La Comisión Europea presenta una nueva propuesta de resiliencia cibernética

El pasado 15 de septiembre de 2022, la Comisión Europea presentó una propuesta innovadora a nivel mundial para mejorar la seguridad de los dispositivos a nivel de hardware y software, frente al masivo ataque que está sucediendo sin precedentes, tanto a nivel corporativo como doméstico, con los dispositivos digitales. 

Esto ha sido fomentado por el aumento del teletrabajo, del número de dispositivos conectados, de la consolidación tecnológica y la mayor digitalización en sectores más tradicionales. Factores que suponen un avance, tanto a nivel social, como económico, pero que generan un aumento de riesgo ciber muy difícil de anticipar, mitigar y minimizar. La superficie de ataque aumenta y es necesario proteger los ecosistemas IoT emergentes, así como más casuísticas que se han identificado en los últimos dos años que están utilizando los organizaciones cibercriminales a raíz de esta nueva arquitectura que se genera con diferentes capas tecnológicas, en diferentes etapas del ciclo de vida del producto, nuevas vulnerabilidades y tipos de ataque.   

Se trata de la Ley de Ciberresiliencia europea (The Cyber Resilience Act - CRA), la cual nace con el objetivo de proteger a usuarios y empresas de productos con características digitales (dispositivos del ecosistema del Internet de las Cosas, IoT) que no cumplan con los requisitos de ciberseguridad.

Esta norma surge a raíz de la mayor dependencia tecnológica a través de productos o sistemas digitales de las empresas de cualquier dimensión. Se conectan a Internet incidiendo en las fábricas y empresas donde cada vez se hace más uso de productos con componentes digitales. 

Se da un aumento de ciberataques a través de la explotación de vulnerabilidades en productos de software y hardware, existiendo actualmente una carencia a nivel legal en la UE para regular el software no integrado (non-embedded software). Esta situación está siendo aprovechada por los diferentes actores que componen el nutrido ecosistema de amenazas en ciberseguridad.

Según el informe de ENISA "Threat Landscape 2022"  (November 2022) la explotación de vulnerabilidades fue el vector de intrusiones más frecuente identificado durante el 2021. Aunque la tendencia de vulnerabilidad 0-day no es nueva, se ha detectado un incremento significativo en los últimos dos años.

La conexión de pymes a organizaciones de mayor dimensión y criticidad suponen una excelente oportunidad para explotar estas vulnerabilidades y abrir una puerta de acceso a una cadena de suministro de un sector en un país, como la salud, alimentación, transporte, agua... Para las pymes, los incidentes de ciberseguridad suponen, según una encuesta realizada por ENISA (SME Cybersecurity), - un impacto negativo grave que no pueden asumir. El 57 % aseveran que pueden llegar a cerrar o quedar en bancarrota a la semana de recibir el ciberataque. 

La pandemia del COVID-19 puso de manifiesto la importancia de la conectividad segura y la necesidad de crear un entorno más resiliente ante futuras crisis.

¿De qué habla esta nueva ley? ¿Qué marco legal establece?

La ley propuesta, disponible en la página oficial, se centra en los proveedores de servicios de y en Internet, pero va enfocada, sobre todo, a las nuevas tecnologías IoT.  Establece un conjunto de reglas para elevar el nivel de seguridad, tanto del software como del hardware,  requisitos necesarios de cumplir para su comercialización. Todavía está en fase de debate y está pendiente su aprobación final.

¿A qué productos y servicios digitales afectará esta normativa?

La definición de «productos con elementos digitales» es muy amplia e incluye cualquier producto de software o hardware, así como cualquier software o hardware no incorporado al producto, pero introducido en el mercado por separado.

El ámbito de aplicación material de la CRA es amplio y abarca todos los productos con elementos digitales. De acuerdo con la definición propuesta, se incluyen todos los productos de software y hardware, así como las operaciones de tratamiento de datos conexas. El Comité Económico, Social y Europeo (CESE) propone que la Comisión aclare si todo el software entra en el ámbito de aplicación de la propuesta del Reglamento.

El hecho de que algunos productos incluidos en el ámbito de aplicación de la propuesta también estén sujetos a otras disposiciones legislativas, en materia de ciberseguridad, podría generar incertidumbre en cuanto a la legislación aplicable. Aunque la CRA prevea ser coherente con el actual marco reglamentario de la UE relativo a los productos y con otras propuestas actualmente en curso en el contexto de la Estrategia Digital de la UE, normas como las aplicables a los productos de inteligencia artificial de alto riesgo —por poner un ejemplo— se solapan con las del Reglamento General de Protección de Datos. A este respecto, el CESE propone que la Comisión elabore directrices para orientar a los fabricantes y a los consumidores sobre su correcta aplicación.

Solo se excluyen los productos de carácter médico y los relacionados con la aviación civil, los vehículos y los productos militares. La propuesta tampoco cubre los servicios software como servicio (SaaS, en la nube), a menos que estos sirvan para la elaboración de productos con elementos digitales.

¿Qué medidas establece inicialmente esta ley?

Estando todavía en proceso de revisión y debate, son las siguientes:

• creación de normas sobre la comercialización de productos que contengan elementos digitales para garantizar su ciberseguridad; 
• requisitos importantes para el diseño, desarrollo y producción de productos que contengan elementos digitales, así como las obligaciones de los empresarios relacionadas con estos productos; 
• establecer requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos que contengan elementos digitales durante su ciclo de vida, así como las obligaciones de las empresas relacionadas con estos procesos. Los fabricantes también deben informar de las vulnerabilidades e incidentes explotados activamente; 
• garantizar que los fabricantes mejoren la seguridad del producto con elementos digitales desde la etapa de diseño y desarrollo y durante todo el ciclo de vida; 
• proporcionar un marco de ciberseguridad que facilite el cumplimiento por parte de los fabricantes de hardware y software; 
• mejorar la transparencia de las características de seguridad del producto con elementos digitales; 
• permitir a las empresas y consumidores utilizar de forma segura productos que contienen elementos digitales;
• y establecer un reglamento de vigilancia y fiscalización del mercado.

El propósito de la ley es responsabilizar más a los vendedores y proveedores, obligándolos a brindar soporte de seguridad y actualizaciones de software para solucionar las vulnerabilidades identificadas a lo largo de todo su ciclo de vida, y brindar a los consumidores más información sobre los productos en el mercado.

Se establece también que se debe dar soporte con vulnerabilidades durante todo el ciclo de vida del software o durante 5 años, todo de manera efectiva.

En conclusión, esta nueva ley pone unas bases para asegurar que la resiliencia en ciberseguridad sea una prioridad, aumentando así la seguridad de los usuarios finales.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).