¿Preparados para la nueva Ley de Ciberresiliencia?
La Ley de Ciberresiliencia entrará en vigor este año. En este reportaje revisamos cuáles son sus nuevas exigencias y que tendrán que hacer las empresas para cumplir con ellas.
La Comisión Europea aprobó en septiembre de 2022 la Cyber Resilience Act o Ley de Ciberresiliencia, que fija nuevas exigencias de ciberseguridad para los productos digitales en todo su ciclo de vida útil.
Se espera que la norma entre en vigor a lo largo del presente ejercicio, aunque se fija un periodo transitorio de tres años para adaptarse a sus nuevas exigencias.
Pero no conviene dejarlo todo para el final, por lo que conviene hacer los deberes cuanto antes e ir adoptando las medidas oportunas para dar respuesta cuanto antes a las nuevas obligaciones.
Y para poder hacerlo, lo primero que debemos hacer es saber qué es lo que contempla la nueva Ley de Ciberresiliencia y qué empresas se verán afectadas ante su inminente entrada en vigor.
¿Qué es la Ley de Ciberresiliencia?
La Ley de Ciberresiliencia de la Unión Europea conforma un nuevo marco de normas de ciberseguridad para productos digitales, incluyendo tanto hardware como software.
“Introduce requisitos más estrictos para la gestión de riesgos cibernéticos, obligando a las empresas a implementar medidas de seguridad adecuadas y proporcionadas para proteger sus sistemas y datos”, explica Pedro Viana, head of Presales de Kaspersky Iberia.
Éstos son algunos de sus puntos más destacados.
Requisitos de ciberseguridad. “Todos los productos con elementos digitales deben cumplir con estrictos requisitos de ciberseguridad desde la fase de diseño y durante todo su ciclo de vida. Esto incluye la obligación de los fabricantes de informar sobre las vulnerabilidades e incidentes y proporcionar actualizaciones de seguridad continuas”, detalla Rafael Rosell, director comercial de S2 Grupo.
Viana hace especial hincapié en que la ley establece requisitos de ciberseguridad en todo el ciclo de vida, incluido el posterior mantenimiento. “Los fabricantes serán responsables de garantizar que sus productos cumplan con estos requisitos y deberán proporcionar actualizaciones de seguridad durante un período determinado”, declara.
Asimismo, indica que las organizaciones deberán realizar evaluaciones periódicas e implementar planes de respuesta a incidentes.
Evaluación de conformidad. El responsable de S2 Grupo remarca que “la ley impone la necesidad de una evaluación de conformidad que será realizada por el propio fabricante, en colaboración con organismos independientes para productos de mayor riesgo”.
Transparencia y seguridad para los consumidores. Rossell señala que la nueva ley presta especial atención a este aspecto. “Se busca garantizar que los consumidores reciban información suficiente sobre la ciberseguridad de los productos que adquieren, fomentando así una mayor transparencia y confianza”.
Notificación y multas por incumplimiento. “En caso de incidentes cibernéticos graves, las organizaciones estarán obligadas a notificarlo a las autoridades competentes”, advierte el portavoz de Kaspesrky.
Además, el portavoz de S2 Grupo recuerda que “las empresas que no cumplan con los requisitos pueden enfrentarse a multas significativas, que pueden llegar hasta los 15 millones de euros o el 2,5% de su volumen de negocios anual”.
¿A quiénes afecta la ley?
La ley afecta a todos los fabricantes, importadores y distribuidores de productos digitales en el mercado europeo. “Esto incluye una amplia gama de dispositivos y software con elementos digitales conectados a redes o a otros dispositivos. En particular, se centra en productos del Internet de las Cosas (IoT, por sus siglas en inglés), software y hardware que requieren conexiones de datos”, puntualiza Rossell.
De este modo, Viana explica que “afectará a una amplia gama de organizaciones en la Unión Europea, desde empresas de todos los tamaños hasta operadores de infraestructura crítica y proveedores de servicios de terceros”.
Además, señala que “se aplicarán cláusulas específicas para los operadores de infraestructura crítica, como los sectores de energía, transporte y salud, así como para los proveedores de servicios de terceros, quienes deberán garantizar la seguridad de los datos de sus clientes”.
Un aspecto importante de la nueva ley es que se extiende a los fabricantes de dispositivos IoT, que se han convertido en una peligrosa puerta de acceso para los ciberdelincuentes, como ya hemos contado en alguna ocasión.
Así pues, la Ley de Ciberresiliencia contempla a los fabricantes de productos conectados, como televisores inteligentes, juguetes, automóviles y electrodomésticos con conexión a internet. “Tendrán que asegurarse de que sus productos cumplan con ciertos requisitos de ciberseguridad antes de poder venderse en el mercado de la UE”, expone el head of Presales de Kaspersky.
¿Cómo prepararse?
Inevitablemente, la adaptación a la ley tendrá consecuencias para las empresas. “El llevar a cabo todas estas medidas puede implicar importantes inversiones en ciberseguridad y cambios en los procesos operativos de las empresas y de desarrollo de productos”.
Ante tal situación, cabe preguntarse si las empresas españolas están preparadas. “Algunas ya han adoptado medidas para mejorar su ciberseguridad en respuesta al aumento del número y la gravedad de los ciberataques, así como a la creciente regulación y una mayor concienciación sobre los riesgos existentes. Sin embargo, muchas otras aún no están preparadas para cumplir con los requisitos de la Ley de Ciberresiliencia debido a la falta de recursos, conocimiento y concienciación”, admite Viana.
De este modo, muchas empresas nacionales tendrán que mejorar sus prácticas de ciberseguridad para cumplir con las exigencias de la nueva ley. Entre otras cosas, tendrán que hacer lo siguiente:
Auditorías de seguridad. Rossell indica que las compañías afectadas por esta regulación deberán evaluar las vulnerabilidades de sus productos y sistemas. “Las empresas españolas tendrán que realizar una evaluación de riesgos cibernéticos para identificar los activos más vulnerables a los ciberataques”, aclara el responsable de Kaspersky.
Establecer medidas de seguridad. No vale con evaluar los riesgos, sino que también hay que estar preparados para ello. “Las organizaciones deberán implementar medidas de seguridad adecuadas para mitigar estos riesgos, como firewalls, sistemas de detección de intrusiones y software antivirus”, precisa Viana.
Diseñar un plan de respuesta. “Desarrollar un plan de respuesta frente a incidentes será crucial para saber cómo responder en caso de ciberataque, incluyendo pasos para contenerlo y restaurar los sistemas afectados”, anota el representante de Kaspersky.
Actualizar y mejorar productos. “Tendrán que integrar requisitos de seguridad desde la fase de diseño y mantener un proceso continuo de actualización y gestión de vulnerabilidades”, apunta el director comercial de S2 Grupo.
Formación y capacitación. La prevención es la primera piedra del muro de contención frente a los ciberriesgos. Así pues, Rossell indica que las empresas tienen que asegurarse de que sus equipos estén bien formados en ciberseguridad y en las nuevas normativas.
Ofrecer documentación y transparencia. Rossell recuerda que las organizaciones han de tener una documentación clara y detallada sobre la gestión de riesgos y la conformidad con la ley. Todos los riesgos han de estar documentados.
Una ley controvertida
Aunque la Ley de Ciberresiliencia supone un avance en cuanto a la seguridad, no hay unanimidad a la hora de valorar el nuevo texto.
“Ha generado opiniones encontradas entre los expertos en ciberseguridad. Algunos elogian su enfoque integral y su potencial para mejorar la postura de ciberseguridad de la UE, mientras que otros la critican por su complejidad y posibles repercusiones negativas en la innovación”, afirma Viana.
En cualquier caso, considera “es un paso importante hacia la mejora de la ciberseguridad en la región”, aunque piensa que es demasiado pronto para evaluar su éxito.
Entre sus puntos positivos, destaca que la ley “aborda múltiples aspectos de la ciberseguridad, desde la seguridad de los productos digitales hasta la gestión de incidentes y la supervisión por parte de las autoridades”.
Igualmente, Rossell valora positivamente la Ley de Ciberresiliencia porque “adopta un enfoque integral y necesario para enfrentar los desafíos de ciberseguridad actuales”.
“La ley responde a la necesidad de proteger tanto a los consumidores como a las empresas, proporcionando un marco claro y coherente que facilita el cumplimiento y mejora la transparencia en el mercado digital”, añade.
Del mismo modo, el responsable de Kaspersky considera que “al establecer requisitos claros y exigentes, ofrece un marco sólido para que las empresas y organizaciones refuercen sus defensas cibernéticas y respondan de manera efectiva a los desafíos actuales y futuros en el ámbito digital”.
Además, el representante de S2 Grupo pone el acento en que “impulsa a los fabricantes a considerar la seguridad desde las etapas más tempranas de diseño y desarrollo, promoviendo así una cultura de ‘seguridad por diseño’” que es esencial en el entorno digital moderno”.
Por otra parte, Rossell cree que responde a las necesidades reales de nuestra sociedad. “El aumento del número y la gravedad de los ciberataques, así como la creciente dependencia de la tecnología, subrayan la importancia de fortalecer la ciberseguridad. La Ley de Ciberresiliencia aborda estas necesidades al promover la seguridad por diseño, la colaboración entre actores públicos y privados y la concienciación sobre los riesgos”, subraya.