Conecta con nosotros

Noticias

La UE quiere que los fabricantes de dispositivos conectados los securicen antes de venderlos

Publicado el

La UE quiere que los fabricantes de dispositivos conectados los securicen antes de venderlos

La Comisión Europea ha hecho público el borrador de la futura Ley de Ciberresiliencia de la UE, que entre otras cosas hará obligatorio que los fabricantes de dispositivos conectados vigilen su seguridad y los securicen antes de ponerlos a la venta. También que informen públicamente de las brechas de seguridad que sufran y que las arreglen, además de garantizar que se podrán reparar durante cinco años.

Según Thierry Breton, Comisario europeo para el mercado interno, «los ordenadores, los móviles, los electrodomésticos, los dispositivos de asistencia virtual, los coches o los juguetes, entre otros, suman cientos de millones de productos conectados que suponen un punto potencial de entrara para un ciberataque. Y aún así, la mayoría de los productos de hardware y de software no están sujetos a ninguna obligación de ciberseguridad«.

Las preocupaciones de la Comisión Europea van más allá del hackeo de los productos y del impacto que un incidente puede tener en toda la cadena de suministro. Sus miembros están más preocupados por los potenciales apagones y fallos que puedan sufrir, ya que pueden ser fuente de «una disrupción grave de las actividades económicas y sociales en el mercado interno, debilitando la seguridad o incluso convirtiéndose en peligrosos para la vida«. Con esto, la Comisión hace directamente referencia a las muertes que pueden ocasionar ciertos tipos de ciberataques, en función de dónde se realicen.

El borrador de la ley, en el que se lleva trabajando desde hace un año, «presenta los requisitos de ciberseguridad obligatorios para productos con elementos digitales a lo largo de todo su ciclo de vida«. Por eso detalla los requisitos de seguridad e información que los fabricantes deben cumplir antes de ponerlos a la venta en cualquiera de los mercados de la Unión Europea. Algunos cubren su diseño, su desarrollo y su producción.

Además, una vez que los productos se pongan a la venta, la ley obligará a los fabricantes a hacer públicos los incidentes de seguridad en un máximo de 24 horas tras su conocimiento. También a corregir las vulnerabilidades a través del soporte de seguridad y las actualizaciones de software. Asimismo, tendrán que solucionar los problemas de ciberseguridad que tengan durante un periodo de o bien cinco años, o de toda la vida que se espera que tenga el producto.

Según la Comisión Europea, «estas nuevas reglas reequilibrarán la responsabilidad hacia los fabricantes«. Una vez que se apruebe, los fabricantes tendrán un periodo de gracia de dos años para adaptarse a los nuevos requisitos. Para la información sobre los incidentes y las vulnerabilidades, el periodo de gracia se reduce a un año. Eso sí, la ley tiene excepciones para determinados tipos de dispositivos conectados, como los destinados a usos médicos, los aviones y los coches. Esto se debe a que ya están sujetos a otras normativas.

SI los fabricantes de los dispositivos a los que afectará la ley no cumplen las normas, podrán ser multados con hasta 15 millones de euros, o el 2,5% del total de ingresos anuales del año fiscal previo del fabricante que haya incumplido la norma. La legislación afectará solo a la UE, pero la Comisión ya ha apuntado que la ley tiene potencial para llegar a establecer estándares mundiales, ya que ha señalado que es probable que la normativa «se convierta en un punto de referencia internacional«.

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído