Blog Risk & Compliance
Blog

La Ley de Ciber Resiliencia, una nueva norma para objetivos conectados

Publicado el 17 octubre 2022
Por Solène Vizier

La Ley de Ciber Resiliencia es una propuesta legislativa de la Comisión Europea para regular la fabricación de servicios relacionados con los objetos conectados y pretende reforzar el entorno legislativo de la ciberseguridad en Europa.

¿Qué es la Ley de Ciber Resiliencia?

El jueves 15 de septiembre de 2022, la Comisión Europea presentó una propuesta de Ley de Ciber resiliencia (Cyber Resilience Act, CRA). Su objetivo es establecer normas de seguridad comunes y procedimientos estrictos de evaluación de la conformidad para todos “los productos habilitados digitalmente” que se introduzcan en el mercado interior de la Unión Europea (UE).

Como parte de la estrategia de ciberseguridad de la Unión Europea (UE), la Ley de Ciber Resiliencia es, a piedra angular de una nueva norma de ciberseguridad para dispositivos conectados. Su objetivo es responsabilizar a los fabricantes de la ciberseguridad de sus productos e informar a clientes y usuarios sobre las normas de ciberseguridad de los objetos que compran y utilizan.

El texto se debatirá en breve en el proyecto de lectura del Parlamento Europeo.

Un aumento de los riesgos industriales relacionados con los objetos:

Con esta Ley, la Comisión pretende actuar con más firmeza en la seguridad de los productos conectados y proteger a los consumidores contra el creciente número de fallos de IoT (Internet de las cosas). En efecto, la Comisión estima que «si todo está conectado, todo puede ser pirateado».

12.000 millones de posibles puntos de entrada:

Ordenadores, televisores, cafeteras, juguetes… 12.000 millones de objetos llamados «conectados» circulan hoy en día, y el mercado mundial sigue creciendo a toda velocidad (+22% en 2021). Las empresas no se quedan atrás y están integrando muchos de estos objetos, como sensores conectados.

Sin embargo, «estos cientos de millones de productos conectados son potenciales puntos de entrada para un ciberataque», estima Thierry Breton, Comisario Europeo de Mercado Interior, antes de señalar que «y sin embargo, hoy en día, la mayoría de los productos y programas informáticos no están sujetos a ninguna obligación de ciberseguridad».

Por ejemplo, la asociación Test-Achats realizó pruebas con 16 objetos conectados en 2021 (vigilabebés, televisores y aspiradoras inteligentes, etc.). Diez de ellos presentaban graves fallos de seguridad. Los asistentes de voz como Amazon Alexa y las cámaras de vigilancia, en particular las de la empresa china Hikvision, muy utilizadas en Francia, también son vulnerables a los ataques informáticos.

Para las empresas, se trata de un riesgo importante. El 69% de los responsables de la toma de decisiones de TI franceses interrogados en el informe de Palo Alto Network «The Connected Enterprise: IoT Security Report 2021» declararon que en 2020 habían observado un aumento del número de dispositivos conectados a la red corporativa. El despliegue de sensores conectados, en particular, aumenta la superficie de ataque de las empresas y constituye un punto de entrada privilegiado para los ciberdelincuentes. Un informe de Nozomi Networks apuntaba a un aumento de las redes de bots IoT en el primer semestre de 2022.

Mientras que el coste anual de la ciberdelincuencia se ha estimado en 5.500 millones de euros en 2021, la Ley de Ciber Resiliencia pretende reducir los riesgos introduciendo la noción de “seguridad desde el diseño” y “proteger la economía europea y nuestra seguridad colectiva”, según Thierry Breton.

La Ley Europea de Ciber resiliencia, entre requisitos y sanciones para las empresas

El texto inicial publicado por la Comisión Europea desvela un primer conjunto de obligaciones aplicables a todos los productos “con componentes digitales”. A continuación, identifica un 10% de «productos críticos», es decir, aquellos con un papel central en la seguridad de las redes o con vulnerabilidades de seguridad para un gran número de usuarios.

Las categorías de productos denominados “críticos” son:

  • Sistemas operativos de todo tipo.
  • Hipervisores.
  • IoT industrial.
  • Contadores conectados.
  • Controladores robóticos.
  • Infraestructuras de clave pública.
  • Tarjetas inteligentes.
  • HSM.

¿A quién no le preocupa?

Los productos conectados en los mundos aeroespacial, médico y automotriz no se ven afectados porque ya están protegidos por otras regulaciones, al igual que los servicios en línea y el software que no están vinculados a un dispositivo físico.

El proyecto de ley introduce varias normas de seguridad, con dos medidas principales:

  1. La seguridad de los programas y equipos informáticos debe tenerse en cuenta desde la fase de diseño del producto: la medida se refiere a la noción de “seguridad desde el diseño”.
  2. No se deben conocer brechas de seguridad al entregar un producto.

El texto también añade que se debe proporcionar documentación precisa sobre seguridad, riesgos del producto, soporte técnico e instalación de actualizaciones con el producto, con el fin de mejorar la información para los consumidores y usuarios.

Finalmente, la compañía tendrá que producir parches de seguridad y actualizaciones durante al menos 5 años después del lanzamiento del producto.

La Comisión Europea anuncia que se aplicarán requisitos adicionales a los productos más críticos, pero no los detalla. Tampoco enumera las medidas necesarias para que las empresas alcancen estos estándares de seguridad, dejándolas libres para elegir el método a aplicar. Explica, sin embargo, que los fabricantes deberán demostrar la conformidad de sus productos, a través de una autoevaluación en el 90% de los casos.

Para los productos más críticos, esta evaluación tendrá que ser llevada a cabo por un tercero. Además, los fabricantes deberán informar a la Agencia de Ciberseguridad de la Unión Europea (ENISA) sobre las nuevas vulnerabilidades descubiertas en productos considerados críticos en un plazo de 24 horas.

En caso de incumplimiento de estas nuevas normas, las empresas están expuestas a fuertes multas. Los Estados miembros de la Unión Europea serán responsables de fijar el importe de las multas, con tres límites máximos de referencia:

  • Hasta 15 millones de euros de multa o el 2,5% de la facturación mundial en el último año fiscal por incumplimientos de los requisitos de seguridad.
  • Hasta 10 millones de euros de multa o el 2% del volumen de negocios por incumplimiento de otros requisitos.
  • Hasta 5 millones de euros de multa o el 1% del volumen de negocios por proporcionar información incorrecta, incompleta o engañosa a las autoridades competentes.

El incumplimiento de las obligaciones podría conducir finalmente a una prohibición de la venta de los productos en cuestión en el mercado único europeo. Por el contrario, los fabricantes podrán colocar en sus productos conformes el marcado CE, una referencia europea de confianza que garantiza la conformidad de los productos con los requisitos de las leyes europeas, en este caso la Ley de Resiliencia Cibernética, y su autorización para circular en el mercado interior.

Hacia nuevos principios mundiales de confianza

El texto presentado por la Comisión Europea debe ahora continuar su camino legislativo y ser examinado en primera lectura por el Parlamento Europeo. A continuación, tendrá que ser aprobado por el Consejo de la Unión Europea, y después las tres instituciones tendrán que ponerse de acuerdo sobre un texto final.

Por lo tanto, la propuesta de la Comisión es sólo provisional, y los detalles del proyecto de ley podrían modificarse. Una vez finalizado, el Reglamento será directamente aplicable en los Estados miembros sin necesidad de transposición al Derecho nacional. Las empresas y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos, con la excepción de la obligación de notificar los ciber incidentes a ENISA, que entrará en vigor 12 meses después de la aplicación de la Ley de Ciber Resiliencia.

Si bien los fabricantes están preocupados por el retraso en el lanzamiento de sus productos debido a las revisiones de seguridad, la Comisión Europea cree que estos nuevos estándares de seguridad podrían reducir significativamente el costo de los incidentes cibernéticos. Además de mejorar la seguridad de los productos y la transparencia hacia los consumidores y usuarios, la Ley de Ciber Resiliencia también reforzará el entorno normativo europeo de ciberseguridad y garantizará una mejor protección de los derechos fundamentales de privacidad. Al igual que con el GDPR (Reglamento General de Protección de Datos), Europa espera que el impacto de la Ley de Resiliencia Cibernética vaya más allá de sus fronteras, aplicándose en particular a todas las empresas europeas que comercian fuera del continente, para influir en los requisitos regulatorios de todo el mundo.

Nuestra opinión sobre la Ley de Resiliencia Cibernética de 2022

Empoderar a los fabricantes de objetos conectados para la ciberseguridad de sus productos es esencial. De hecho, cada vez hay más IoT en entornos de automatización de oficinas (TI) o industriales (OT), y es esencial que los fabricantes contengan la superficie de ataque. Los fabricantes tendrán que estar acompañados en su enfoque, porque la tarea es inmensa. No solo estamos hablando de desarrollar un producto siguiendo las mejores prácticas de «seguridad por diseño», sino también de demostrar la conformidad de este producto a través de una evaluación. Los fabricantes deben anticipar la implementación de este enfoque para minimizar el impacto de esta regulación en el tiempo de comercialización de sus productos.

Stéphane Potier
Stéphane Potier • Jefe de la oferta OT/IoT

Últimamente en Blog

Ver todos
Blog

Proteger su Directorio Activo: desafíos y soluciones

28 abril 2023Blog
Blog

ChatGPT, ¿el mejor aliado de los hackers? Consejos para protegerse

30 enero 2023Blog
Blog

Hacer frente a los ciberataques en un entorno industrial

09 enero 2023Blog