Ley de Ciberresiliencia europea (The Cyber Resilience Act - CRA)
Es sabido que en los últimos años se ha producido un avance digital significativo que ha obligado a las organizaciones y a los usuarios a tener un mayor conocimiento sobre la materia como consecuencia de los riesgos y peligros que suponen estos avances. Son numerosas las empresas que han sufrido ciberataques en el último lustro, así como usuarios que han sido victimas de engaños a través técnicas de ingeniería social, entre otras, por parte de ciberdelincuentes. Es por ello que, con el objetivo de reducir los riesgos asociados a las tecnologías en la era de la digitalización, los organismos europeos dictaminan leyes en pro de la ciberseguridad y los derechos de los usuarios, la cual se ha convertido en una de las prioridades de la Comisión Europea.
Propuesta de Ley de Ciberresiliencia
En este contexto, fue septiembre de 2022, cuando la Comisión europea presentaba una propuesta de Ley de Ciberresiliencia con el objetivo de proteger y salvaguardar, tanto a consumidores como a empresas, de aquellos productos que pudiesen tener características de seguridad que ponga en riesgo la seguridad.
Esta nueva ley introducía una serie de requisitos de carácter obligatorio para los productos de carácter digital durante el ciclo de vida de estos. Además, obligarían a los fabricantes a dar soporte en cuanto a seguridad y actualizaciones de software se refiere y ofrecer a los consumidores la información necesaria en materia de ciberseguridad sobre los productos que compren.
¿Qué motiva la nueva ley de Ciberresiliencia?
En los últimos años, se ha producido un incremento de ataques tanto a nivel empresarial como doméstico. Prueba de ello, se hace patente en el informe anual de ENISA Threat Landscape 2023 (ETL), el cual evalúa el estado de ciberamenazas y sus consecuencias. Se observa una escalada notable de estas, considerando como principales el ransmware, malware, ingeniería social, amenazas contra datos, denegación de servicio o manipulación de la información, entre otras.
A continuación, se muestra el gráfico recogido por ETL que desglosa los incidentes que fueron analizados en orden del tipo de amenazas desde julio de 2022 a junio de 2023 en la Unión Europea:
Objetivos de mejora en los productos
En esta ley, basada en el marco normativo adoptado en 2008, “tiene por objeto mejorar el mercado interior de mercancías y reforzar las condiciones para la comercialización de una amplia gama de productos en el mercado de la UE” y establecerían:
“a) normas para la comercialización de productos con elementos digitales a fin de garantizar su ciberseguridad;
b) los requisitos esenciales para el diseño, el desarrollo y la producción de productos con elementos digitales, así como las obligaciones de los operadores económicos en relación con dichos productos;
c) los requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes a fin de garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y las obligaciones de los operadores económicos en relación con estos procesos. Los fabricantes también tendrán que informar sobre las vulnerabilidades e incidentes explotados activamente;
d) normas sobre vigilancia del mercado y control del cumplimiento.”
Para garantizar el cumplimiento de los requisitos establecidos en el Reglamento, estos productos de hardware y software, deben tener un marcado CE que certifique que, aquellos que han sido vendidos en el Espacio Económico Europeo (EEE) han sido evaluados en cuanto a requisitos de seguridad, salud y protección de medio ambiente se refiere.
Entrada en vigor
Este acuerdo queda a expensas de la aprobación del Parlamento Europeo y del Consejo, entrando en vigor 20 días después de su publicación. Para entonces, se dispondrá de un plazo de 36 meses donde los fabricantes, importadores y distribuidores deberán adaptar los productos a los requisitos establecidos.
En conclusión, esta nueva ley de Ciberresiliencia llega en un momento optimo en base al crecimiento y la escalada de amenazas y ciberataques producidos en los últimos años. Hay que asegurar que los productos cuenten con las medidas de seguridad necesarias, y la existencia de una ley que requiera el cumplimiento de los requisitos por parte de los fabricantes es una buena noticia tanto para las organizaciones como para los usuarios que hacen uso de estos.
