Transformación Digital

Cyber Resilience Act para dispositivos IoT. Ciberseguridad

enero 8, 2023

Índice de contenido

1. Introducción al Cyber Resilient Act

El Cyber Resilience Act, es la propuesta de reglamento sobre requisitos de ciberseguridad para productos con elementos digitales, entre ellos los dispositivos del Internet de las Cosas (IoT), refuerza las normas de ciberseguridad para garantizar productos de hardware y software más seguros.

Los dispositivos IoT, desde la perspectiva de ciberseguridad, tiene dos problemas fundamentales que ocasionan un impacto económico para los usuarios y la sociedad:

Principalmente, Nivel bajo de ciberseguridad, debido a las vulnerabilidades de las aplicaciones y la falta de actualizaciones de seguridad.
Insuficiente concienciación y acceso a la información por parte de los usuarios, impidiéndoles elegir productos con adecuadas propiedades de ciberseguridad.

Si bien la legislación existente se aplica a algunos productos con elementos digitales, la mayoría de los productos de hardware y software actualmente no están cubiertos por ninguna legislación de la UE que aborde su ciberseguridad. En particular, el marco legal actual de la UE no aborda la seguridad cibernética del software no integrado.

2. Objetivos del Cyber Resilience Act

-Objetivos principales

Se identificaron dos objetivos principales:

Crear las condiciones para el desarrollo de productos seguros con elementos digitales garantizando que los productos de hardware y software se comercialicen con menos vulnerabilidades y garantizar que los fabricantes tomen en serio la seguridad a lo largo del ciclo de vida de un producto.
Crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad al seleccionar y utilizar productos con elementos digitales.

-Objetivos específicos

Se establecieron cuatro objetivos específicos:

Garantizar que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y durante todo el ciclo de vida;
Garantizar un marco de ciberseguridad coherente, que facilite el cumplimiento para los productores de hardware y software;
Mejorar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
Permitir que las empresas y los consumidores utilicen productos con elementos digitales de forma segura.

3. Ley Europea de Resiliencia Cibernética

La Ley Europea de Resiliencia Cibernética (CRA) tiene como objetivo establecer las condiciones límite para el desarrollo de productos seguros con elementos digitales al garantizar que los productos de hardware y software se comercialicen con menos vulnerabilidades y que los fabricantes tomen en serio la seguridad a lo largo del ciclo de vida de un producto. También tiene como objetivo crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad al seleccionar y utilizar productos con elementos digitales.

La legislación de la Unión Europea (UE) incluye varias normas horizontales que abordan determinados aspectos relacionados con la ciberseguridad desde diferentes ángulos, incluidas medidas para mejorar la seguridad de la cadena de suministro digital. Esta legislación no cubre directamente los requisitos obligatorios para la seguridad de los productos con elementos digitales.

Las distintas iniciativas europeas solo abordan parcialmente los problemas y riesgos relacionados con la ciberseguridad, creando un mosaico legislativo dentro del mercado interior, aumentando la inseguridad jurídica tanto para los fabricantes como para los usuarios de dichos productos y añadiendo una carga innecesaria a las empresas el cumplimiento de una serie de requisitos para tipos de productos similares.

La ciberseguridad de estos productos tiene una dimensión transfronteriza particularmente fuerte, ya que los productos fabricados en un país suelen ser utilizados por organizaciones y consumidores en todo el mercado interior. Esto hace necesario regular el campo a nivel de la Unión Europea.