La nueva normativa impone estrictos requisitos de ciberseguridad para productos con componentes digitales, desde electrodomésticos inteligentes hasta juguetes conectados, asegurando que cumplan altos estándares de seguridad antes de salir al mercado.
El Consejo Europeo aprobó el pasado jueves 10 de octubre una nueva ley sobre los requisitos de ciberseguridad para los productos con elementos digitales, la que hace obligatoria, desde la etapa de diseño, la instalación de parches y actualizaciones de vulnerabilidades para los dispositivos conectados en la Unión Europea.
La legislación argumenta que el acelerado crecimiento de la Internet de las Cosas (IoT) y de los dispositivos conectados ha revelado serias lagunas en la protección contra ciberataques, por lo que la norma busca cubrir estas deficiencias, garantizando la seguridad de los productos digitales a lo largo de todo su ciclo de vida: desde su diseño, desarrollo y producción, hasta su comercialización.
La nueva legislación abarca tanto hardware como software, unificando las medidas de ciberseguridad en todos los Estados miembros de la UE y eliminando las inconsistencias entre normativas nacionales.
Una de las principales innovaciones es el requisito del marcado “CE” para los productos que cumplan con las nuevas normas de ciberseguridad. Este distintivo, conocido por garantizar la seguridad en aspectos como la salud y el medio ambiente, ahora también será un indicador de que los productos han pasado los controles de ciberseguridad de la Unión Europea. Esto será obligatorio para todos los productos comercializados dentro del Espacio Económico Europeo (EEE) que estén conectados a una red o dispositivo, permitiendo que se comercialicen libremente dentro del mercado único. El incumplimiento de esta normativa podría suponer una multa de hasta 15 millones de euros o el 2,5% de la facturación global del infractor, lo que sea mayor.
La ley de ciberresiliencia también busca empoderar a los consumidores al hacer que la ciberseguridad sea un factor clave en sus decisiones de compra. Al proporcionar más transparencia sobre qué productos cumplen con estrictos estándares de seguridad, los usuarios podrán elegir dispositivos más seguros y confiables, lo que reducirá el riesgo de ciberataques, violaciones de datos y acceso no autorizado a dispositivos personales.
Para las empresas que operan dentro de la UE, la nueva norma ayuda a consolidar las normativas de ciberseguridad nacionales en un solo marco legislativo conjunto, lo que facilitará el cumplimiento de las normas para los fabricantes y desarrolladores de productos digitales.
La ley también exigirá a los fabricantes considerar los riesgos de ciberseguridad durante todas las etapas del proceso de producción, lo que contribuye a reducir vulnerabilidades desde su origen.
Dentro de este nuevo marco también se establece que los proveedores deberán informar dentro de las 24 horas siguientes a la detección de «cualquier vulnerabilidad explotada activamente» a la Agencia de la Unión Europea para la Ciberseguridad, que enviará la notificación a un equipo nacional designado de respuesta a incidentes de seguridad informática.
Este último punto generó ciertas diferencias y abrió un debate respecto al alcance la normativa el año pasado, cuando un grupo de 56 expertos en seguridad expresaron su preocupación por el hecho de que dicha disposiciones de la notificación de fallas podría facilitar que un atacante pudiera explotar una falla divulgada públicamente.
Quienes también expresaron algunos reparos a la norma fueron ejecutivos de algunas de las principales empresas tecnológicas europeas, quienes dijeron que disposiciones como la evaluación obligatoria de riesgos por parte de terceros podría llegar a interrumpir su cadena de suministro, además de dañar la competencia en el mercado.
La ley de ciberresiliencia aprobada por el Consejo de la Unión Europea entrará en vigor 20 días después de su publicación en el diario oficial de la Unión Europea. Cuando eso ocurra, las empresas y consumidores tendrán un periodo de transición de 36 meses para ajustarse a la normativa, aunque algunas disposiciones se implementarán antes para facilitar una transición gradual.