Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Actualidad

EU Cyber Resilience Act: construyendo el futuro digital europeo

05 Apr 2024

La llegada de la EU Cyber Resilience Act ha sido largamente anticipada. En un contexto de creciente regulación para dispositivos y sistemas digitales, esta norma aspira a proporcionar un marco regulatorio para el territorio europeo.

En el centro de la Cyber Resilience Act European Commission se halla amplificar la ciberresiliencia de los productos digitales comercializados en el continente. En este sentido, la norma reconoce la obligación de los fabricantes, importadores y distribuidores de responsabilizarse de la ciberseguridad de sus productos desde una perspectiva que tenga en cuenta su diseño, desarrollo y mantenimiento, a lo largo de todo su ciclo de vida. 

Hasta muy recientemente, se ha tendido a subestimar las vulnerabilidades potenciales que pueden presentar los dispositivos conectados. No obstante, con la llegada de la EU Cyber Resilience Act, las instituciones europeas han decidido intervenir en vistas a salvaguardar los intereses y derechos de los ciudadanos en materia de ciberseguridad. 

En parte, esta concienciación creciente aparece al constatar la multiplicación ya imparable de dispositivos conectados. Así, las instituciones europeas citaban en textos asociados a la norma un informe publicado por Cisco, que anticipaba que  ya en 2023 el número de dispositivos conectados a internet triplicaba la población mundial. 

Esta proliferación, cuando se realiza sin garantías en ciberseguridad, tiene un coste extraordinario. El coste anual mundial estimado de la ciberdelincuencia alcanzó los 5,5 billones de euros en 2021. También la Agencia Europea de Ciberseguridad (ENISA) informaba en 2022 que cada mes se produce el robo de 10 terabytes de datos en la Unión Europea.

La EU Cyber Resilience Act tiene múltiples implicaciones para fabricantes, importadores y distribuidores de productos digitales, que deben tomar medidas proactivas para garantizar la seguridad de sus datos y sistemas y el cumplimiento de la regulación. Lo analizamos.

¿Qué es la Ley de Ciberresiliencia de la Unión Europea?

La EU Cyber Resilience Act es un reglamento de carácter europeo que establece nuevos requisitos de ciberseguridad para productos digitales a lo largo de todo su ciclo de vida.

Ciclo de vida de los productos digitales

La propuesta fue presentada en septiembre de 2022 por la Comisión Europea. Luego de haber sido revisada y corregida según aportaciones y sugerencias de las diferentes partes afectadas, se llegó a un acuerdo sobre su versión definitiva en diciembre de 2023. El pasado 12 de marzo fue aprobada por el Parlamento Europeo

La misma tiene dos objetivos principales: mejorar la seguridad de los dispositivos digitales y crear las condiciones para que los consumidores dispongan de la información suficiente sobre la seguridad de los dispositivos que compran.

La norma afecta a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red. Además, establece una serie de reglas de ciberseguridad en las fases de diseño, desarrollo y producción de productos con elementos digitales, además de obligaciones para los operadores económicos y reglas para la vigilancia del mercado y el cumplimiento de la ley.

Igualmente, fija un conjunto de requisitos esenciales para los procesos de gestión de vulnerabilidades implementados por los fabricantes para garantizar la ciberseguridad de los productos digitales a lo largo de su ciclo de vida.

Finalmente, la Cyber Resilience Act European Commission establece que los Estados miembros designarán una autoridad notificadora, encargada de determinar los procedimientos necesarios para la evaluación de la seguridad de los productos con elementos digitales, entre otras medidas.

Respecto a las obligaciones de los fabricantes, los siguientes son algunos de los puntos más destacados:

  • Implementación de requisitos esenciales de ciberseguridad en el diseño, desarrollo, producción, suministro y mantenimiento de dispositivos digitales. Los productos deberán ser enviados sin vulnerabilidades "conocidas" y con protección "segura" por defecto.

  • Obligación de proporcionar soporte de seguridad y actualizaciones de software para abordar las vulnerabilidades identificadas. Deberán respaldar actualizaciones de vulnerabilidades durante la vida útil de sus productos, al menos 5 años, y asegurarse de que se gestionen y mitiguen de manera efectiva. Además, todos los riesgos de ciberseguridad deberán ser documentados y notificados activamente frente a autoridades y usuarios.

  • Obligación de incluir instrucciones claras y comprensibles para el uso seguro de los productos con elementos digitales.

  • Obligación de contar con una evaluación de conformidad.

Aprobación en el Parlamento Europeo

Si bien la ley de ciberresiliencia se presentó en septiembre de 2022, el 1º de diciembre de 2023 llegó el acuerdo político entre el Parlamento Europeo y el Consejo. La versión definitiva fue aprobada el pasado 12 de marzo por el Parlamento Europeo. 

Los siguientes pasos incluyen la aprobación formal del Parlamento Europeo y del Consejo, tras lo cual la ley entrará en vigor en los 20 días siguientes a su publicación en el Diario Oficial. 

En este sentido, se prevé que la ley entre en vigor este año, momento a partir del cual se dotará a los estados miembros y operadores económicos afectados de un periodo de 3 años para adaptarse a los nuevos requisitos. No obstante, en el caso de la obligación de informar sobre vulnerabilidades e incidentes, ésta entrará en vigor tan solo un año después de la publicación de la ley, al considerarse que requiere ajustes organizativos menores que el resto de obligaciones.

5 puntos clave para entender la EU Cyber Resilience Act 

1. Objetivos de la ley

Objetivos principales de la Cyber Resilience Act

  • Garantizar el blindaje de ciberseguridad de los dispositivos conectados comercializados en la Unión Europea. Responde así a la preocupación creciente sobre este tipo de productos como una de las principales puertas de entrada de ciberataques exitosos. 

  • Garantizar que los ciudadanos cuentan con suficiente información sobre las características en ciberseguridad que ofrecen los productos digitales que adquieren.

  • Extender la protección en ciberseguridad a todo el ciclo de vida de los productos.

En definitiva, la EU Cyber Resilience Act se alza como una normativa encaminada a fortalecer la seguridad cibernética en la UE, protegiendo los derechos y privacidad de los ciudadanos y fomentando una mayor ciberresiliencia para particulares y empresas.

2. Productos afectados

En el texto se habla de los productos afectados como “productos con elementos digitales”. 

Esta definición abre la puerta a una amplia gama de dispositivos, incluyendo hardware y software, pudiendo incluir dispositivos y aplicaciones que van desde relojes inteligentes, a routers o videojuegos, entre otros muchos.

En este sentido, la Cyber Resilience Act European Commission tiene una vocación amplia, si bien reconoce los diferentes niveles de riesgo dentro de los dispositivos afectados, como vemos más abajo en este artículo. 

Respecto a los operadores económicos afectados por la norma, se incluyen fabricantes, desarrolladores de software, distribuidores, importadores y otros (por ejemplo, quienes se dediquen a la reventa de productos) con tal de que se dediquen al suministro de productos afectados en el mercado europeo. 

Algunas excepciones importantes incluyen: 

  • Software gratuito y open source

  • Los proveedores de SaaS, con tal de que no se dediquen al tratamiento de datos en remoto

  • Los productos que ya estén cubiertos por otras regulaciones europeas (por ejemplo, los sistemas para datos médicos cubiertos por la European Health Data Space Regulation)

3. Clasificación de productos

La EU Cyber Resilience Act divide los productos en cuatro categorías según los factores de riesgo que presenten:

  • Clase I 

  • Clase II 

  • Altamente crítico 

  • No clasificado o "por defecto"

La categoría "por defecto" se aplica a productos sin vulnerabilidades críticas de ciberseguridad. Las empresas responsables de este tipo de producto tendrán que autoevaluar sus vulnerabilidades y aplicar las mejoras necesarias.

Según la Comisión, se prevé que esta categoría cubra el 90% de los dispositivos conectados. Algunos ejemplos en esta categoría incluyen productos como el software de edición de fotos, videojuegos y otros programas y dispositivos de uso común.

Cuadro comparativo de los productos Clase I y Clase II

El resto de productos quedarán divididos en Clase I, Clase II o altamente críticos,  según su nivel de riesgo. Algunos de los factores de riesgo más importantes recogidos en la ley incluyen:

  • Si el producto requiere privilegios para operar y configurar, si aplica el acceso de usuario privilegiado, o está involucrado en una función crítica.

  • Si se va a utilizar en entornos sensibles según lo descrito por NIS2.

  • Si se utiliza para procesar datos personales u otras funciones sensibles.

  • Si su vulnerabilidad pudiera afectar a un grupo de personas.

  • Si ya ha causado efectos adversos y su funcionamiento se ha visto afectado.

4. Implicaciones para fabricantes, distribuidores e importadores

Las implicaciones variarán dependiendo del tipo de producto que se comercialice: 

  • Los productos en la categoría “no clasificada” deberán disponer de una declaración de conformidad emitida por el propio fabricante. 

  • En el caso de los productos Clase I y Clase II, se deberá llevar a cabo una evaluación de conformidad realizada por una empresa externa. 

  • Respecto a los productos considerados como "Altamente Críticos", la certificación de la UE será obligatoria.

Hay una serie de matices que se han de tener en cuenta dentro de estas implicaciones. 

En primer lugar, los requisitos de la EU Cyber Resilience Act comienzan mucho antes de obtener estas certificaciones: la normativa exige que la ciberseguridad se halle ya entre las prioridades durante las fases de diseño y desarrollo de los productos. Por ejemplo, los productos deberán ser “parcheables” y actualizables para cubrir las potenciales vulnerabilidades que pudieran aparecer.

Además, se establecen requisitos diferenciados para componentes individuales y ensamblajes complejos de componentes o sistemas. Así, se entiende que el análisis de las características de ciberseguridad de los componentes de forma aislada es diferente a las características cuando forman parte de un ensamblaje complejo de componentes. Por ello, la evaluación de conformidad de dispositivos individuales no garantiza que el sistema que consiste en un conjunto de estos dispositivos cumpla con los requisitos.

A su vez, estas obligaciones se extienden en el tiempo, de modo que los fabricantes deben asegurar que las vulnerabilidades en sus productos y servicios sean "gestionadas de manera efectiva" durante su vida útil o durante un mínimo de 5 años. Durante este tiempo, los fabricantes, importadores o distribuidores de productos digitales deberán ofrecer servicios como la identificación de vulnerabilidades, notificación de usuarios, gestión de parches y actualizaciones, recomendaciones e informes de incidentes y actualizaciones, entre otros requisitos.

Adicionalmente, se pone el foco en los componentes o equipos suministrados por terceros. Así, los fabricantes deben extender las responsabilidades a sus proveedores, un requisito que aumenta la complejidad de los contratos de diseño y suministro entre empresas.

Igualmente, se establecen obligaciones de notificación a las autoridades competentes y a los usuarios, además de la cooperación con autoridades para investigar y resolver los potenciales incidentes de ciberseguridad.

5. Sanciones 

El incumplimiento de los requisitos de ciberseguridad establecidos en la EU Cyber Resilience Act estará sujetos a multas administrativas de entre 10 y 15 millones de euros, o hasta el 2 - 2.5% de su facturación anual.

Próximos pasos: puesta en vigencia de la Cyber Resilience Act European Commission 

En pocas palabras, la EU Cyber Resilience Act supone un profundo cambio de paradigma en las obligaciones respecto a la ciberseguridad para fabricantes y otros operadores económicos de productos digitales. 

Diseño, manufactura y mantenimiento se ven impactados por esta normativa y se extienden las obligaciones en el tiempo, además de los requisitos de notificación respecto a incidentes o actualizaciones necesarias. A todo ello se une la potencial declaración de conformidad con que muchos productos deberán contar. El resultado es un panorama en el que el cumplimiento se vuelve complejo y multifacético, de modo que se prevé que el ajuste suponga un reto en los próximos años. 

En este contexto, la colaboración con expertos en ciberseguridad se vuelve imprescindible para garantizar no solo el cumplimiento de la normativa, sino el logro de los estándares más altos de ciberseguridad. 

Más allá del cumplimiento, normativas como esta apuntan a cómo la ciberresiliencia se perfila como un factor diferenciador clave para los agentes económicos en los próximos años.

Desde S2 Grupo nos ponemos una vez más de lado de la ciberseguridad más avanzada.

Como empresa líder en ciberseguridad y ciberinteligencia y con más de dos décadas de experiencia en el sector, nuestros equipos multidisciplinares se alzan como aliados fundamentales para ayudar a las empresas a verificar el cumplimiento de la EU Cyber Resilience Act y dar los pasos adecuados para aprovechar este reto como una oportunidad para un futuro más resiliente. 

¿Está tu organización preparada para dar el paso? 

Descubre más sobre nuestra solución especializada en Gobierno, Riesgo y Cumplimiento, descarga de forma gratuita nuestro informe sobre la Ley de Ciberresiliencia para obtener más detalles sobre esta norma y sus implicaciones, y ponte en contacto con nosotros para saber más sobre cómo podemos ayudarte en su cumplimiento.

Informe realizado por S2 Grupo sobre la Cyber Resilience Act

Artículos relacionados
Ver todas →
Actualidad
Conoce los tipos de ciberataques más habituales en empresas
Leer más →
Actualidad
Uno de cada dos españoles no cambia nunca sus contraseñas
Leer más →
Actualidad
Seis consejos de ciberseguridad para evitar estafas al comprar online estas navidades
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día