• Electrónicos
• La Ley de Resiliencia Cibernética de la UE: Planificación para el Cumplimiento

La Ley de Resiliencia Cibernética de la UE: Planificación para el Cumplimiento

La Ley de Resiliencia Cibernética de la UE (CRA) establece requisitos estrictos de ciberseguridad para todos los productos con elementos digitales vendidos en el mercado europeo, asegurando que permanezcan ciberseguros tanto en la fase de diseño como a lo largo de su ciclo de vida.

Aprobada el 12 de marzo de 2024 por el Parlamento Europeo, esta legislación exige preparación para el cumplimiento por parte de fabricantes, distribuidores e importadores en toda la UE. Después de que la Ley sea formalmente adoptada por el Consejo, los fabricantes tendrán 36 meses para lograr el cumplimiento.

Este artículo describirá los componentes clave y los pasos necesarios para cumplir con la Ley de Resiliencia Cibernética, ayudándole a preparar su cadena de suministro y evitar las sanciones por incumplimiento.

Por qué es importante el cumplimiento de la Ley de Resiliencia Cibernética de la UE

El cumplimiento de la CRA es fundamental para proteger sus productos, y a los consumidores, de los ciberataques, y evitar las sanciones por incumplimiento.

La CRA aborda dos problemas críticos. En primer lugar, aborda las vulnerabilidades de ciberseguridad prevalentes en productos digitales debido a estándares bajos de ciberseguridad y asegura que los fabricantes sigan siendo responsables de la ciberseguridad de su producto durante todo su ciclo de vida. En segundo lugar, pretende mejorar el acceso y la comprensión de los usuarios sobre la información de ciberseguridad, empoderándolos para tomar decisiones informadas sobre la ciberseguridad de los productos que utilizan y cómo configurarlos de manera segura.

El incumplimiento de las obligaciones de ciberseguridad puede resultar en repercusiones legales, incluidas multas, y tener un impacto perjudicial en su reputación y acceso al mercado dentro de la UE. Si bien las sanciones exactas serán decididas por los Estados miembros individuales, es crucial alinear sus operaciones con las disposiciones de la Ley para evitar tales sanciones.

Alcance de la Ley

La CRA se aplica a los fabricantes de productos de hardware y software con elementos digitales vendidos en la UE.Esto incluye, entre otros, dispositivos y componentes como:

• Portátiles

• Teléfonos inteligentes

• Unidades de disco duro

• Altavoces inteligentes

• Enrutadores

• Conmutadores

• Aplicaciones móviles

• Cortafuegos

• Videojuegos

• Firmware

• Sistemas operativos

• Unidades de procesamiento de computadora (CPUs)

Según la CRA, los fabricantes y desarrolladores de estos productos están sujetos a requisitos de ciberseguridad que regulan tanto la fase de diseño como las actualizaciones de seguridad.

Los siguientes tipos de productos no están cubiertos bajo el alcance de la CRA:

• Software que se proporciona como parte de un servicio

• Software de código abierto no comercial

• Productos con elementos digitales desarrollados o modificados exclusivamente para fines de seguridad nacional o defensa

• Productos ya cubiertos por otra legislación de la UE, como dispositivos médicos, aviones y vehículos.

Estas exclusiones ayudan a evitar la superposición regulatoria y garantizan que los productos estén regulados bajo el marco más adecuado para sus casos de uso y riesgos específicos.

Requisitos de la Ley de Resiliencia Cibernética

El Anexo I de la CRA establece requisitos esenciales de ciberseguridad para que los fabricantes respalden la capacidad de los productos para resistir ciberataques y operar de manera segura.

Según la Parte I, los fabricantes deben asegurarse de que:

• Sus productos no tienen "vulnerabilidades explotables" conocidas cuando se introducen en el mercado

• Las vulnerabilidades pueden abordarse a través de actualizaciones de seguridad, incluidas actualizaciones automáticas (de las que los usuarios pueden optar por no participar o posponer fácilmente si lo desean)

• Sus productos protegen la confidencialidad de la información almacenada

• Sus productos están diseñados, desarrollados y producidos para limitar ataques y minimizar impactos negativos en caso de que ocurran ataques

Según la Parte II, los fabricantes deben:

• Identificar y documentar vulnerabilidades con una lista de materiales de software

• Abordar y remediar vulnerabilidades rápidamente, incluso proporcionando actualizaciones de seguridad

• Probar y revisar regularmente la seguridad de sus productos

• Compartir y divulgar públicamente información sobre vulnerabilidades que fueron corregidas después de una actualización de seguridad, y crear una política sobre divulgación coordinada de vulnerabilidades

El Anexo II de la CRA establece requisitos para la información e instrucciones que deben proporcionarse a los usuarios de productos con elementos digitales, incluyendo, pero no limitado a:

• El nombre, marca registrada, dirección postal e información de contacto del fabricante

• Dónde se puede encontrar la política del fabricante sobre divulgación coordinada de vulnerabilidades

• Cómo se pueden instalar actualizaciones de seguridad relevantes

• Cómo se pueden eliminar de forma segura los datos de usuario.

• Cómo se pueden desactivar las actualizaciones automáticas de seguridad

Los requisitos establecidos anteriormente son un resumen de los requisitos más importantes establecidos en la CRA, pero no son una lista completa. Para la lista completa de requisitos, consulte el texto completo adoptado de la CRA.

Pasos para el Cumplimiento

Los fabricantes deben seguir los siguientes pasos para garantizar el cumplimiento.

1. Evaluación de Riesgos: Identificar y evaluar riesgos de ciberseguridad para sus productos digitales.

2. Integración de Diseño: Incorporar medidas esenciales de ciberseguridad durante el diseño y desarrollo del producto.

3. Evaluación de Conformidad: Elegir entre autoevaluación y evaluación de terceros según el perfil de riesgo de su producto. La Ley divide los productos cubiertos en tres categorías. Los productos "Predeterminados" son aquellos sin vulnerabilidades de ciberseguridad. Los fabricantes de productos predeterminados pueden realizar una autoevaluación de sus vulnerabilidades de ciberseguridad.

Los productos restantes, enumerados en Anexo III y IV, se identifican como "Importantes" o "Críticos", ya que tienen niveles de riesgo más altos. Estos productos se dividen en dos clases de riesgo, Clase I y Clase II. Los productos de Clase I, como administradores de contraseñas o lectores biométricos, pueden adherirse a un estándar de la UE para garantizar el cumplimiento o someterse a una evaluación de terceros para demostrar el cumplimiento con la Ley. Los productos de Clase II, como sistemas operativos o cortafuegos y routers para uso industrial, deben someterse a evaluaciones de terceros para demostrar conformidad debido a su mayor riesgo de seguridad.

Las Organizaciones Europeas de Normalización crearán normas técnicas para muchas de las categorías de productos cubiertas

4. Declaración de Conformidad: Redactar una declaración de la UE que confirme que su producto cumple con los requisitos de la CRA, conteniendo la información detallada en el Anexo V.

5. Marcas CE: Poner la marca CE en su producto como símbolo de cumplimiento.

6. Actualizaciones de Seguridad: Definir un período de soporte (el plazo designado durante el cual los fabricantes están obligados a proporcionar actualizaciones de seguridad y gestionar vulnerabilidades para sus productos digitales, correlacionado con la duración esperada del uso del producto) y proporcionar consistentemente las actualizaciones de seguridad necesarias.

7. Gestión de Vulnerabilidades: Establecer un sistema para gestionar y abordar vulnerabilidades.

8. Información al Usuario: Informar claramente a los usuarios sobre las características de ciberseguridad y el período de soporte de su producto.

Planificación para el Cumplimiento de la CRA con QIMA/CCLab

Mientras trabaja para lograr el cumplimiento con la Ley de Resiliencia Cibernética de la UE, asociarse con QIMA/CCLab puede simplificar significativamente su trayectoria. QIMA/CCLab ofrece servicios de ciberseguridad especializados para asegurar que sus productos cumplan con los rigurosos estándares establecidos por la CRA.

Con orientación experta en evaluaciones de riesgos, evaluaciones de conformidad, gestión de vulnerabilidades y pruebas de productos electrónicos, QIMA/CCLab puede ayudarle en cada paso, desde la integración del diseño hasta la puesta en el mercado de su producto.

Para más información sobre regulaciones de ciberseguridad en la UE, lea nuestro whitepaper: Ciberseguridad para IoT y Más Allá: Cumplimiento con las Regulaciones de la UE