Estado de la Unión: las nuevas normas de ciberseguridad de la UE garantizan productos de hardware y software más seguros

Contenido:

La Ley, anunciada por la presidenta Ursula von der Leyen en septiembre de 2021 durante su discurso sobre el estado de la Unión Europea, y sobre la base de la Estrategia de Ciberseguridad de la UE de 2020 y la Estrategia de la Unión de Seguridad de la UE de 2020, garantizará que los productos digitales, como los productos inalámbricos y por cable y software, son más seguros para los consumidores de toda la UE: además de aumentar la responsabilidad de los fabricantes al obligarles a proporcionar soporte de seguridad y actualizaciones de software para abordar las vulnerabilidades identificadas, permitirá a los consumidores tener suficiente información sobre la ciberseguridad de los productos que compran. comprar y usar.

Con ataques de ransomware golpeando a una organización cada 11 segundos en todo el mundo y el costo anual global estimado del cibercrimen alcanzando los 5,5 billones de euros en 2021 (Cybersecurity Ventures según se cita en el informe del Centro de Investigación Conjunta (2020): " Ciberseguridad: nuestro ancla digital, una perspectiva europea ”), garantizar un alto nivel de ciberseguridad y reducir las vulnerabilidades en los productos digitales, una de las principales vías para el éxito de los ataques, es más importante que nunca. Con el crecimiento de los productos inteligentes y conectados, un incidente de ciberseguridad en un producto puede tener un impacto en toda la cadena de suministro, lo que posiblemente provoque una grave interrupción de las actividades económicas y sociales en todo el mercado interior, socavando la seguridad o incluso poniendo en peligro la vida.

Las medidas propuestas hoy se basan en el Nuevo Marco Legislativo para la legislación de productos de la UE y establecerán:

a) Normas para la puesta en el mercado de productos con elementos digitales para garantizar su ciberseguridad.

b) Requisitos esenciales para el diseño, desarrollo y producción de productos con elementos digitales, y obligaciones para los operadores económicos en relación con estos productos.

c) Los requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y las obligaciones de los operadores económicos en relación con estos procesos. Los fabricantes también deberán informar las vulnerabilidades e incidentes explotados activamente.

d) Normas sobre vigilancia del mercado y ejecución.

Las nuevas normas reequilibrarán la responsabilidad hacia los fabricantes, que deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que se ponen a disposición en el mercado de la UE. Como resultado, beneficiarán a los consumidores y ciudadanos, así como a las empresas que utilizan productos digitales, al mejorar la transparencia de las propiedades de seguridad y promover la confianza en los productos con elementos digitales, así como al garantizar una mejor protección de sus derechos fundamentales, como privacidad y protección de datos.

Mientras que otras jurisdicciones de todo el mundo buscan abordar estos problemas, es probable que la Ley de Resiliencia Cibernética se convierta en un punto de referencia internacional, más allá del mercado interno de la UE. Los estándares de la UE basados ​​en la Ley de Resiliencia Cibernética facilitarán su implementación y serán un activo para la industria de la ciberseguridad de la UE en los mercados globales.

El reglamento propuesto se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red. Hay algunas excepciones para los productos, para los cuales los requisitos de ciberseguridad ya están establecidos en las normas de la UE existentes, por ejemplo, en dispositivos médicos, aviación o automóviles.

Próximos pasos

Corresponde ahora al Parlamento Europeo y al Consejo examinar el proyecto de Ley de Resiliencia Cibernética. Una vez adoptados, los operadores económicos y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos. Una excepción a esta regla es la obligación de informar a los fabricantes sobre vulnerabilidades e incidentes explotados activamente, que se aplicaría ya un año después de la fecha de entrada en vigor, ya que requieren menos ajustes organizativos que las otras nuevas obligaciones. La Comisión revisará periódicamente la Ley de Resiliencia Cibernética e informará sobre su funcionamiento.

Fondo

La ciberseguridad es una de las principales prioridades de la Comisión y una piedra angular de la Europa digital y conectada. El aumento de los ciberataques durante la crisis del coronavirus ha demostrado la importancia de proteger hospitales, centros de investigación y otras infraestructuras. Se necesita una acción enérgica en este ámbito para preparar la economía y la sociedad de la UE para el futuro. Se calcula que los costes anuales de las filtraciones de datos ascienden al menos a 10.000 millones EUR y los costes anuales de los intentos malintencionados de interrumpir el tráfico en Internet se estiman en al menos 65.000 millones EUR (informe de evaluación de impacto que acompaña al Reglamento Delegado de la Comisión por el que se complementan los equipos radioeléctricos). Directiva Reglamento Delegado).

La estrategia de ciberseguridad, presentada en diciembre de 2020, ha propuesto integrar la ciberseguridad en todos los elementos de la cadena de suministro y aunar aún más las actividades y los recursos de la UE en las cuatro comunidades de la ciberseguridad: mercado interior, aplicación de la ley, diplomacia y defensa. Se basa en Shaping Europe's Digital Future y EU Security Union Strategy de la UE , y se apoya en una serie de actos legislativos, acciones e iniciativas que la UE ha implementado para fortalecer las capacidades de ciberseguridad y garantizar una Europa más resistente a la cibernética.

La nueva Ley de resiliencia cibernética complementará el marco de ciberseguridad de la UE: la Directiva sobre la seguridad de las redes y los sistemas de información ( Directiva NIS ), la Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión ( Directiva NIS 2 ), que se aprobó recientemente acordado por el Parlamento Europeo y el Consejo, y la Ley de Ciberseguridad de la UE .