La Ley de Resiliencia Cibernética propuesta por la Unión Europea (UE) formará el núcleo de un estándar mundial para dispositivos y software conectados que tendrá un impacto mucho más allá de las fronteras del bloque, incluso en el Reino Unido, según expertos en seguridad.
Presentada el 15 de septiembre de 2022 por la Comisión Europea (CE), anunciada por primera vez por la presidenta Ursula von der Leyen hace 12 meses, la ley se basa en la Estrategia de Ciberseguridad y la Estrategia de Unión de la Seguridad de la UE.
Garantizará que los productos digitales, como los productos inalámbricos y por cable, y el software que ejecutan, sean más seguros para los consumidores de toda la UE.
Al igual que el Proyecto de Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos del Reino Unido, actualmente en trámite en la Cámara de los Lores, impone requisitos y obligaciones obligatorios de seguridad cibernética a los fabricantes al obligarlos a proporcionar soporte de seguridad y parches de software continuos, y a proporcionar información suficiente para consumidores sobre la seguridad de sus productos.
“Merecemos sentirnos seguros con los productos que compramos en el mercado único. Así como podemos confiar en un juguete o un refrigerador con la marca CE, la Ley de Resiliencia Cibernética garantizará que los objetos conectados y el software que compramos cumplan con fuertes medidas de seguridad cibernética. Pondrá la responsabilidad donde corresponde, con aquellos que colocan los productos en el mercado”, dijo Margrethe Vestager, vicepresidenta ejecutiva de una Europa apta para la era digital.
El comisario de mercado interior de la UE, Thierry Breton, añadió: “Cuando se trata de ciberseguridad, Europa es tan fuerte como su eslabón más débil: ya sea un Estado miembro vulnerable o un producto inseguro a lo largo de la cadena de suministro.
“Computadoras, teléfonos, electrodomésticos, dispositivos de asistencia virtual, automóviles, juguetes… todos y cada uno de estos cientos de millones de productos conectados son un posible punto de entrada para un ataque cibernético y, sin embargo, hoy en día la mayoría de los productos de hardware y software no están sujetos. a cualquier obligación de seguridad cibernética. Al introducir la seguridad cibernética por diseño, la Ley de Resiliencia Cibernética ayudará a proteger la economía de Europa y nuestra seguridad colectiva”.
La CE dijo que las nuevas reglas reequilibrarían la responsabilidad de seguridad hacia los fabricantes que se asegurarán de cumplir con los nuevos requisitos, lo que en última instancia beneficiará a los usuarios finales en toda la UE al mejorar la transparencia, promover la confianza y garantizar una mejor protección de los derechos básicos a la privacidad.
La CE reconoció que es probable que la ley se convierta en un punto de referencia internacional más allá del mercado interno de la UE, y Kieron Holyome, vicepresidente de BlackBerry para el Reino Unido e Irlanda, Europa del Este, Medio Oriente y África estuvo de acuerdo con esta opinión.
“Hoy, cuando la UE lanza su Ley de Resiliencia Cibernética para proteger a los consumidores y empresas europeos de los riesgos causados por productos digitales inseguros, el Reino Unido debe sentarse y tomar nota. Este acto no debe verse como un requisito europeo, sino como un nuevo estándar global”, dijo Holyome.
“La nueva ley de la UE destaca aún más que las organizaciones británicas deben tomar medidas, en particular cuando se trata del uso de dispositivos inteligentes potencialmente inseguros para trabajar desde casa. De hecho, la última investigación de BlackBerry encontró que solo el 21% de los trabajadores domésticos del Reino Unido dicen que su empleador ha establecido una política de seguridad cibernética para el uso de dispositivos inteligentes en la oficina del hogar. Como tal, existe una gran oportunidad para los ciberdelincuentes que buscan apuntar a empresas del Reino Unido, con efectos colaterales para los propios empleados.
“Aunque los dispositivos inteligentes pueden parecer inocentes, los malos actores pueden acceder fácilmente a las redes domésticas con conexiones a dispositivos de la empresa, o datos de la empresa en dispositivos de consumo, y robar propiedad intelectual valorada en millones. Por lo tanto, es vital que las organizaciones británicas evalúen sus defensas de seguridad cibernética ahora, al tiempo que introducen requisitos obligatorios de seguridad cibernética para los productos de hardware y software utilizados por los empleados para trabajar desde casa”.
Rod Freeman, socio y jefe de prácticas de productos en Cooley, una firma de abogados, dijo: “Las nuevas reglas propuestas son parte de una intervención regulatoria más amplia en seguridad cibernética en la UE. Significaría un nivel nuevo y mucho más alto de escrutinio regulatorio y responsabilidad para los fabricantes de productos conectados. El impacto del cumplimiento en el Internet de las cosas [IoT] Las empresas de productos no deben subestimarse.
“Dado que la aplicación de la seguridad de los productos y la protección del consumidor ya son un enfoque importante en toda la UE, la Ley de Resiliencia Cibernética se sumaría sustancialmente a la creciente carga de desafíos de cumplimiento y riesgos de retirada de productos para las empresas que fabrican productos conectados. Es probable que las nuevas reglas también traigan a otra agencia reguladora al ámbito de la aplicación de la seguridad cibernética para problemas de productos conectados, lo que hace que el panorama legal sea mucho más desafiante y riesgoso para las empresas en este espacio”.
El acto pasará ahora al Parlamento Europeo y al Consejo para examinarlo y, una vez adoptado, los Estados miembros tendrán el plazo habitual de dos años para introducir los nuevos requisitos.
