A Fondo
Ley de Ciberresiliencia de la UE: qué implica para fabricantes, distribuidores e importadores
El pasado 10 de diciembre entró en vigor la Ley de Ciberresiliencia (CRA) de la Unión Europea, que tiene como fin proteger a los consumidores y a las empresas que utilizan productos y servicios con uno o varios componentes digitales, y ponerles a salvo de las distintas amenazas cibernéticas que puedan sufrir. Para ello, la normativa establece diversos requisitos de ciberseguridad que deben cumplir todos los productos que tengan elementos digitales.
La Ley de Ciberresiliencia hará por tanto que los fabricantes tengan más responsabilidades a la hora de garantizar la seguridad de todos los productos de hardware y software. Además, con esta normativa contarán con más obligaciones a la hora de ofrecer actualizaciones de software que corrijan las vulnerabilidades de seguridad. También tendrán que ofrecer asistencia sobre segurida a los consumidores.
Esto, que lleva asociada una mejora en la transparencia sobre la seguridad de los productos y sobre los riesgos que les acechan, permite que los consumidores puedan tomar decisiones más informadas sobre los productos que hay disponibles en la Unión Europea. Estos irán marcados con las letras CE; que servirán como indicador de que cumplen los requisitos que fija la ley en cuanto a salud, seguridad y protección del medio ambiente. Eso sí, sus obligaciones principales no se aplicarán hasta el 11 de diciembre de 2027.
Esta ley, que complementa la normativa de seguridad NIS2, es parte de las medidas que la UE está poniendo en marcha para reforzar la ciberseguridad en el territorio. Afecta no solo a las compañías fabricantes de productos de la UE, sino también a las distribuidoras y a las importadoras de productos tecnológicos que se conecten a otros dispositivos o redes y que operen en la Unión Europea.
Los equipos afectados van desde ordenadores y periféricos hasta dispositivos inteligentes, aplicaciones móviles, altavoces, juguetes digitales, relojes inteligentes o pulseras de seguimiento deportivo. Fabricantes, distribuidores e importadores tendrán que actuar para cumplir la ley cuando a los productos que fabriquen, importen o distribuyan en la UE les afecten incidentes de ciberseguridad como el provocado por el ransomware Wannacry.
Las empresas tendrán que cumplir la Ley de Ciberresiliencia si se dedican a uno o varios de los siguientes sectores: desarrollo de sistemas de seguridad y gestión de acceso, aplicaciones de software, sistemas de seguridad y red, componentes de hardware, sistemas operativos y virtualización, gestión de certificados y claves públicos, dispositivos inteligentes y productos de Internet de las Cosas, y hardware con funciones de seguridad avanzadas. Eso sí, puede haber excepciones con dispositivos que ya estén sujetos a requisitos de ciberseguridad según otras leyes, como sucede con los dispositivos médicos, los coches y los productos destinados a aeronáutica.
Entre las normas que tendrán que cumplir están varios requisitos de ciberseguridad para todas las etapas del ciclo de vida de un producto, desde su diseño y desarrollo hasta su producción, despliegue, mantenimiento y desecho cuando ya no sea útil.
Ley de Ciberresiliencia: obligaciones para los fabricantes
Los fabricantes tendrán que parchear las vulnerabilidades que aparezcan en los productos durante un mínimo de cinco años, o durante el total de su vida útil, el periodo que resulte más corto. También tendrán que mantener los archivos técnicos que prueben el cumplimiento de las normativas en todas las etapas. Incluidos sus diseños, puesto que la ciberseguridad tendrá que contemplarse tanto por defecto como por diseño. Además tendrán que guardar sus detalles de fabricación, y las distintas valoraciones de conformidad.
Además, tendrán que informar sobre las vulnerabilidades explotadas en los productos a la Agencia para la Ciberseguridad de la Unión Europea (ENISA), y designar un equipo de respuesta ante incidentes en un plazo máximo de 24 horas desde el descubrimiento del incidente.
Será necesario también enviar una notificación de la vulnerabilidad pasadas 72 horas desde su descubrimiento, y un informe final entre 14 días y un mes después. Por último, tendrán que notificar de la incidencia a los usuarios, así como a las autoridades encargadas de la vigilancia del mercado si la empresa cesa sus operaciones.
Obligaciones para importadores y distribuidores
Los importadores de productos que quieran vender productos de fuera de la UE en la región tendrán que asegurarse de que los productos cumplen las normas verificando la documentación aportada por el fabricante. También tendrán que guardar su documentación técnica, así como las declaraciones de conformidad, durante un mínimo de diez años tras el lanzamiento del rpoducto. Además, tendrán que informar a los fabricantes, o a las autoridades relevantes en cada caso, de los productos que no cumplan las normas o presenten riesgos.
Los distribuidores tendrán que verificar la documentación del fabricante, o la del importador, antes de lanzar productos al mercado, y asegurarse así de que cumplen con las leyes. También tendrán que asegurarse de que las condiciones de almacenamiento y transporte de los productos no hacen peligrar el cumplimiento de las normas por parte del producto.
Será además obligatorio que guarden los registros de proveedores y clientes para facilitar las devoluciones y otras medidas de seguridad, y tendrán que informar de los productos peligrosos o que no cumplan las normas al fabricante o al importador.
Además, si importadores y distribuidores lanzan un producto al mercado bajo su propio nombre o su propia marca, o si alguien lo modifica de manera notable y lo vuelve a lanzar al mercado, también estarán sujetos a las obligaciones de la Ley de Ciberresiliencia que tienen que cumplir los fabricantes.
Cómo se hará cumplir la Ley de Ciberresiliencia
La Ley de Ciberresiliencia de la UE se hará cumplir a través sobre todo de evaluaciones de conformidad y vigilancia del mercado. La mayoría de evaluaciones se pueden llevar a cabo de manera interna, mientras que los productos considerados críticos tendrán que acreditar su cumplimiento mediante el encargo de la valoración a terceros.
Los procedimientos que se seguirán para certificar el cumplimiento de la normativa serán distintos en función del nivel de riesgo de los productos. Además, las autoridades nacionales encargadas de la vigilancia del mercado monitorizarán el cumplimiento de las normas a través de inspecciones y pruebas, además de comprobar la documentación en cada caso.
Los fabricantes que no cumplan la Ley de Ciberresiliencia recibirán sanciones administrativas de hasta 15 millones de euros, o hasta el 2,5 por ciento de sus resultados anuales totales de su año fiscal previo (la cantidad que sea mayor).
Los importadores y distribuidores que no la cumplan tendrán sanciones administrativas de hasta 10 millones de euros, o de hasta el 2% de sus resultados anuales mundiales totales del año fiscal anterior (la cantidad mayor). También se podrán contemplar prohibiciones o devoluciones como medidas correctivas.
-
Content6 días ago
La videoconferencia en las empresas: tecnología al servicio de la colaboración
-
Noticias7 días ago
La IA y el Futuro de los Empleos
-
A Fondo6 días ago
Otro lado oscuro de la IA: la automatización fomenta el robo de identidad
-
A Fondo6 días ago
Cómo transformar tu empresa gracias al impulso de la Inteligencia Artificial