domingo, noviembre 27, 2022
HomeTRANSFORMACIÓN DIGITALCiberseguridadComisión Europea presenta nueva propuesta para resiliencia cibernética

Comisión Europea presenta nueva propuesta para resiliencia cibernética

La Comisión Europea (CE) presentó una propuesta para una nueva Ley de Resiliencia Cibernética que obligará a los proveedores de productos digitales, ya sean de productos cableados, inalámbricos o software, a adoptar mayores medidas de protección para incrementar la seguridad de consumidores y empresas de la Unión Europea (UE).

Bajo el marco del Nuevo Marco Regulatorio de la UE, la nueva ley presentada busca impulsar un enfoque de seguridad por diseño para el desarrollo de productos como el Internet de las Cosas (IoT).

La organización alerta que con una mayor presencia de productos inteligentes y conectados, un incidente de ciberseguridad en un producto puede tener un impacto en toda la cadena de suministro, lo que posiblemente provoque una grave interrupción de las actividades económicas y sociales en todo el mercado interior, socavando la seguridad o incluso poniendo en peligro la vida.

Según un estudio sobre ciberseguridad de la CE, los ataques de ransomware golpean a una organización cada 11 segundos en todo el mundo y el costo anual mundial estimado del ciberdelito alcanzó los 5.5 billones de euros en 2021. En ese sentido, advierte que “garantizar un alto nivel de ciberseguridad y la reducción de vulnerabilidades en los productos digitales es más importante que nunca”.

La ley pretende dar una mayor responsabilidad a los proveedores, al obligarles a proporcionar soporte de seguridad y actualizaciones de software para abordar las vulnerabilidades identificadas, así como proveer mayor información a los consumidores sobre los productos en el mercado.

Entre las medidas a ser adoptadas por la CE, se incluyen:

  • normas para la puesta en el mercado de productos con elementos digitales para garantizar su ciberseguridad;
  • requisitos esenciales para el diseño, desarrollo y producción de productos con elementos digitales, y obligaciones para los operadores económicos en relación con estos productos;
  • requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y las obligaciones de los operadores económicos en relación con estos procesos. Los fabricantes también deberán informar las vulnerabilidades e incidentes explotados activamente;
  • y normas sobre vigilancia del mercado y ejecución.

Según la CE, la nueva normativa reequilibrará la responsabilidad hacia los fabricantes, quienes deberán cumplir con los requisitos de seguridad de los productos con elementos digitales que se ofrecen en el mercado europeo.

El reglamento propuesto se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red y obligará a los fabricantes y operadores económicos a dar a los consumidores instrucciones “claras y entendibles” sobre los productos.

Los fabricantes deberán asegurarse que durante la vida útil esperada del producto o durante cinco años después de su comercialización, lo que sea más corto, las vulnerabilidades se manejen de manera efectiva.

La ley también obligará a que los fabricantes notifiquen a la Agencia de Ciberseguridad de la UE (ENISA) en un plazo de 24 horas si tienen conocimiento de cualquier vulnerabilidad explotada activamente en el producto o cualquier incidente con impactos en la seguridad. Esta regla en particular entrará en vigor un año después de emitida la nueva regulación.

Por otro lado, la Comisión señala que habrá algunas excepciones para ciertos productos, para los cuales los requisitos de ciberseguridad ya están establecidos en otras normas de la UE existentes, por ejemplo, en dispositivos médicos, aviación o automóviles.

Al respecto, el software como servicio (SaaS) estaría excluido de la nueva ley, al estar actualmente cubierto por la Directiva NIS2 (Network Information Security 2), a la vez que no se incluirán el software gratuito y de código abierto si no se desarrolla o suministra para uso comercial.

Sin embargo, Dinamarca, Alemania y los Países Bajos argumentaron en un documento citado por el sitio EURACTIV, que SaaS debería también incluirse y que no debería importar si los productos se ofrecen para fines comerciales o de consumo.

La CE espera que la nueva ley también sirva como guía para otras legislaciones del mundo que busquen abordar los nuevos riesgos del IoT. “Los estándares de la UE basados ​​en la Ley de Resiliencia Cibernética facilitarán su implementación y serán un activo para la industria de la ciberseguridad de la UE en los mercados globales”, añade el comunicado.

La nueva Ley ya fue turnada al Parlamento Europeo y al Consejo para su análisis. Una vez adoptados, los operadores económicos y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos.

Efrén Páez Jiménez
Efrén Páez Jiménez
Efrén Páez Jiménez es economista

Publicidad

LEER DESPUÉS