La Ley de Ciberresiliencia europea se publica en su versión en castellano
La Ley de Ciberresiliencia europea (The Cyber Resilience Act - CRA), aprobada el 12 de marzo de 2024 por el Parlamento Europeo, ya tiene su versión en castellano. Esta regulación nace con el objetivo de proteger a usuarios y empresas frente a productos con características digitales (dispositivos del ecosistema del Internet de las Cosas, IoT) que no cumplan con los requisitos de ciberseguridad.
La investigación, el desarrollo y la innovación son palancas imprescindibles para mejorar la ciberseguridad de la industria española. Es por eso que, adicionalmente, INCIBE inauguró el pasado 8 de julio, de la mano de José Luis Escrivá, el anterior ministro para la Transformación Digital y de la Función Pública, el Laboratorio de Ciberseguridad.
¿Qué es el Laboratorio de Ciberseguridad de INCIBE?
Se trata del primer laboratorio nacional que permite al Ministerio para la Transformación Digital y de la Función Pública disponer de un instrumento clave en la vigilancia y control de la ciberseguridad en el creciente mercado de productos con componentes digitales.
Con una inversión superior a los 7 millones de euros, cuenta con las tecnologías más avanzadas para la medición de los niveles de ciberseguridad de productos o soluciones digitales y componentes de redes de comunicaciones.
¿A qué se dedica el Laboratorio de INCIBE?
El Laboratorio de INCIBE, permite al ministerio contar con un servicio de análisis de riesgos en tecnologías que se ofrecen a la ciudadanía desde el mercado, con especial atención en los dispositivos al alcance de los colectivos más vulnerables.
Los dispositivos conectados, tales como teléfonos móviles, drones o sistemas de control industrial se someten a contraste, mediante pruebas de evaluación, contra todo tipo de estándares internacionales de ciberseguridad, asegurando el cumplimiento de las nuevas regulaciones, como la CRA, Ley de Ciberresiliencia.
Por otra parte, el Laboratorio de Ciberseguridad también será un referente para la ciberseguridad de las redes 5G. Así, se trata del primer laboratorio público dotado de redes 5G para experimentación y análisis de dispositivos conectados mediante herramientas software y hardware y otras de ciberseguridad, que conforman un "banco de pruebas" que reforzará la capacidad técnica y tecnológica del Ministerio para la Transformación Digital y de la Función Pública en las medidas contempladas en el Esquema Nacional de Seguridad de redes y servicios 5G (Real Decreto 443/2024, de 30 de abril), recreando entornos de redes y servicios 5G reales e independientes para el análisis y gestión de riesgos de seguridad y para el aseguramiento del cumplimiento de los requisitos del ENS5G.
¿De qué trata esta nueva ley? ¿Qué marco legal establece?
El pasado 15 de septiembre de 2022, la Comisión Europea presentó una propuesta innovadora a nivel mundial para mejorar la seguridad de los dispositivos a nivel de hardware y software, frente al masivo ataque que está sucediendo sin precedentes, tanto a nivel corporativo como doméstico, con los dispositivos digitales.
Esto ha sido fomentado por el aumento del teletrabajo, del número de dispositivos conectados, de la consolidación tecnológica y la mayor digitalización en sectores más tradicionales. Factores que suponen un avance, tanto a nivel social como económico, pero que generan un aumento de riesgo ciber muy difícil de anticipar, mitigar y minimizar. La superficie de ataque aumenta y es necesario proteger los ecosistemas IoT emergentes, así como más casuísticas que se han identificado en los últimos años que están utilizando las organizaciones cibercriminales a raíz de esta nueva arquitectura que se genera con diferentes capas tecnológicas, en diferentes etapas del ciclo de vida del producto, nuevas vulnerabilidades y tipos de ataque.
Esta norma surge a raíz de la necesidad de abordar “dos problemas importantes que suponen un aumento de los costes para los usuarios y la sociedad: un bajo nivel de ciberseguridad de los productos con elementos digitales, que se refleja en vulnerabilidades generalizadas y en la oferta insuficiente e incoherente de actualizaciones de seguridad para hacerles frente, y la insuficiencia de la comprensión de la información y del acceso a ella por parte de los usuarios, que les impide elegir productos con las características de ciberseguridad adecuadas o utilizarlos de manera segura”.
El reglamento tiene por objeto fijar condiciones que permitan el desarrollo de productos con elementos digitales seguros, garantizando que los productos consistentes en equipos y programas informáticos se comercialicen con menos vulnerabilidades y que los fabricantes apuesten por la seguridad a lo largo de todo el ciclo de vida del producto. También permitirá a los usuarios tener en cuenta la ciberseguridad a la hora de adquirir productos con elementos digitales, mejorando entre otros la transparencia con respecto al período de soporte.
El propósito de la ley es responsabilizar más a los vendedores y proveedores, obligándolos a brindar soporte de seguridad y actualizaciones de software para solucionar las vulnerabilidades identificadas a lo largo del ciclo de vida del producto y brindar a los consumidores más información sobre los productos en el mercado.
¿A qué productos y servicios digitales afectará esta normativa?
La definición de «productos con elementos digitales» es muy amplia e incluye cualquier producto de software o hardware, así como cualquier software o hardware no incorporado al producto, pero introducido en el mercado por separado, es decir, se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red, excepto las exclusiones especificadas en el reglamento, como es el caso de los dispositivos de seguimiento médico, la aviación civil o los vehículos ya que están contemplados por otras normativas.
Entre los puntos destacados el reglamento aborda:
- Requisitos de ciberseguridad para el diseño, desarrollo y producción de productos que contengan elementos digitales, así como las obligaciones de los fabricantes relacionadas con estos productos.
- Creación de normas sobre la comercialización de productos que contengan elementos digitales para avalar su ciberseguridad.
- Garantizar que los fabricantes mejoren la seguridad del producto con elementos digitales desde la etapa de diseño y desarrollo y durante todo el ciclo de vida.
- Establecer requisitos esenciales para los procesos de gestión de vulnerabilidades determinados por los fabricantes para garantizar la ciberseguridad de los productos que contengan elementos digitales durante su ciclo de vida, así como las obligaciones de las empresas relacionadas con estos procesos. Los fabricantes también deben informar de las vulnerabilidades e incidentes explotados activamente. Además, se establece que se debe dar soporte a las vulnerabilidades durante todo el ciclo de vida del software o durante 5 años, todo de manera efectiva.
- Proporcionar un marco de ciberseguridad que facilite el cumplimiento por parte de los fabricantes de hardware y software, alineado con otras normativas vigentes como por ejemplo el Reglamento General de Protección de Datos (GDPR).
- Disponer de un mercado seguro de forma que empresas y consumidores puedan utilizar de forma segura productos que contienen elementos digitales.
- Apoyo a pymes y medianas empresas con guías y directrices para facilitar su cumplimiento.
En conclusión, esta nueva ley pone unas bases para asegurar que la resiliencia en ciberseguridad sea una prioridad, aumentando así la seguridad de los usuarios finales.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).