Qué es la Ley de Ciberresiliencia de la UE y cómo te afectará: "Esta ley ayudará a los consumidores, todos ganamos"
La Ley de Ciberresiliencia de la UE nace con la idea de dar gran un paso en lo que a ciberseguridad global se refiere. "Los dispositivos que adquieran y utilicen las personas ya contarán con una capa de ciberseguridad que ofrecerá mayores garantías que sin ellas".
Freepik/Computer Hoy
Ley de Mercados Digitales, Ley de Servicios Digitales, Ley de Inteligencia Artificial y ahora Ley de Ciberresiliencia. La Unión Europea no para y es el turno de la ciberseguridad como centro y principal foco de esta normativa que, previsiblemente, llegará en 2024.
"Desde monitores para bebés hasta relojes inteligentes, los productos y software que contienen un componente digital están omnipresentes en nuestra vida diaria. Menos evidente para muchos usuarios es el riesgo de seguridad que pueden presentar dichos productos y software", explica la Unión Europea en una nota de prensa.
"La idea parte de la necesidad de dotar a los ciudadanos y empresas de mayor ciberseguridad, dado que los ataques se han multiplicado en los últimos años debido, precisamente, a la mayor digitalización que hay en la sociedad en términos generales", nos explica en una entrevista para Computer Hoy Martín Trullas, director de la división de Advanced Solutions en Ingram Micro.
Quieren fortalecer la seguridad en Europa y hacer frente a los graves problemas de ciberataques, creando un marco de ciberseguridad unificado en toda la Unión Europea. La ley fue propuesta en septiembre de 2022 y se espera que entre en vigor a principios de 2024, después de haber sido acordada en diciembre de 2023.
¿Qué es realmente la ciberresiliencia y para qué serviría esta normativa de la UE?
Para contextualizar un poco y tal y como se explica en el anterior vídeo, la ciberresiliencia se refiere a la capacidad o estrategia de una empresa para anticipar, resistir, recuperarse y adaptarse a la repercusión que tiene en ella un ciberataque. Se trata de la fuerza de esta para mantener la continuidad del negocio y proteger sus sistemas, empleados y datos, incluso si ocurre cualquier tipo de ataque.
Al final, los ciberataques pueden poner patas arriba las actividades de una empresa, lo que resulta en pérdidas económicas y daños a la reputación con clientes que se marchan.
A todo esto se le suma que la información privada de los clientes, como nombres o secretos comerciales, puede ser el objetivo principal de los ciberataques y ya se conoce cómo podría acabar la cosa.
"La Ley de Resiliencia Cibernética fortalecerá la ciberseguridad de los productos conectados, abordando las vulnerabilidades tanto en el hardware como en el software, haciendo de la UE un continente más seguro y resiliente", comenta el eurodiputado Nicola Danti en un comunicado.
Alcance y objetivos de la CRA
Teniendo esto en cuenta, se exigirá que los fabricantes incorporen la seguridad en todas las etapas del desarrollo del producto. La ciberseguridad no puede ser algo que suceda una vez que se ha dado el ataque, sino que debe ser parte fundamental desde el principio.
Por otro lado, esta ley no solo afectará a las empresas dentro de la Unión Europea. Al igual que el Reglamento General de Protección de Datos —RGPD—, se espera que la CRA tenga un impacto global.
Las empresas que quieran operar en el mercado europeo deberán cumplir con estos nuevos estándares, con la idea de crear un marco global de ciberseguridad e incluso fomenta una mayor transparencia si ocurre cualquier problema. "Además, los fabricantes deberán ofrecer más información a los usuarios, empezando por el etiquetado específico con la 'CE', para certificar que cumplen la normativa", añade Martín Trullas.
Exenciones y cumplimiento
Aunque la ley engloba bastantes productos, hay algunas excepciones. Automóviles, dispositivos médicos y equipos aeronáuticos certificados, están exentos porque ya están regulados por marcos específicos de ciberseguridad.
Para garantizar que se cumpla, la CRA impondrá plazos estrictos. Los fabricantes, importadores y distribuidores tienen 36 meses desde la adopción formal de la ley para cumplir con sus requisitos.
El incumplimiento puede dar pie a grandes sanciones que seguro que ya te suenan de otras leyes tecnológicas, que incluyen multas de hasta 15 millones de euros o el 2,5% de la facturación anual global de la empresa, lo que sea mayor. En casos de no dar información correcta o intentar engañar, las multas pueden alcanzar los cinco millones de euros o el 1% de la facturación anual global.
"La ciberseguridad hay que entenderla en capas, no como algo absoluto. Esta ley será una de las capas"
Sabiendo ya todo esto, resulta lógico que surjan dudas, sobre todo para las empresas, sobre hasta qué punto este tipo de leyes chocan directamente con la innovación. Algunos sectores temen que pueda tener perjudicar este aspecto.
Por otro lado, para las PYMES, cumplirla se les puede hacer cuesta arriba debido a los costes y la necesidad de personas cualificadas. "Sin duda, la Ley de Ciberresiliencia ayudará a que estén más y mejor preparadas, pero tendrán que poner de su parte, porque la ley no supone externalizar la responsabilidad en los fabricantes, sino crear una base que permita proteger los activos digitales y facilitar su continuidad en caso de incidente", añade Martín Trullas.
Al final, una estrategia de ciberresiliencia implica varios componentes clave y no supone no solo tener medidas de seguridad para evitar ataques, sino también planes de contingencia claros, procedimientos de respuesta en caso de que ocurra cualquier problema y, por supuesto, personal.
"Se espera que el Reglamento entre en vigor a principios de 2024. Los fabricantes deberán aplicar las normas 36 meses después de su entrada en vigor. Luego, la Comisión revisará periódicamente la Ley e informará sobre su funcionamiento", finaliza la UE en la nota de prensa.
"Toda iniciativa que busque reforzar la ciberseguridad es bienvenida, porque la ciberdelincuencia es un gravísimo problema que pone en riesgo a las empresas que sufren un ataque y la libertad de los usuarios que ven su información personal comprometida. Creo que todos ganamos cuando la ciberseguridad se convierte en parte esencial del mundo digital desde su misma concepción", sentencia el entrevistado.
Conoce cómo trabajamos en Computerhoy.
Etiquetas: Entrevistas, Leyes, Unión Europea, Ciberseguridad