Redacción.- La Comisión Europea presentó una propuesta para una nueva Ley de Resiliencia Cibernética para proteger a los consumidores y las empresas de productos con características de seguridad inadecuadas. Es la primera legislación de este tipo en toda la Unión Europea (UE) e introduce requisitos obligatorios de ciberseguridad para productos con elementos digitales, durante todo su ciclo de vida.
La Ley, anunciada por la presidenta Ursula von der Leyen en septiembre de 2021 durante su discurso sobre el estado de la Unión Europea , y sobre la base de la Estrategia de Ciberseguridad de la UE de 2020 y la Estrategia de la Unión de Seguridad de la UE de 2020 , garantizará que los productos digitales, como los productos inalámbricos y por cable y software, son más seguros para los consumidores de toda la UE: además de aumentar la responsabilidad de los fabricantes al obligarles a proporcionar soporte de seguridad y actualizaciones de software para abordar las vulnerabilidades identificadas, permitirá a los consumidores tener suficiente información sobre la ciberseguridad de los productos que compran. comprar y usar, según afirma un comunicado dado a conocer a través de redes sociales
Margrethe Vestager , Vicepresidenta Ejecutiva de una Europa Adaptada a la Era Digital, dijo: “ Merecemos sentirnos seguros con los productos que compramos en el mercado único. Así como podemos confiar en un juguete o un refrigerador con la marca CE, la Ley de Resiliencia Cibernética garantizará que los objetos conectados y el software que compramos cumplan con fuertes medidas de seguridad cibernética. Pondrá la responsabilidad donde corresponde, con aquellos que colocan los productos en el mercado”.
Margaritis Schinas , Vicepresidenta de Promoción de nuestro Estilo de Vida Europeo, dijo: “La Ley de Resiliencia Cibernética es nuestra respuesta a las amenazas de seguridad modernas que ahora son omnipresentes en nuestra sociedad digital. La UE ha sido pionera en la creación de un ecosistema de ciberseguridad a través de normas sobre infraestructuras críticas, preparación y respuesta en ciberseguridad y certificación de productos de ciberseguridad. Hoy estamos completando este ecosistema a través de una Ley que trae seguridad en el hogar de todos, en todos nuestros negocios y en cada producto que está interconectado. La ciberseguridad es un asunto de la sociedad, ya no es un asunto de la industria”.
Thierry Breton , Comisario de Mercado Interior, dijo: ” En lo que respecta a la ciberseguridad, Europa es tan fuerte como su eslabón más débil: ya sea un Estado miembro vulnerable o un producto inseguro a lo largo de la cadena de suministro. Ordenadores, teléfonos, electrodomésticos , dispositivos de asistencia virtual, coches, juguetes… todos y cada uno de estos cientos de millones de productos conectados son un posible punto de entrada para un ciberataque y, sin embargo, hoy en día la mayoría de los productos de hardware y software no están sujetos a ninguna obligación de ciberseguridad. Introduciendo la ciberseguridad por diseño, la Ley de Resiliencia Cibernética ayudará a proteger la economía de Europa y nuestra seguridad colectiva ” .
Con ataques de ransomware golpeando a una organización cada 11 segundos en todo el mundo y el costo anual global estimado del cibercrimen alcanzando los 5,5 billones de euros en 2021 (Cybersecurity Ventures según se cita en el informe del Centro de Investigación Conjunta (2020): ” Ciberseguridad: nuestro ancla digital, una perspectiva europea ”), garantizar un alto nivel de ciberseguridad y reducir las vulnerabilidades en los productos digitales, una de las principales vías para el éxito de los ataques, es más importante que nunca. Con el crecimiento de los productos inteligentes y conectados, un incidente de ciberseguridad en un producto puede tener un impacto en toda la cadena de suministro, lo que posiblemente provoque una grave interrupción de las actividades económicas y sociales en todo el mercado interior, socavando la seguridad o incluso poniendo en peligro la vida.
Las medidas propuestas hoy se basan en el Nuevo Marco Legislativo para la legislación de productos de la UE y establecerán:
a) normas para la puesta en el mercado de productos con elementos digitales para garantizar su ciberseguridad;
(b) requisitos esenciales para el diseño, desarrollo y producción de productos con elementos digitales, y obligaciones para los operadores económicos en relación con estos productos;
c) los requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y las obligaciones de los operadores económicos en relación con estos procesos. Los fabricantes también deberán informar las vulnerabilidades e incidentes explotados activamente;
d) normas sobre vigilancia del mercado y ejecución.
Las nuevas normas reequilibrarán la responsabilidad hacia los fabricantes, que deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que se ponen a disposición en el mercado de la UE. Como resultado, beneficiarán a los consumidores y ciudadanos, así como a las empresas que utilizan productos digitales, al mejorar la transparencia de las propiedades de seguridad y promover la confianza en los productos con elementos digitales, así como al garantizar una mejor protección de sus derechos fundamentales, como privacidad y protección de datos.
Mientras que otras jurisdicciones de todo el mundo buscan abordar estos problemas, es probable que la Ley de Resiliencia Cibernética se convierta en un punto de referencia internacional, más allá del mercado interno de la UE. Los estándares de la UE basados en la Ley de Resiliencia Cibernética facilitarán su implementación y serán un activo para la industria de la ciberseguridad de la UE en los mercados globales, aseguran en el comunicado.
El reglamento propuesto se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red. Hay algunas excepciones para los productos, para los cuales los requisitos de ciberseguridad ya están establecidos en las normas de la UE existentes, por ejemplo, en dispositivos médicos, aviación o automóviles.
Próximos pasos
Corresponde ahora al Parlamento Europeo y al Consejo examinar el proyecto de Ley de Resiliencia Cibernética. Una vez adoptados, los operadores económicos y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos. Una excepción a esta regla es la obligación de informar a los fabricantes sobre vulnerabilidades e incidentes explotados activamente, que se aplicaría ya un año después de la fecha de entrada en vigor, ya que requieren menos ajustes organizativos que las otras nuevas obligaciones. La Comisión revisará periódicamente la Ley de Resiliencia Cibernética e informará sobre su funcionamiento.
Fondo
La ciberseguridad es una de las principales prioridades de la Comisión y una piedra angular de la Europa digital y conectada. El aumento de los ciberataques durante la crisis del coronavirus ha demostrado la importancia de proteger hospitales, centros de investigación y otras infraestructuras. Se necesita una acción enérgica en este ámbito para preparar la economía y la sociedad de la UE para el futuro. Se calcula que los costes anuales de las filtraciones de datos ascienden al menos a 10 000 millones EUR y los costes anuales de los intentos malintencionados de interrumpir el tráfico en Internet se estiman en al menos 65 000 millones EUR ( informe de evaluación de impacto que acompaña al Reglamento Delegado de la Comisión por el que se complementan los equipos radioeléctricos). Directiva Reglamento Delegado).
La estrategia de ciberseguridad, presentada en diciembre de 2020, ha propuesto integrar la ciberseguridad en todos los elementos de la cadena de suministro y aunar aún más las actividades y los recursos de la UE en las cuatro comunidades de la ciberseguridad: mercado interior, aplicación de la ley, diplomacia y defensa. Se basa en Shaping Europe’s Digital Future y EU Security Union Strategy de la UE , y se apoya en una serie de actos legislativos, acciones e iniciativas que la UE ha implementado para fortalecer las capacidades de ciberseguridad y garantizar una Europa más resistente a la cibernética.
La nueva Ley de resiliencia cibernética complementará el marco de ciberseguridad de la UE: la Directiva sobre la seguridad de las redes y los sistemas de información ( Directiva NIS ), la Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión ( Directiva NIS 2 ), que se aprobó recientemente acordado por el Parlamento Europeo y el Consejo, y la Ley de Ciberseguridad de la UE .