¿En qué consiste la Ley Europea de Ciberresiliencia?
La Ley Europea de Ciberresiliencia es un marco jurídico que describe los requisitos de ciberseguridad para los productos de hardware y software con elementos digitales comercializados en la Unión Europea. Según la misma, los fabricantes están obligados a tomarse en serio la seguridad durante todo el ciclo de vida del producto.
Los productos de hardware y software digitales constituyen una de las principales vías para el éxito de los ciberataques. En un entorno conectado, un incidente de ciberseguridad en un producto puede afectar a toda una organización o a toda una cadena de suministro, propagándose a menudo a través de las fronteras del mercado interno en cuestión de minutos.
Antes de la Ley Europea de Ciberresiliencia, los diversos actos e iniciativas adoptados a nivel de la Unión Europea y nacional solo abordaban parcialmente los problemas y riesgos identificados relacionados con la ciberseguridad.
Aumentó la incertidumbre jurídica tanto para los fabricantes como para los usuarios de esos productos y añadió una carga innecesaria a las empresas para que cumplieran una serie de requisitos para tipos de productos similares.
La ciberseguridad de estos productos tiene una dimensión transfronteriza especialmente fuerte, ya que los productos fabricados en un país suelen ser utilizados por organizaciones y consumidores de todo el mercado interior.
Se abordan dos problemas principales:
1. El bajo nivel de ciberseguridad de los productos con elementos digitales, reflejado en vulnerabilidades generalizadas y la provisión insuficiente e inconsistente de actualizaciones de seguridad para abordarlas.
2. La insuficiente comprensión y acceso a la información por parte de los usuarios, lo que les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura.
En determinadas condiciones, todos los productos con elementos digitales integrados o conectados a un sistema de información electrónico más amplio pueden servir como vector de ataque para actores maliciosos.
Como resultado, incluso el hardware y el software considerados menos críticos pueden facilitar el compromiso inicial de un dispositivo o red, lo que permite que actores maliciosos obtengan acceso privilegiado a un sistema o se muevan lateralmente a través de los sistemas.
¿Qué productos se encuentran bajo amenaza de ciberseguridad?
Ejemplos de productos con elementos digitales que se encuentran bajo ciberamenaza según la Ley Europea de Ciberseguridad:
- Dispositivos finales
Computadoras portátiles
Teléfonos inteligentes
Sensores y cámaras
Robots inteligentes
Tarjetas inteligentes
Medidores inteligentes
Dispositivos móviles
Altavoces inteligentes
Enrutadores
Conmutadores
Sistemas de control industrial.
- Software
Firmware
Sistemas operativos
Aplicaciones móviles
Aplicaciones de escritorio
Videojuegos
- Componentes (tanto hardware como software)
Unidades de procesamiento de computadora
Tarjetas de video
Bibliotecas de software.
Entendiendo la Ley Europea de Ciberresiliencia (CRA)
La Ley Europea de Ciberresiliencia (CRA) tiene por objeto establecer las condiciones límite para el desarrollo de productos seguros con elementos digitales , garantizando que los productos de hardware y software se comercialicen con menos vulnerabilidades y que los fabricantes se tomen en serio la seguridad durante todo el ciclo de vida del producto. También pretende crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad al seleccionar y utilizar productos con elementos digitales.
La legislación de la Unión vigente en la actualidad comprende varios conjuntos de normas horizontales que abordan determinados aspectos relacionados con la ciberseguridad desde diferentes ángulos, incluidas medidas para mejorar la seguridad de la cadena de suministro digital. Sin embargo, la legislación de la Unión vigente en materia de ciberseguridad no contempla directamente los requisitos obligatorios para la seguridad de los productos con elementos digitales.
Los diversos actos e iniciativas adoptados hasta ahora a nivel de la Unión y nacional solo abordan parcialmente los problemas y riesgos identificados relacionados con la ciberseguridad, lo que crea un mosaico legislativo dentro del mercado interior, aumenta la incertidumbre jurídica tanto para los fabricantes como para los usuarios de esos productos y añade una carga innecesaria a las empresas para que cumplan una serie de requisitos para tipos similares de productos.
La ciberseguridad de estos productos tiene una dimensión transfronteriza especialmente importante, ya que los productos fabricados en un país suelen ser utilizados por organizaciones y consumidores en todo el mercado interior. Esto hace necesario regular este ámbito a escala de la Unión. El panorama normativo de la Unión debe armonizarse introduciendo requisitos de ciberseguridad para los productos con elementos digitales. Además, debe garantizarse la seguridad para los operadores y los usuarios en toda la Unión, así como una mejor armonización del mercado único, creando condiciones más viables para los operadores que deseen entrar en el mercado de la Unión.
A nivel de la Unión, diversos documentos programáticos y políticos, como la Estrategia de ciberseguridad de la UE para la Década Digital, las Conclusiones del Consejo de 2 de diciembre de 2020 y de 23 de mayo de 2022 o la Resolución del Parlamento Europeo de 10 de junio de 2021, han pedido que la Unión establezca requisitos específicos en materia de ciberseguridad para los productos digitales o conectados, y varios países de todo el mundo han introducido medidas para abordar esta cuestión por iniciativa propia.
En el informe final de la Conferencia sobre el Futuro de Europa, 18 ciudadanos pidieron «un papel más importante de la UE en la lucha contra las amenazas a la ciberseguridad».
Para aumentar el nivel general de ciberseguridad de todos los productos con elementos digitales comercializados en el mercado interior, es necesario introducir requisitos esenciales de ciberseguridad orientados a objetivos y tecnológicamente neutrales para estos productos que se apliquen horizontalmente.
En determinadas circunstancias, todos los productos con elementos digitales integrados en un sistema de información electrónico más amplio o conectados a él pueden servir como vector de ataque para agentes malintencionados. En consecuencia, incluso el hardware y el software considerados menos críticos pueden facilitar la vulneración inicial de un dispositivo o una red, permitiendo a agentes malintencionados obtener acceso privilegiado a un sistema o moverse lateralmente entre sistemas. Por tanto, los fabricantes deben garantizar que todos los productos conectables con elementos digitales estén diseñados y desarrollados de conformidad con los requisitos esenciales establecidos en el presente Reglamento.
Esto incluye tanto los productos que se pueden conectar físicamente a través de interfaces de hardware como los productos que están conectados de forma lógica, como por ejemplo a través de conectores de red, tuberías, archivos, interfaces de programación de aplicaciones o cualquier otro tipo de interfaz de software. Dado que las amenazas de ciberseguridad pueden propagarse a través de varios productos con elementos digitales antes de alcanzar un objetivo determinado, por ejemplo mediante la combinación de múltiples vulnerabilidades, los fabricantes también deben garantizar la ciberseguridad de aquellos productos que solo están conectados indirectamente a otros dispositivos o redes.
Al establecer requisitos de ciberseguridad para la comercialización de productos con elementos digitales, se mejorará la ciberseguridad de estos productos tanto para los consumidores como para las empresas. Esto también incluye requisitos para la comercialización de productos de consumo con elementos digitales destinados a consumidores vulnerables, como juguetes y monitores para bebés.
Ejemplos de ciberataques sobre soportes digitales
Algunos de los ejemplos más significativos de ataques informáticos recientes, son los tres siguientes:
– El software espía Pegasus, que explota vulnerabilidades en los teléfonos móviles.
– El ransomware WannaCry, que explotó una vulnerabilidad de Windows que afectó a computadoras en 150 países.
– El ataque a la cadena de suministro de Kaseya VSA, que utilizó un software de administración de red para atacar a más de 1000 empresas.