Bruselas blinda, norma mediante, la ciberseguridad de dispositivos conectados a Internet
La Unión Europea define los nuevos estándares de ciberseguridad recogidos en la Ley de Resiliencia Cibernética para fabricantes y desarrolladores de productos con elementos digitales.
- Europa regulará la seguridad de todo tipo de dispositivos conectados
- La Unión Europea ‘planta’ su bandera en Silicon Valley
- La UE llevará a consulta pública el coste de la red de telecomunicaciones para las ‘Big Tech’
- Aprobada la nueva Ley General de las Telecomunicaciones a pesar de los plazos de Bruselas
Tal y como se venía avanzando, la Unión Europea (UE) ha apuntalado los cimientos de su ciberseguridad a través de la presentación formal de la Ley de Resiliencia Cibernética. Una norma que define los nuevos estándares de seguridad digital en el territorio destinados a la “protección de consumidores y empresas” frente a “productos con características de seguridad inadecuadas”. Una normativa pionera en el Viejo Continente que se esfuerza por adaptarse a la idiosincrasia de la sociedad moderna e introduce requisitos obligatorios de ciberseguridad para productos con elementos digitales durante todo su ciclo de vida.
La Ley, anunciada por la presidenta Úrsula von der Leyen en septiembre de 2021 durante su discurso sobre el estado de la Unión Europea, pretende regular la comercialización de los objetos conectados, que hasta ahora no están sujetos a ninguna obligación en este ámbito, buscando reducir los ciberataques que estos bienes pueden sufrir a lo largo de su vida útil. También permitirá que los clientes de estos productos estén debidamente informados sobre la ciberseguridad de los productos que compran y utilizan.
Qué riesgos enfrenta
Los ciberataques pueden extenderse a través de las fronteras del mercado interior en cuestión de minutos. Por lo tanto, la regulación aborda dos problemas principalmente. El primero se refiere al bajo nivel de ciberseguridad de muchos de estos productos y, lo que es más importante, el hecho de que muchos fabricantes no brindan actualizaciones para abordar las vulnerabilidades. Si bien los fabricantes de productos con elementos digitales a veces se enfrentan a daños en la reputación cuando sus productos carecen de seguridad, el costo de las vulnerabilidades lo asumen predominantemente los usuarios profesionales y los consumidores. Esto limita los incentivos de los fabricantes para invertir en diseño y desarrollo seguros y para proporcionar actualizaciones de seguridad.
La segunda cuestión hace referencia a que las empresas y los consumidores a menudo no tienen información suficiente y precisa cuando se trata de elegir productos que sean seguros y, a menudo, carecen del conocimiento necesario obre cómo asegurarse de que los productos que compran estén configurados de manera segura. Las nuevas reglas ahondan en estos dos aspectos al abordar el tema de las actualizaciones y también al facilitar información actualizada a los clientes.
Abordando la problemática
La nueva ley impulsada por Bruselas exige que los productos con elementos digitales solo estén disponibles en el mercado si cumplen con los requisitos esenciales específicos de ciberseguridad. Así, requiere que los fabricantes tengan en cuenta la ciberseguridad en el diseño y desarrollo de los productos con este tipo de elementos. En cuanto a la información y las instrucciones proporcionadas al usuario final, la Ley de Resiliencia Cibernética contempla la transparencia como pieza fundamental. Un elemento clave de la propuesta es la cobertura de todo el ciclo de vida de los productos y, en particular, la obligación de los fabricantes y desarrolladores de proporcionar información sobre el final de la vida útil de los mismos y el soporte de seguridad proporcionado, así como como las obligaciones de brindar actualizaciones de seguridad y soporte durante un período de tiempo razonable.
Dichas obligaciones se establecerían para los operadores económicos, desde los fabricantes hasta los distribuidores e importadores, según corresponda a su función y responsabilidades en la cadena de suministro. Basado en el Nuevo Marco Legislativo para la legislación de productos en la UE, los fabricantes se someterían a un proceso de evaluación de la conformidad para demostrar si se han cumplido los requisitos especificados relacionados con un producto. Esto podría hacerse a través de una autoevaluación o una evaluación de la conformidad de un tercero, dependiendo de la criticidad del producto en cuestión. Cuando se haya demostrado el cumplimiento del producto con los requisitos aplicables, los fabricantes y desarrolladores redactarán una declaración de conformidad y podrán colocar el distintivo CE. Este indicará la conformidad de los productos con elementos digitales con la CRA para que puedan circular libremente dentro del mercado interior.
"Merecemos sentirnos seguros con los productos que compramos en el mercado único. Así como podemos confiar en un juguete o un refrigerador con el sello 'CE', la Ley de Resiliencia Cibernética garantizará que los objetos conectados y el software que compramos cumplan con fuertes medidas de seguridad”, ha asegurado la vicepresidenta de la Comisión Europea para la Era Digital, Margrethe Vestager.
