Hace unos días atrás, la Comisión Europea llegó a un acuerdo político alcanzado con el Parlamento Europeo para aprobar la llamada Ley de Ciberresiliencia, la cual fue propuesta por la Comisión en septiembre de 2022.
El acuerdo alcanzado depende ahora de la aprobación formal del Parlamento Europeo y del Consejo. Una vez adoptada, la Ley de Ciberresiliencia entrará en vigor a los veinte días de su publicación en el Diario Oficial.
En un sentido general, con la ley se pretende que todos los productos digitales, ya sean de «hardware» o «software», que estén conectados a Internet cuenten con medidas de ciberseguridad a los largo de todo su ciclo de vida, desde el diseño y el desarrollo, para mantener la seguridad después de la introducción del producto en el mercado. Los productos de software y hardware llevarán el marcado CE para indicar que cumplen los requisitos del Reglamento y, por tanto, pueden venderse en la Unión Europea.
Tal como se informa en comunicado, la Ley de Ciberresiliencia se basa en la Estrategia de Ciberseguridad de la UE de 2020 y la Estrategia de la UE para una Unión de la Seguridad de 2020, y se anunció en el discurso sobre el estado de la Unión Europea de 2021 como parte del plan para construir una Europa adaptada a la era digital. Complementará la legislación vigente, en particular el marco SRI 2, adoptado en 2022.
Los fabricantes también estarán obligados a informar sobre vulnerabilidades
Dicha ley contempla que todos los dispositivos que se conectan a Internet deben cumplir una serie de requisitos de seguridad, que garanticen la seguridad de los datos del usuario desde el momento en que se utilizan a utilizar, y en el caso de ser el objetivo de ciberataques.
Una de las medidas que contempla esta ley es la obligación de liberar actualizaciones de seguridad frecuentes y que lleguen a tiempo para mantener los dispositivos protegidos de posibles amenazas. Dichas actualizaciones deben estar garantizadas durante al menos cinco años desde el lanzamiento en el caso de la mayoría de dispositivos.
Asimismo, los fabricantes estarán obligados a informar de las incidencias de seguridad detectadas en sus productos y servicios a la agencia de la Unión Europea para la ciberseguridad (ENISA).
A través de estas medidas, la nueva Ley permitirá a los usuarios tomar decisiones mejor informadas y más seguras, ya que los fabricantes tendrán que ser más transparentes y responsables de la seguridad de sus productos.
Próximas etapas
Una vez transcurrido los 20 días tras ser publicada en el Diario Oficial, en el momento de la entrada en vigor, los fabricantes, importadores y distribuidores de productos de hardware y software dispondrán de 36 meses para adaptarse a los nuevos requisitos, con la excepción de un período de gracia más limitado de 21 meses en relación con la obligación de notificación de los fabricantes en caso de incidentes y vulnerabilidades.
El nuevo reglamento, que será «la primera legislación de este tipo en el mundo», pretende mejorar la ciberseguridad de los productos conectados a Internet de consumidores y empresas de la Unión Europea.
Es importante considerar que en el último año, el número de ataques a la cadena de suministro de software se ha triplicado y, cada día, los ciberdelincuentes atacan a pequeñas empresas e instituciones críticas, como los hospitales. Cada once segundos, una organización se ve afectada por un ataque con programas de secuestro, con un coste estimado de 20 000 millones EUR al año. Solo en 2021, los ciberdelincuentes piratearon dispositivos y lanzaron alrededor de 10 millones de ataques distribuidos de denegación de servicio (DDoS) en todo el mundo, impidiendo a los usuarios el acceso a sitios web y servicios en línea.
Esta preocupación sobre la ciberseguridad es mundial. Hace unos años escribíamos que las brechas de ciberseguridad pueden estar más cerca de lo que crees, justamente considerando que el desarrollo de las tecnologías, especialmente de las IoT, generaban espacios para ataques a personas, infraestructuras y sistemas de manera masiva, existiendo justamente una mirada de búsqueda de regulación en establecer responsabilidades de fabricantes sobre los dispositivos que vendían en el mercado, especialmente en cuanto a soporte para evitar ataques. Múltiples han sido los casos en que delincuentes informáticos aprovechan vulnerabilidades para sus objetivos.
Chile debiese avanzar en la misma medida, porque a pesar de que no somos un mercado productor de dispositivos, si somos un mercado que utiliza masivamente bienes y servicios informáticos a todo nivel. El desarrollo de las tecnologías y de telecomunicaciones exigen que más que medidas puntuales de ciberseguridad en las que exijan avisos en casos de ciberataques, también existan medidas de acompañamiento y actualización de software, firmwares y componentes informáticos que den garantía de uso sin inconvenientes.