Cyber Resilience Act: ley de ciberresiliencia de la UE
El compromiso europeo con la ciberseguridad estableció un nuevo hito en septiembre de 2022 con la publicación de la Cyber Resilience Act o ley de ciberresiliencia.
Las instituciones europeas proponen en este texto una nueva regulación en torno a la ciberseguridad de los productos digitales, una iniciativa que se enmarca dentro de un contexto legislativo más amplio: la Estrategia de Ciberseguridad de la UE de 2020.
Con un coste estimado del cibercrimen en 5.5 trillones de euros en territorio europeo en 2021, las instituciones europeas han dado un paso al frente respecto a la ciberseguridad desde diversos enfoques en años recientes. De este modo, la Cyber Resilience Act es una demostración más, que viene acompañada de otras iniciativas como la ley de protección de datos.
En el caso específico de la ley de ciberresiliencia, se trata de otorgar protección a los consumidores en torno a los posibles vulnerabilidades de ciberseguridad en productos con elementos digitales.
Se trata así de atajar de forma firme este tipo de problemas en vistas a lograr una verdadera ciberresiliencia. Este concepto supone la capacidad de los sistemas para resistir y/o recuperarse ante ataques cibernéticos. Por ello, propone actuaciones en dos frentes: proteger los activos digitales y facilitar su continuidad ante este tipo de incidentes. Anticipación, detección y respuesta rápida son tres de las claves de la ciberresiliencia, que ahora está sobre la mesa con la llegada de esta ley.
En nuestro ebook sobre la Ley de Ciberresiliencia de la UE encontrarás toda la información necesaria para cumplir con los requisitos y estar preparado, ya que desde su entrada en vigor este año, las empresas tienen 36 meses para adaptarse a ella.
¿Qué es la nueva ley de ciberresiliencia?
La ley de ciberresiliencia o Cyber Resilience Act es una ley europea que refuerza las normas de ciberseguridad en productos de software y hardware dentro del mercado interno europeo.
Publicada en septiembre de 2023, supone la culminación de un proceso legislativo de varios años de duración y que atañe a “todos los productos con elementos digitales cuyo uso previsto y razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red”. Esta definición incluye, por tanto, productos de hardware o software con conexiones por cable y/o inalámbricas.
Se busca así que estos productos ofrezcan garantías de seguridad a lo largo de la cadena de suministro y durante su ciclo de vida.
Para ello, se establecen una serie de requisitos y obligaciones respecto a los productos en sí, incluidos en el anexo I de la Cyber Resilience Act, y que podrás descubrir aquí.
De este modo, se busca facilitar que los consumidores cuenten con suficiente información sobre la ciberseguridad de los productos que adquieren. A su vez, se trata de una medida que incita a los fabricantes a mejorar la seguridad de productos desde la fase de diseño y desarrollo, pero también a través de todo su ciclo de vida.
¿Cómo clasifica la Cyber Resilience Act los productos afectados?
La Cyber Resilience Act clasifica los productos a los que se refiere en cuatro categorías, para las que establece diferentes obligaciones.
La primera categoría se denomina como “Sin clasificar” o “predeterminado”.
Se aplica a productos sin vulnerabilidades críticas de ciberseguridad. La Comisión Europea calcula que un 90% de los productos con elementos digitales pertenecen a esta categoría, con ejemplos como software de edición de imagen, procesadores de texto, altavoces inteligentes o videojuegos.
Las empresas responsables de estos productos tendrán que evaluar sus vulnerabilidades para mejorar.
El 10% restante de productos se dividen en Clase I, Clase II o Altamente Crítico, en función de su nivel de riesgo.
¿Cómo se aplicará la ley de ciberresiliencia en la práctica?
Para cumplir sus objetivos, la Cyber Resilience Act busca establecer un marco de medidas que sean accionables y transparentes, evitando la creación de nuevas incertidumbres para los productores.
La Evaluación de Conformidad de los dispositivos la realizará el fabricante bajo su propia responsabilidad, con la colaboración de los organismos de evaluación según la categoría de producto. Estos últimos serán “organismos externos independientes de la organización o del producto que evalúan”.
Para garantizar el incumplimiento de los requisitos, se prevén multas administrativas de entre 10 y 15 Mill € o hasta el 2 - 2,5% del volumen de negocios anual de la empresa.
A nivel práctico, la Cyber Resilience Act prevé que una gran mayoría de productos se enmarquen dentro de la categoría que se considera no crítica. En estos casos, será preciso llevar a cabo una evaluación de riesgos de seguridad por cuenta propia y bajo la propia responsabilidad de la empresa.
No obstante, los productos categorizados como de mayor riesgo (según hemos explicado más arriba) requieren de la intervención de terceros para verificar que se cumplen los requisitos legales.
A su vez, se debe tener en cuenta que la ley de ciberresiliencia entiende este concepto desde un punto de vista de monitoreo y mejora continua. El hecho de que un producto sea evaluado como seguro hoy no garantiza que lo siga siendo en el futuro. A medida que se descubren nuevas vulnerabilidades, la evaluación de dispositivos deberá realizarse de forma periódica. Se propone así un esquema de certificación continua.
De este modo, la Cyber Resilience Act pone en marcha cambios profundos en la estrategia de ciberseguridad de las organizaciones. Por otro lado esperan los beneficios de cumplir con una normativa europea que abre la puerta al comercio en el mercado único europeo y todas las oportunidades que ello implica.
En esta transformación para la estrategia digital de los productos, resulta fundamental encontrar los aliados especializados en ciberseguridad más adecuados.
Desde S2 Grupo ofrecemos nuestra amplia experiencia en ciberseguridad a través de nuestro servicio para el Gobierno, Riesgo y Cumplimiento. A través de nuestros servicios de consultoría y auditoría, ayudamos a las empresas a cumplir con la legislación vigente en materia de ciberseguridad, incluyendo los nuevos requisitos establecidos por la Cyber Resilience Act y otros como el Reglamento General Europeo de Protección de Datos.
Descárgate nuestro ebook Cyber Resilience Act y ponte en contacto con nuestro equipo para ver cómo podemos ayudarte.