La EU Cyber Resilience Act o Ley de Ciberresiliencia nace para proteger a los consumidores y las empresas que compran o utilizan productos o software con un componente digital. Introduce requisitos obligatorios de ciberseguridad para los fabricantes y minoristas, que deberán cumplirse a lo largo de toda la de vida del producto.
Esta ley europea, pionera en el mundo, pone el foco de la seguridad en los fabricantes -ya sean de hardware o software, que estén conectados a internet-, quienes tendrán tres años desde su entrada en vigor para adaptarse a los nuevos requerimientos. Seguidamente, la Comisión Europea revisará la ley, periódicamente, e informará sobre su funcionamiento.
En la lista de productos afectados por esta norma, encontramos desde los monitores para bebés hasta los relojes inteligentes pasando por los juegos de ordenador, los cortafuegos y los routers. Los productos con distintos niveles de riesgo asociado tendrán diferentes requisitos de seguridad. Menos del 10% de los productos estarán sujetos a evaluaciones de terceros.
Según datos de la Comisión Europea, cada once segundos se produce un ataque de ransomware en el mundo y el coste global de esta ciberdelincuencia asciende a 5,5 billones de euros.
Garantías y exigencias de la Ley de Ciberresiliencia
Con este nuevo Reglamento, todos los productos introducidos en el mercado de la Unión Europea (UE) deberán ser ciberseguros.
El problema que aborda esta ley es doble: por un lado, el nivel inadecuado de ciberseguridad inherente a muchos productos o las actualizaciones de seguridad inadecuadas de dichos productos y software y, en segundo término, la incapacidad de los consumidores y las empresas para determinar qué productos son ciberseguros o para configurarlos de una manera que garantice su ciberseguridad.
La Ley de Ciberresiliencia velará por la existencia de normas armonizadas al comercializar productos o programas informáticos con un componente digital; un marco de requisitos de ciberseguridad que rijan la planificación, el diseño, el desarrollo y el mantenimiento de dichos productos, con obligaciones que deben cumplirse en todas las fases de la cadena de valor, así como por la obligación de garantizar la seguridad en todo el ciclo de vida de estos productos.
Por su parte, en cuanto a los requisitos o exigencias de ciberseguridad para los productos, se citan los siguientes:
- Que la configuración, por defecto, sea segura y permita a sus usuarios poder retornar a esta después de realizar modificaciones.
- Los datos personales deberán estar cifrados. Del mismo modo, es imprescindible que la solicitud de información privada sea la mínima necesaria.
- Minimizar la dependencia de servicios externos y disponer de tolerancia a fallos (provocados por ataques de denegación del servicio).
- Las interfaces abiertas estarán limitadas al mínimo obligatorio, como, por ejemplo, los puertos.
- Los productos deberán contar con sistemas de actualización automática y notificaciones de disponibilidad.
El marcado “CE”
Cuando entre en vigor la propuesta de Reglamento de Ciberresiliencia, también conocida como Ley de Ciberresiliencia,los programas informáticos y los productos conectados a internet llevarán el marcado “CE” para indicar que cumplen las nuevas normas.
Al exigir a los fabricantes y minoristas que prioricen la ciberseguridad, los clientes y las empresas estarán en disposición de tomar decisiones mejor informadas, confiando en las credenciales de ciberseguridad de los productos marcados por “CE”.
El Reglamento se anunció en la Estrategia de Ciberseguridad de la UE de 2020 y complementa otros actos legislativos en este ámbito, concretamente, el Marco SRI2.
Se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red, excepto las exclusiones especificadas, como el software de código abierto o los servicios que ya están cubiertos por las normas existentes, como es el caso de los dispositivos médicos, la aviación y los automóviles.
¿Cuándo entra en vigor la Ley de Ciberresiliencia?
La Ley de Ciberresiliencia sigue su avance hasta entrar en vigor. La previsión es que lo haga este 2024.
Después de que la Comisión Europea lanzase su propuesta en septiembre de 2022, el acuerdo de aprobación alcanzado entre el Parlamento y el Consejo Europeo tuvo lugar el pasado 30 de noviembre.
Así, la EU Cyber Resilience Act depende ya de la aprobación formal de ambas instituciones. Una vez adoptada, entrará en vigor a los veinte días desde su publicación en el Diario Oficial DOUE.
A partir de ese momento, hay un plazo de tres años (con la excepción de un periodo de gracia más limitado, de 21 meses, en relación con la obligación de notificación de incidentes y vulnerabilidades) para que los fabricantes, importadores y distribuidores de productos de hardware y software adopten las nuevas normas y para que, por ejemplo, un producto de domótica o un router que se venda en la Unión Europea cuente con una certificación de ciberseguridad.
En palabras de la vicepresidenta de la Comisión Europea para la Era Digital, Margrethe Vestager: “Los ciudadanos europeos tenemos derecho a sentirnos ciberseguros. Nos merecemos estar tranquilos respecto a los productos que compramos en el mercado único. Si confiamos en un juguete o una nevera con el sello de la UE, la Ley de Ciberresiliencia debería garantizar la seguridad de los objetos conectados y los programas de software que compramos”.
En Dictum Abogados, somos especialistas en la asesoría para emprendedores y startups. Si eres uno de los fabricantes o minoristas de los productos a los que se dirige esta nueva ley y tienes dudas sobre sus límites y ámbito de aplicación, contacta con nosotros y te ayudaremos.
