que el fabricante de contadores instalados hace años aún debe esa notificación para su flota desplegada, y una empresa de suministro solo la carga donde es el fabricante de referencia, por ejemplo tras un cambio de marca o una modificación sustancial. Mapea la flota desplegada contra este reparto pronto, porque la obligación de notificación llega antes que el resto del expediente.
Qué deben comprobar importadores, distribuidores y empresas de suministro
Una pasarela suele repartir sus roles entre más operadores económicos que un producto de consumo: un fabricante de contadores, un fabricante de la pasarela, una empresa de suministro que puede cambiar la marca u operar la flota, un administrador de la pasarela y un instalador. El mapa de traspaso de abajo muestra quién es titular de cada comprobación previa a la venta y qué detiene la pasarela en cada rol.
Los deberes genéricos del importador y del distribuidor se aplican como en cualquier producto. Las comprobaciones específicas de medición tratan sobre la build y las claves. Los importadores y distribuidores deberían confirmar que la build recibida es la build evaluada, no una bifurcación con nueva marca. Las empresas de suministro y los instaladores deberían comprobar el aprovisionamiento de claves, la línea base de firmware, el flujo de revocación y reemplazo y el perfil del administrador de la pasarela antes de aceptar un lote. Una empresa de suministro que coloca la pasarela bajo su propio nombre, opera la nube de gestión o modifica sustancialmente el firmware asume obligaciones de fabricante para esa flota con marca, incluido el contacto de notificación de vulnerabilidades.
Un fabricante de contadores o módulos de fuera de la UE puede designar un representante autorizado en la UE bajo el artículo 18. El artículo dice "podrá", así que es una opción, no un deber, y no deberías registrar un representante autorizado como obligatorio. El enrutado es lo que no es opcional. Un producto de marca propia o sustancialmente modificado convierte en fabricante a quien lo introdujo o cambió. El expediente tiene que nombrar quién recibe una notificación de vulnerabilidad y quién mantiene la documentación a disposición cuando el fabricante está fuera de la UE. Decide ese enrutado en el trabajo de límite, no en la frontera.
Cómo encaja junto a la RED, la MID, el RGPD y NIS2
La CRA no aterriza sobre un escritorio vacío. Un contador inteligente ya lleva otras obligaciones CE, y la empresa de suministro que opera la flota tiene sus propios deberes. Cuatro solapamientos deciden cuánto del expediente es genuinamente nuevo.
| Régimen | Recae sobre | Qué añade, y cómo se cruza con la CRA |
|---|---|---|
| Directiva de Equipos Radioeléctricos (2014/53/UE) | Un contador con radio | Objetivos de seguridad y CEM a través del Art. 3.1, así que la LVD y la Directiva CEM no se listan por separado. Ciberseguridad a través del Reglamento Delegado (UE) 2022/30, en vigor desde el 1 de agosto de 2025, antes de la CRA. |
| Directiva de Instrumentos de Medida (2014/32/UE) | La función de medida | Aprobación metrológica de que la medida es correcta y está sellada, una pregunta separada de la ciberseguridad. |
| RGPD | Los datos de lectura de intervalo | Deberes de protección de datos sobre la CRA, con una plantilla de evaluación de impacto para redes inteligentes a seguir. |
| NIS2 (2022/2555) | El operador, no la caja | Los propios deberes de notificación de incidentes y gestión de riesgos del operador del sistema de distribución, junto a la notificación CRA del fabricante. |
Una única declaración UE de conformidad lista cada acto que aplica, la RED, la MID, la RoHS y la CRA entre ellos. Dos cosas pillan desprevenidos a los fabricantes.
La ciberseguridad de la RED ya vincula a un contador con radio hoy. Tiene que cumplir las normas EN 18031-1, -2 y -3 ahora, antes de la CRA. Sigue cumpliendo ambas hasta que el Reglamento Delegado (UE) 2026/339 derogue las reglas de ciberseguridad de la RED el 11 de diciembre de 2027, la fecha de aplicación de la CRA.
La CEM y la Directiva de Baja Tensión no se listan dos veces. En un contador con radio, la RED ya lleva los objetivos de CEM y seguridad. Esas dos directivas se aplican por sí solas únicamente a una variante sin radio.
Preguntas frecuentes
¿Es todo contador inteligente Crítico bajo la CRA?
No. El listado Crítico se centra en las pasarelas de contadores inteligentes dentro de sistemas de medición inteligente, y en los dispositivos cuya finalidad es la seguridad avanzada, incluido el criptoprocesamiento seguro. Un subcontador, un repartidor de costes de calefacción, un módulo de radio de contador de agua o un puente para el consumidor es un producto con elementos digitales dentro del ámbito, pero no pasa a ser Crítico solo porque mida consumo o use criptografía. Cada uno de ellos necesita su propio análisis de límite y uso previsto en la ruta estándar.
¿Puede una pasarela de contador inteligente usar la ruta de control interno como un router?
No. Un router Clase I puede autodeclarar por control interno una vez que ha aplicado plenamente las normas armonizadas pertinentes. Una pasarela Crítica no puede. El artículo 32 la envía a un esquema de certificación donde aplique alguno, o a un examen por tercero o aseguramiento total de la calidad. Planifica una evaluación externa del producto o del proceso, no una declaración autofirmada.
¿Necesita la pasarela un certificado de ciberseguridad hoy?
Todavía no, y esta es la sobreafirmación más común. El artículo 8 permite a la Comisión hacer obligatorio un certificado de nivel sustancial para un producto Crítico, pero solo una vez que exista y esté disponible un esquema adecuado. No hay tal esquema en vigor, así que mantén la certificación obligatoria como una condición futura a seguir en lugar de afirmar un certificado contra un esquema que no se ha adoptado.
¿Satisface el régimen del BSI alemán la CRA?
No. El BSI TR-03109 y los perfiles de protección PP-0073 y PP-0077 son un régimen nacional alemán bajo la Ley de Operación del Punto de Medida. La CRA no los adopta. La ruta de la CRA pasa por sus propias normas armonizadas desarrolladas bajo la solicitud de normalización de la Comisión. El régimen alemán es contexto útil, porque muestra la profundidad de arquitectura de seguridad que los reguladores ya esperan de este dispositivo, pero un certificado TR-03109 no es una ruta de conformidad CRA.
¿Satisface la aprobación metrológica la CRA?
No. La aprobación metrológica prueba que la medida es correcta y está sellada. La CRA prueba que el producto conectado resiste ataques a lo largo de su periodo de soporte. Interactúan, porque una actualización de seguridad debe comprobarse contra el software metrológico legalmente relevante, pero una no sustituye a la otra. Mantén los dos registros separados y documenta la interfaz entre ellos.
¿Forma parte de la evaluación CRA la privacidad de las lecturas de intervalo?
Sí. Los datos de intervalo de grano fino pueden revelar ocupación y comportamiento, así que la evaluación debería considerar la confidencialidad y la minimización de datos. La pasarela debería seudonimizar las lecturas antes de que lleguen a un participante del mercado, usar perfiles de procesamiento para enviar solo lo que cada destinatario necesita, y conservar un esquema y una prueba de redacción para cualquier exportación de soporte. El régimen general de protección de datos aplica sobre la CRA, no en su lugar.
¿Cuál es el primer elemento de evidencia que debería crear un fabricante de pasarelas?
El memorando de límite de medición y de ruta Crítica para la pasarela exacta: la interfaz del contador, las conexiones de área doméstica y de área amplia, el módulo de seguridad, el conector de cabecera, el administrador de la pasarela y el ciclo de vida de claves. Ese único registro fija la determinación Crítica y permite que la ruta de conformidad, los contratos de proveedor y el pack del importador apunten a la misma decisión.
¿Aplica esto si mi país no tiene una pasarela separada, como Francia, España o Italia?
Sí. Esos mercados operan contadores integrados que miden y comunican en una sola unidad y alcanzan directamente un concentrador de datos en el centro de transformación, así que no hay caja de pasarela doméstica de por medio. El análisis del Anexo IV no desaparece, se mueve al concentrador, que agrega contadores y controla la comunicación entre el sistema de medición y terceros autorizados. Esa es la función a la que apunta la descripción del Reglamento de Ejecución, así que el concentrador es normalmente el candidato más fuerte a ruta Crítica, no una respuesta automática. Un contador integrado cuyas propias funciones principales encajen en esa descripción podría argumentarse dentro. Ejecuta el memorando de límite contra el dispositivo real, como se expone en cómo difiere la arquitectura entre países de la UE.