La nueva Ley de Ciberresiliencia de la Unión Europea promete marcar un antes y un después en la regulación de la ciberseguridad de todos los productos digitales. Esta legislación, pionera en su ámbito, busca establecer normas más estrictas y homogéneas para proteger las infraestructuras críticas y los datos sensibles contra ciberataques. Ante el aumento de amenazas cibernéticas y la creciente dependencia de la tecnología, la ley de ciberresiliencia se presenta como una medida fundamental para garantizar la integridad y la continuidad operativa de los sistemas digitales en la UE.
Este marco regulatorio incluye un periodo de adaptación de tres años y contempla multas de entre 10 y 15 millones de euros, o hasta el 2 o 2,5% del volumen de negocio anual de las empresas en caso de incumplimiento. A continuación, se presentan las 10 claves más importantes de esta nueva normativa:
- Cobertura de todos los dispositivos conectados: La ley abarca todos los dispositivos conectados a la red o a otros dispositivos, asegurando que todos cumplan con los mismos estándares de ciberseguridad.
- Normas de ciberseguridad desde el diseño: Establece normas de ciberseguridad para el diseño, desarrollo y producción de productos digitales, con obligaciones para los operadores económicos y normas de vigilancia del mercado y ejecución.
- Gestión de vulnerabilidades: Impone requisitos esenciales para que los fabricantes gestionen las vulnerabilidades, asegurando la ciberseguridad de los productos durante todo su ciclo de vida, con la obligación de informar sobre vulnerabilidades e incidentes.
- Supervisión por autoridades notificadoras: Los Estados miembros designarán una autoridad notificadora para supervisar los procedimientos de evaluación y notificación de los organismos de evaluación de la conformidad.
- Información para los consumidores: Garantiza que los consumidores tengan información adecuada sobre la ciberseguridad de los productos que adquieren y utilizan.
- Soporte de seguridad y actualizaciones: Obliga a los fabricantes a proporcionar soporte de seguridad y actualizaciones de software para resolver vulnerabilidades identificadas.
- Requisitos esenciales en todas las etapas: Exige la incorporación de requisitos esenciales de ciberseguridad en todas las etapas del ciclo de vida del producto, incluyendo diseño, desarrollo, producción, entrega y mantenimiento.
- Notificación de vulnerabilidades e incidentes: Los fabricantes deben informar activamente sobre vulnerabilidades e incidentes, proporcionar actualizaciones de seguridad durante al menos cinco años y gestionar eficazmente los riesgos.
- Documentación de riesgos: Requiere la documentación de todos los riesgos de ciberseguridad asociados con los productos.
- Instrucciones y evaluación de conformidad: Establece que los productos con elementos digitales deben contar con instrucciones claras, comprensibles y una evaluación de conformidad.
Ley de Ciberresiliencia de la UE
Las nuevas normas de ciberseguridad de la UE garantizan un hardware y un software más seguros. Desde monitores para bebés hasta relojes inteligentes, los productos y el software que contienen un componente digital están omnipresentes en nuestra vida cotidiana. Menos evidente para muchos usuarios es el riesgo de seguridad que tales productos y software pueden presentar.
La Ley de Ciberresiliencia (CRA) tiene como objetivo proteger a los consumidores y las empresas que compran o utilizan productos o software con un componente digital. La Ley consideraría que las características de seguridad inadecuadas se convertirían en cosa del pasado con la introducción de requisitos obligatorios de ciberseguridad para los fabricantes y minoristas de dichos productos, y esta protección se extendería a lo largo del ciclo de vida del producto.
Estrategia de Ciberseguridad de la UE
La Comisión Europea y la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron una nueva Estrategia de Ciberseguridad de la UE a finales de 2020. La Estrategia abarca la seguridad de servicios esenciales como hospitales, redes energéticas y ferrocarriles. También cubre la seguridad del número cada vez mayor de objetos conectados en nuestros hogares, oficinas y fábricas.
La Estrategia se centra en la creación de capacidades colectivas para responder a los principales ciberataques y trabajar con socios de todo el mundo para garantizar la seguridad internacional y la estabilidad en el ciberespacio. En él se describe cómo una unidad cibernética conjunta puede garantizar la respuesta más eficaz a las ciberamenazas utilizando los recursos colectivos y los conocimientos especializados de que disponen la UE y los Estados miembros.
Certificación y Cumplimiento
El Reglamento se anunció en la Estrategia de Ciberseguridad de la UE de 2020 y complementa otra legislación en este ámbito, concretamente el Marco SRI 2. Se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red, excepto las exclusiones especificadas, como el software de código abierto o los servicios que ya están cubiertos por las normas existentes, como es el caso de los dispositivos médicos, la aviación y los automóviles.
Implementación
Está previsto que la Ley de Ciberresiliencia entre en vigor en el segundo semestre de 2024 y los fabricantes tendrán que introducir productos conformes en el mercado de la Unión de aquí a 2027. A continuación, la Comisión examinará periódicamente la Ley e informará sobre su funcionamiento.
Esta normativa no solo reforzará la ciberseguridad en la UE, sino que también impulsará el conocimiento y la formación en ciberseguridad, beneficiando a toda la comunidad. Con un enfoque en la protección del consumidor y la integridad de los sistemas digitales, la Ley de Ciberresiliencia representa un paso crucial hacia un futuro más seguro y resiliente.