Noticia | 01-12-2023 | 5:00 PM
Los consumidores y las empresas hacen un uso extensivo de productos conectados entre sí o a Internet, como máquinas industriales, televisores, aplicaciones, impresoras, lámparas, cámaras y monitores para bebés. Se espera que los productos digitales (software, hardware y componentes) cumplan amplios requisitos y estándares de ciberseguridad a partir de 2027. Entonces ya no se permitirá la venta de dispositivos cibernéticamente inseguros en el mercado de la UE. Los requisitos incluyen el suministro obligatorio y gratuito de actualizaciones de seguridad, siempre y cuando se pueda esperar que se pueda utilizar un producto.
Los Estados miembros de la UE y el Parlamento Europeo han llegado a un acuerdo político provisional al respecto. La llamada Ley de resiliencia cibernética (CRA) es una extensión legal, que los Países Bajos han defendido activamente, de una decisión anterior de imponer requisitos de ciberseguridad a los dispositivos de comunicación inalámbricos como enrutadores, monitores para bebés y timbres inteligentes a través de la Directiva sobre equipos de radio (ROJO). La CRA pronto será más amplia que la RED y no sólo se aplicará a los dispositivos conectados de forma inalámbrica, sino a todo el hardware y software. También se centra en abordar e informar las vulnerabilidades que surgen después de que un producto ha salido al mercado.
Ministro Micky Adriaansens (Asuntos Económicos y Clima): “Los fabricantes y los importadores estaban en el físico El mundo ya es responsable de productos seguros. Pronto esto también se aplicará a los productos digitales. Esto es necesario porque los productos y sistemas digitales suelen ser una puerta de entrada ideal para que los delincuentes de Internet roben datos, dinero o como medio de piratería. Queremos evitar eso. La llegada de la CRA es el siguiente paso en ese sentido. Los dispositivos digitales seguros funcionan mejor, protegen nuestros datos y garantizan que podamos hacer negocios digitalmente con confianza”.
Plazo de soporte para toda la vida útil del producto
Los fabricantes deben proporcionar actualizaciones de seguridad gratuitas durante toda la vida útil prevista del producto tan pronto como se descubran vulnerabilidades. Este período de soporte debe indicarse claramente en el momento de la venta y siempre es de al menos cinco años. Esta duración mínima no altera la regla principal: por ejemplo, si el uso previsto de un producto es de ocho años, el apoyo también debe proporcionarse durante ocho años.
Estándares de seguridad cibernética
Los fabricantes se aseguran de que los productos cumplan con los requisitos de ciberseguridad antes de lanzarlos al mercado. Esto se refiere, por ejemplo, a los requisitos de que los productos estén diseñados de forma segura y probados para detectar fugas de seguridad. En muchos casos, las actualizaciones de seguridad también deben instalarse automáticamente, los datos personales y financieros almacenados deben protegerse y se ofrece al usuario la opción de eliminarlos permanentemente.
Los fabricantes también deben informar a las autoridades nacionales de los incidentes y vulnerabilidades que sean explotados por partes malintencionadas en un plazo de 24 horas. Equipos de respuesta a incidentes de seguridad informática (CSIRT) del gobierno. Los desarrolladores y proveedores del llamado software de código abierto, que se ofrecen de forma no comercial, no están obligados a cumplir los requisitos exigidos a los fabricantes.
Es hora de implementar y apoyar a los pequeños empresarios
El período de entrada en vigor de tres años proporciona tiempo suficiente para la implementación y elaboración de normas técnicas que detallen los requisitos de ciberseguridad para los fabricantes. También habrá instalaciones para ayudar a los micro y pequeños fabricantes a implementar los requisitos.
El acuerdo provisional de la UE debe luego presentarse a los estados miembros de la UE y al Parlamento Europeo para su aprobación.