La Unión Europea ha aprobado la innovadora Ley de Ciberresiliencia, destinada a regular la ciberseguridad de todos los productos digitales. Esta nueva legislación busca fortalecer la protección cibernética desde el diseño inicial de los productos, estableciendo normas más estrictas y uniformes para proteger las infraestructuras críticas y los datos sensibles contra los ciberataques. Ante el incremento de amenazas cibernéticas y la dependencia creciente de la tecnología, esta ley es crucial para garantizar la integridad y la continuidad operativa de los sistemas digitales en la región.
Las sanciones por incumplimiento de la Ley de Ciberresiliencia pueden variar entre 10 y 15 millones de euros, o hasta el 2 o 2,5% del volumen de negocio anual de la empresa infractora. La normativa contempla un periodo de adaptación de tres años y se centra en diez aspectos clave:
Cobertura Integral: La normativa se aplica a todos los dispositivos conectados a redes, asegurando una extensa y detallada cobertura.
Normas de Ciberseguridad: Establece directrices para el diseño, desarrollo y producción de productos digitales, imponiendo obligaciones a los operadores económicos y normas de vigilancia del mercado.
Gestión de Vulnerabilidades: Exige a los fabricantes medidas esenciales para la gestión y notificación de vulnerabilidades, asegurando la ciberseguridad durante todo el ciclo de vida del producto.
Supervisión de Autoridades: Cada Estado miembro designará una autoridad notificadora para supervisar y evaluar la conformidad de los organismos responsables.
Información al Consumidor: Se garantizará que los consumidores reciban información adecuada sobre la ciberseguridad de los productos que adquieren y utilizan.
Soporte de Seguridad: Los fabricantes están obligados a proporcionar actualizaciones de software y soporte de seguridad para resolver vulnerabilidades.
Incorporación de Requisitos: La ley demanda la inclusión de requisitos esenciales de ciberseguridad en todas las etapas del ciclo de vida del producto, desde su diseño hasta su mantenimiento.
Actualizaciones y Gestión de Riesgos: Los fabricantes deben informar activamente sobre vulnerabilidades e incidentes, además de proporcionar actualizaciones de seguridad durante al menos cinco años.
Documentación de Riesgos: Requiere documentar todos los riesgos de ciberseguridad relacionados con los productos.
- Instrucciones Claras y Evaluación: Exige que los productos digitales se acompañen de instrucciones claras y comprensibles, además de una evaluación de conformidad.
La nueva Ley de Ciberresiliencia busca asegurar hardware y software más seguros en la Unión Europea. Al abarcar productos tan diversos como monitores para bebés y relojes inteligentes, se pretende proteger tanto a consumidores como a empresas. La ley establecerá normas armonizadas para la comercialización de productos y software con un componente digital, introduciendo un marco de requisitos de ciberseguridad que abarcará desde la planificación hasta el mantenimiento.
Una vez que el Reglamento entre en vigor, los productos conectados a internet y los programas informáticos llevarán el marcado CE, indicando el cumplimiento de estas nuevas normas. Así, los clientes y las empresas podrán tomar decisiones mejor informadas sobre la ciberseguridad de los productos que adquieren.
Está previsto que la Ley de Ciberresiliencia entre en vigor en la segunda mitad de 2024, con un periodo de adaptación de tres años hasta 2027. La implementación de esta ley es esencial para mejorar la ciberseguridad en Europa, protegiendo tanto a consumidores como a empresas ante las crecientes amenazas digitales.
