El pasado marzo, entró en vigor la Ley de Ciberresiliencia europea (The Cyber Resilience Act - CRA) con el propósito de procurar que el ciberespacio europeo sea más seguro y esté más protegido, una legislación que supone un gran paso en los esfuerzos de la UE por proteger a su ciudadanía y empresas frente a productos con características digitales (dispositivos del ecosistema del Internet de las Cosas, IoT) que no cumplan con los requisitos de ciberseguridad. “Estamos comprometidos a hacer de Europa un lugar seguro y protegido para el funcionamiento de nuestros ciudadanos y empresas. Este nuevo reglamento es un gran paso adelante para garantizar que los productos digitales en la UE no planteen riesgos cibernéticos para los consumidores de la UE”, afirmó tras la aprobación de la ley Henna Virkkunen, vicepresidenta ejecutiva de la Comisión Europea.
Para comprender mejor el significado de esta nueva normativa, así como los interrogantes que se generan a su alrededor, es necesario hacerse y dar respuesta a algunas preguntas.
¿Qué significa ciberresiliencia?
Ciberresiliencia es la capacidad para restaurar rápidamente las plataformas digitales, adaptar y recuperar los sistemas de misión crítica para evitar la interrupción de la actividad empresarial.
¿En qué consiste la Ley de Ciberresiliencia (CRA)?
La Ley de Ciberresiliencia (CRA) es la primera legislación de la UE que establece ciertos requisitos obligatorios de ciberseguridad para los productos que incluyen elementos digitales. La ley introduce mayores responsabilidades a los fabricantes para garantizar la seguridad de los productos de hardware y software.
¿Qué marco legal establece la CRA?
El pasado 15 de septiembre de 2022, la Comisión Europea presentó una propuesta innovadora a nivel mundial para mejorar la seguridad de los dispositivos a nivel de hardware y software, frente al masivo ataque que está sucediendo sin precedentes, tanto a nivel corporativo como doméstico, con los dispositivos digitales. Esta norma nace para abordar dos problemas clave que elevan los costos para usuarios y sociedad: la baja ciberseguridad en productos digitales, con vulnerabilidades y actualizaciones insuficientes, y la falta de información clara para que los usuarios elijan y usen estos productos de forma segura.
¿Cuáles son las nuevas obligaciones de los fabricantes de hardware y software?
Son fundamentales para la Ley las nuevas obligaciones de los fabricantes de proporcionar actualizaciones de software que corrijan las vulnerabilidades de seguridad y ofrezcan apoyo en materia de seguridad a los consumidores.
¿Cómo se asegurará el cumplimiento de estas obligaciones por parte de los vendedores y proveedores?
El reglamento busca garantizar la seguridad de los productos digitales, reduciendo vulnerabilidades y promoviendo su protección durante todo su ciclo de vida. Además, ayuda a los usuarios a considerar la ciberseguridad al comprar, mejorando la transparencia sobre el soporte. La ley busca aumentar la responsabilidad de vendedores y proveedores, exigiéndoles ofrecer soporte de seguridad y actualizaciones para corregir vulnerabilidades durante el ciclo de vida del producto, además de proporcionar a los consumidores mayor información sobre los productos disponibles.
Los productos llevarán el marcado CE para indicar que cumplen los requisitos del Reglamento. Las principales obligaciones de la Ley se aplicarán a partir del 11 de diciembre de 2027
¿Qué productos y servicios digitales estarán sujetos a esta normativa?
La definición de "productos con elementos digitales" abarca una amplia gama de software y hardware, incluyendo aquellos comercializados por separado. Se aplicará a todos los dispositivos conectados, directa o indirectamente, a una red o a otro equipo, salvo las excepciones establecidas en el reglamento, como dispositivos de seguimiento médico, aviación civil y vehículos, que ya están regulados por otras normativas.
¿Cómo se sabrá si un software o hardware está cumpliendo los requisitos marcados por la ley?
Los productos llevarán el marcado CE para indicar que cumplen los requisitos del Reglamento. Las principales obligaciones de la Ley se aplicarán a partir del 11 de diciembre de 2027.
¿Qué beneficios obtienen los y las consumidoras con esta nueva normativa?
Al aumentar la transparencia sobre los riesgos cibernéticos y la seguridad de los productos, la Ley faculta a los consumidores para tomar decisiones más informadas sobre los productos disponibles en el mercado de la UE.
Siete aspectos clave que aborda el reglamento de Ciberresiliencia
- Establecer requisitos de ciberseguridad para el diseño, desarrollo y fabricación de productos con elementos digitales, y definir las responsabilidades de los fabricantes en este sentido.
- Crear normativas para garantizar que los productos con elementos digitales sean comercializados con la certificación adecuada de ciberseguridad.
- Asegurar que los fabricantes integren la seguridad en el diseño y desarrollo de estos productos y mantengan esa protección durante todo su ciclo de vida.
- Definir los requisitos que los fabricantes deben cumplir en la gestión de vulnerabilidades para proteger los productos digitales a lo largo de su existencia, incluyendo la obligación de reportar vulnerabilidades e incidentes activos. Además, se exige soporte para vulnerabilidades durante todo el ciclo de vida del software, o por al menos 5 años.
- Proveer un marco de ciberseguridad que facilite el cumplimiento de los fabricantes de hardware y software, en línea con otras regulaciones como el Reglamento General de Protección de Datos (GDPR).
- Crear un mercado más seguro para que empresas y consumidores puedan utilizar productos digitales de manera confiable.
- Brindar apoyo a pymes y medianas empresas con guías y recomendaciones para cumplir con los requisitos establecidos.
En resumen, esta nueva ley establece un marco para garantizar que la ciberseguridad sea una prioridad, mejorando así la seguridad de los usuarios finales.
