La Comisión europea ha presentado una propuesta de reglamento sobre requisitos de ciberseguridad para productos con elementos digitales, conocida como «Cyber Resilience Act» y que viene a reforzar las normas de ciberseguridad actuales para garantizar productos de hardware y software más seguros.
Se trata de la primera legislación de este tipo en toda la UE e introduce requisitos obligatorios de ciberseguridad para productos con elementos digitales, durante todo su ciclo de vida.
La Ley, anunciada por la presidenta Ursula von der Leyen en septiembre de 2021 durante su discurso sobre el estado de la Unión Europea, y sobre la base de la Estrategia de Ciberseguridad de la UE de 2020 y la Estrategia de la Unión de Seguridad de la UE de 2020, garantizará que los productos digitales, como los productos inalámbricos y por cable y software, son más seguros para los consumidores de toda la UE: además de aumentar la responsabilidad de los fabricantes al obligarles a proporcionar soporte de seguridad y actualizaciones de software para abordar las vulnerabilidades identificadas, permitirá a los consumidores tener suficiente información sobre la ciberseguridad de los productos que compran. comprar y usar.
Y es que los productos de hardware y software están cada vez más sujetos a ciberataques exitosos, lo que lleva a un costo anual global estimado de ciberdelincuencia de 5,5 billones de euros para 2021 según la información de la UE.
Dichos productos cuentan con dos problemas principales que aumenta el coste para los usuarios y la sociedad: (1) un bajo nivel de ciberseguridad, reflejado por vulnerabilidades generalizadas y la provisión insuficiente e inconsistente de actualizaciones de seguridad para abordarlas, y (2)
una insuficiente comprensión y acceso a la información por parte de los usuarios, impidiéndoles elegir productos con adecuadas propiedades de ciberseguridad o utilizarlos de forma segura.
Si bien la legislación existente del mercado interior se aplica a ciertos productos con elementos digitales, la mayoría de los productos de hardware y software actualmente no están cubiertos por ninguna legislación de la UE que aborde su ciberseguridad. En particular, el marco legal actual de la UE no aborda la seguridad cibernética del software no integrado, incluso si los ataques de seguridad cibernética apuntan cada vez más a las vulnerabilidades en estos productos, causando costos sociales y económicos significativos.
Para poder abordar los problemas anteriores, la propuesta de la Comisión identifica dos objetivos claves en la tarea de garantizar el correcto funcionamiento del mercado interior: (1) la creación de condiciones para el desarrollo de productos seguros con elementos digitales al garantizar que los productos de hardware y software se comercialicen con menos vulnerabilidades y garantizar que los fabricantes se tomen en serio la seguridad a lo largo del ciclo de vida de un producto; y (2) la creación de condiciones que permitan a los usuarios tener en cuenta la ciberseguridad al seleccionar y utilizar productos con elementos digitales.
La nueva norma pretenda alcanzar cuatro metas concretas:
1.- garantizar que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y durante todo el ciclo de vida;
2.- garantizar un marco de ciberseguridad coherente, facilitando el cumplimiento de los productores de hardware y software;
3.- mejorar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
4.- permitir que las empresas y los consumidores utilicen productos con elementos digitales de forma segura.
En los próximos meses se trabajará durante la tramitación de dicha norma en el perfilado de la misma y la adición de enmiendas.
Imagen: IEMED