Bruselas presenta la ley que impone estándares de ciberseguridad a todos los objetos conectados

Televisores, juguetes, smartphones, coches, cámaras, frigoríficos, software, etc. Todos los productos diseñados con un componente digital se verán afectados por la Ley de Ciberresiliencia presentada el pasado 15 de septiembre, por el comisario de Mercado Interior Europeo, Thierry Breton. La nueva norma exigirá que las empresas cumplan con nuevos estándares de ciberseguridad o si no se enfrentarán a importantes multas. 

El objetivo de la ley, según han precisado desde la Comisión, es regular la comercialización de los objetos conectados, que hasta ahora no están sujetos a ninguna obligación en este ámbito y cuya seguridad generalmente no es la prioridad de sus diseñadores. En definitiva, buscan reducir los ciberataques que estos bienes pueden sufrir a lo largo de su vida útil.

Se trata de la primera legislación de este tipo a escala de la UE y permitirá a los consumidores (tanto particulares como empresas) disponer de información suficiente sobre la ciberseguridad de los productos que compren y utilicen. Los fabricantes, los distribuidores y los importadores deberán comprobar que durante el diseño, el desarrollo y la producción se garantiza la ciberseguridad de los productos y cuando los hayan vendido, deberán garantizarla durante toda su vida útil.

Estándares de ciberseguridad nunca vistos para fabricantes en la UE

El Ejecutivo comunitario diferencia entre dos tipos de productos, a los que se exigirá diferentes grados de supervisión. Para los programas de edición fotográfica, los editores de texto, los auriculares o los videojuegos, será suficiente con que sean los propios productores y distribuidores quienes evalúen las vulnerabilidades. En cambio, sistemas operativos, firewalls, microprocesadores de uso general o módems, entre otros, tendrán que evaluarla también organismos independientes. Los productos podrán adquirir el sello ‘CE’ si se demuestran que son seguros.

«Merecemos sentirnos seguros con los productos que compramos en el mercado único. Así como podemos confiar en un juguete o un refrigerador con el sello ‘CE’, la Ley de Resiliencia Cibernética garantizará que los objetos conectados y el software que compramos cumplan con fuertes medidas de seguridad cibernética» dijo la vicepresidenta de la Comisión Europea para la Era Digital, Margrethe Vestager.

Podría interesarle: Estrategia Europea de Datos: Implicaciones prácticas en materia de protección de datos personales

Breton resaltó que cada uno de los cientos de millones de productos conectados que se comercializan «son un potencial punto de entrada para un ciberataque», y defendió que la Ley de Resiliencia Cibernética «ayudará a proteger la economía de Europa y nuestra seguridad colectiva».

El comisario añadió que «cuando se trata de ciberseguridad, Europa es tan fuerte como su eslabón más débil; ya sea un Estado miembro vulnerable o un producto inseguro a lo largo de la cadena de suministro. La Comisión recordó, en este sentido, que los ataques de ransomware afectan a una organización cada 11 segundos en todo el mundo y que el coste anual mundial estimado de la ciberdelincuencia ocasionaron el año pasado un coste de 5,5 billones de euros. 

Las autoridades nacionales, encargadas de dar cumplimiento a la nueva regulación

En el pasado, los ataques de Wannacry o Kaseya VSA han demostrado la rapidez con la que un ciberataque puede propagarse por toda una organización o toda una cadena de suministro. Y con 75.000 millones de objetos conectados esperados en el mundo para 2025, el asunto se complica no tener estándares de ciberseguridad adecuados.

Las autoridades nacionales serán quienes deban garantizar el cumplimiento de la normativa. En caso de incumplirse, podrán obligar a retirar del mercado los productos vulnerables y, en último término, imponer multas de hasta 15 millones de euros o un 2,5 % de los beneficios mundiales que obtenga la empresa responsable. Los fabricantes de los productos tendrán que informar de las vulnerabilidades e incidentes.

Lea también: Europa aprueba dos leyes que van a cambiar internet por completo

La propuesta de la Comisión tendrán que negociarla ahora tanto el Parlamento Europeo como el Consejo de la UE (la institución que representa a los países) antes de que pueda entrar en vigor. Si finalmente es aprobada, las empresas y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos, con la excepción de la obligación de los fabricantes de informar sobre las vulnerabilidades, que se aplicaría un año después.

El reglamento propuesto se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red, aunque hay algunas excepciones para los productos cuyos requisitos de ciberseguridad ya están establecidos en las normas vigentes de la UE, por ejemplo, los dispositivos médicos, de aviación o ciertos productos del sector de la automoción.

VEA EL DOCUMENTO OFICIAL HACIENDO CLIC EN EL BOTÓN »CIBERSEGURIDAD»: Normativa Internacional – Ciberseguridad

FUENTE: Jiménez, Marimar. »Bruselas presenta la ley que impone estándares de ciberseguridad a todos los objetos conectados» Cincodias.elpais.com. 15/09/2022. (https://cincodias.elpais.com/cincodias/2022/09/15/companias/1663236364_939136.html).