Bruselas presenta la ley que impone estándares de ciberseguridad a todos los objetos conectados

Televisores, juguetes, smartphones, coches, cámaras, frigoríficos, software... todos los productos diseñados con un componente digital se verán afectados por la Ley de Ciberresiliencia presentada hoy por el comisario de Mercado Interior, Thierry Breton. La nueva norma exigirá que las empresas cumplan con nuevos requisitos de ciberseguridad o si no se enfrentarán a importantes multas. El objetivo de la ley, según han precisado desde la Comisión, es regular la comercialización de los objetos conectados, que hasta ahora no están sujetos a ninguna obligación en este ámbito y cuya seguridad generalmente no es la prioridad de sus diseñadores. En definitiva, buscan reducir los ciberataques que estos bienes pueden sufrir a lo largo de su vida útil.

Se trata de la primera legislación de este tipo a escala de la UE y permitirá a los consumidores (tanto particulares como empresas) disponer de información suficiente sobre la ciberseguridad de los productos que compren y utilicen. Los fabricantes, los distribuidores y los importadores deberán comprobar que durante el diseño, el desarrollo y la producción se garantiza la ciberseguridad de los productos y cuando los hayan vendido, deberán garantizarla durante toda su vida útil.

El Ejecutivo comunitario diferencia entre dos tipos de productos, a los que se exigirá diferentes grados de supervisión. Para los programas de edición fotográfica, los editores de texto, los auriculares o los videojuegos, será suficiente con que sean los propios productores y distribuidores quienes evalúen las vulnerabilidades. En cambio, sistemas operativos, firewalls, microprocesadores de uso general o módems, entre otros, tendrán que evaluarla también organismos independientes. Los productos podrán adquirir el sello 'CE' si se demuestran que son seguros.

"Merecemos sentirnos seguros con los productos que compramos en el mercado único. Así como podemos confiar en un juguete o un refrigerador con el sello 'CE', la Ley de Resiliencia Cibernética garantizará que los objetos conectados y el software que compramos cumplan con fuertes medidas de seguridad cibernética", dijo la vicepresidenta de la Comisión Europea para la Era Digital, Margrethe Vestager.

Breton resaltó que cada uno de los cientos de millones de productos conectados que se comercializan "son un potencial punto de entrada para un ciberataque", y defendió que la Ley de Resiliencia Cibernética "ayudará a proteger la economía de Europa y nuestra seguridad colectiva".

El comisario añadió que "cuando se trata de ciberseguridad, Europa es tan fuerte como su eslabón más débil; ya sea un Estado miembro vulnerable o un producto inseguro a lo largo de la cadena de suministro. La Comisión recordó, en este sentido, que los ataques de ransomware afectan a una organización cada 11 segundos en todo el mundo y que el coste anual mundial estimado de la ciberdelincuencia ocasionaron el año pasado un coste de 5,5 billones de euros. 

"Reducir las vulnerabilidades de los productos digitales, una de las principales vías de éxito de los ataques, es más importante que nunca", destacaron. En el pasado, los ataques de Wannacry o Kaseya VSA han demostrado la rapidez con la que un ciberataque puede propagarse por toda una organización o toda una cadena de suministro. Y con 75.000 millones de objetos conectados esperados en el mundo para 2025, el asunto se complica.

Las autoridades nacionales serán quienes deban garantizar el cumplimiento de la normativa. En caso de incumplirse, podrán obligar a retirar del mercado los productos vulnerables y, en último término, imponer multas de hasta 15 millones de euros o un 2,5 % de los beneficios mundiales que obtenga la empresa responsable. Los fabricantes de los productos tendrán que informar de las vulnerabilidades e incidentes explotados activamente.

La propuesta de la Comisión tendrán que negociarla ahora tanto el Parlamento Europeo como el Consejo de la UE (la institución que representa a los países) antes de que pueda entrar en vigor. Si finalmente es aprobada, las empresas y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos, con la excepción de la obligación de los fabricantes de informar sobre las vulnerabilidades, que se aplicaría un año después.

El reglamento propuesto se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red, aunque hay algunas excepciones para los productos cuyos requisitos de ciberseguridad ya están establecidos en las normas vigentes de la UE, por ejemplo, los dispositivos médicos, de aviación o ciertos productos del sector de la automoción.

En Bruselas confían en que la nueva ley se convierta en un punto de referencia internacional, como ya lo fue su normativa de privacidad de datos, pues otros países están estudiando cómo abordar esta cuestión, pues como recordaron desde el Ejecutivo comunitario, se calcula que los costes anuales de las filtraciones de datos ascienden al menos a 10.000 millones de euros y los costes anuales de los intentos malintencionados de interrumpir el tráfico en internet ascienden al menos a 65.000 millones.