La Comisión Europea ha publicado recientemente la propuesta de la Ley de Ciberresiliencia en la UE, con el objetivo de reafirmar las normas de ciberseguridad.
La Comisión Europea anunció el pasado 15 de septiembre la propuesta de la Ley de Ciberresiliencia, un conjunto de normas estrictas sobre ciberseguridad que también regularán los dispositivos de Internet de las Cosas o IoT e incluirán grandes multas para los fabricantes y desarrolladores de software que no cumplan con ellas. Las empresas deberán obtener un certificado obligatorio que confirme su adecuación a los requisitos básicos de ciberseguridad. Con el aumento de los productos de hardware y software que pueden ser objeto de ciberataques se incrementa también el riesgo de ataques y los costes derivados para los usuarios y la sociedad. Las consecuencias de un bajo grado de ciberseguridad y un conocimiento y acceso limitados a la información por parte de los usuarios podría suponer un coste para la industria de trillones al año. A fin de regularlo, la Comisión Europea ha publicado su propuesta de Ley de Ciberresiliencia.
La propuesta de la ley de Ciberresiliencia requerirá que los fabricantes comuniquen los incidentes de seguridad y las vulnerabilidades identificadas.
Bajo las condiciones recogidas en la propuesta de la Ley de Ciberresiliencia, los fabricantes tendrán una serie de obligaciones de notificación en relación a las vulnerabilidades e incidentes de seguridad. Deberán informar a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) de “cualquier vulnerabilidad” contenida en el producto y de “cualquier incidente que pueda tener un impacto en la seguridad” del producto. Estos aspectos tendrán que notificarse “en 24 horas desde que se identifique”. Además, los fabricantes deberán informar a los usuarios de dichos incidentes “sin demora tras descubrirlos” y también “cuando sea necesario, sobre las medidas correctivas que el usuario puede implementar para mitigar el impacto del incidente”.
Los procedimientos de evaluación de conformidad para los fabricantes se convertirán en el estándar tras la introducción de la Ley de Ciberresiliencia.
La Ley de Ciberresiliencia requerirá que los fabricantes lleven a cabo una serie de procedimientos de evaluación de conformidad, que elaboren documentación técnica y que confirmen que todos sus productos cuentan con un marcado CE válido. Esta normativa cubrirá también un amplio rango de productos que incluyan elementos digitales. Mientras que la legislación interior existente se aplica a ciertos productos con componentes digitales, muchos de los productos de hardware y software actuales no están cubiertos por ninguna norma europea en relación a la ciberseguridad. En concreto, el marco jurídico europeo actual no recoge la ciberseguridad del software no integrado, a pesar de que se ha dado un aumento significativo de los ataques que explotan las vulnerabilidades de estos productos
Se espera que la Ley de Ciberresiliencia genere las condiciones para un mercado interior que funcione de manera óptima y que resulte beneficioso para los consumidores.
La propuesta de la Ley de Ciberresiliencia se ha creado con una serie de objetivos específicos. La Comisión Europea lo ha considerado necesario para asegurar que los fabricantes mejoran la seguridad de sus productos que incluyen elementos digitales desde el diseño, la fase de desarrollo y toda la duración del ciclo de vida. La regulación también pretende alcanzar un arco jurídico coherente en este sentido y facilitar el cumplimiento para los fabricantes de hardware y software, así como optimizar la transparencia en relación a las propiedades de seguridad y permitir a las empresas y a los consumidores utilizar productos que cuenten con elementos digitales seguros. Se concibe como una serie de esfuerzos adicionales para asegurar el funcionamiento del mercado interno y garantizar que los productos de hardware y software se ponen en el mercado con el menor riesgo posible de vulnerabilidades, y que dicha seguridad se mantenga durante el ciclo de vida del producto. Se crearán así las condiciones que permitirán a los usuarios tener los requisitos de ciberseguridad en cuenta en su proceso de seleccionar y utilizar productos con elementos digitales.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.
