¿Amigo o enemigo? De cualquier manera, la Ley de Resiliencia Cibernética está por llegar- ISMS.online

¿Amigo o enemigo? De cualquier manera, la Ley de Resiliencia Cibernética está por llegar

Por Phil Muncaster • 25 Septiembre 2023

La Comisión Europea tiene en la mira a los vendedores y vendedores de tecnología. Los consumidores y las empresas han estado plagados de software y hardware mal diseñados, diseñados y mantenidos durante demasiado tiempo. Afirma que la economía del cibercrimen es la principal beneficiaria de estas fallas, que según la comisión valieron 5.5 billones de euros (4.7 billones de libras esterlinas) en 2021. La escala del desafío es enorme. El número de nuevas vulnerabilidades de software informado por el gobierno de EE.UU. en 2022 aumentó una cuarta parte anualmente hasta alcanzar 25,096, otro récord más.

La respuesta de la UE es la Ley de Resiliencia Cibernética (CRA). Aunque todavía se está ultimando, algunos han argumentado que sus disposiciones amenazan a la comunidad de código abierto e incluso podrían hacer que el mundo digital sea menos seguro.

¿Qué hay en la CRA?

La CRA tiene como objetivo proteger a los consumidores y empresas que compran productos con un "componente digital". Él busca abordar dos desafíos clave:

Las deficientes medidas de ciberseguridad integradas en muchos productos, incluido el software y los dispositivos conectados, como los monitores inteligentes para bebés, y/o las actualizaciones inadecuadas del software y los dispositivos.
La falta de una “marca de cometa” en toda la industria que podría ayudar a los compradores de tecnología a comprender mejor qué productos son seguros y cómo configurarlos de forma segura.

Con esto en mente, el objetivos de la CRA para:

Armonizar las reglas en todo el bloque para los fabricantes y minoristas que desarrollan/venden productos digitales.
Enumere un conjunto estricto de requisitos de ciberseguridad "que rigen la planificación, el diseño, el desarrollo y el mantenimiento" de estos productos.
Obligar a los fabricantes/revendedores pertinentes a cumplir con el deber de diligencia durante todo el ciclo de vida de los productos digitales.
Implementar una nueva marca CE que indique que los productos cumplen con CRA, incentivando así a los fabricantes y minoristas a priorizar la seguridad y capacitando a los compradores de TI para tomar decisiones mejor informadas.

¿Qué está cubierto y qué se requiere?

Tal y como está, la legislación "se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red, excepto exclusiones específicas, como software o servicios de código abierto que ya están cubiertos por las reglas existentes, como es el caso de los dispositivos médicos, la aviación y los automóviles".

Estos productos se dividen en tres categorías:

Por defecto: Productos de bajo riesgo como juguetes y refrigeradores inteligentes, videojuegos y otros software y dispositivos de uso común, que según la comisión cubren el 90% del mercado. Las empresas deberán realizar una autoevaluación para garantizar que un producto cumpla con los estándares de seguridad pertinentes.

Clase I: Productos de alto riesgo, incluidos Gestión de identidad y acceso. software; navegadores; administradores de contraseñas; herramientas de detección de software malicioso; productos que utilizan VPN; herramientas de configuración, monitoreo y gestión de recursos de gestión de redes; sistemas de gestión de eventos e información de seguridad (SIEM); herramientas de gestión de parches; software de gestión de aplicaciones y dispositivos móviles; software de acceso remoto; microcontroladores; sistemas operativos; cortafuegos; enrutadores y módems; equipos de control industrial; y cualquier IoT industrial no cubierto en la Clase II.

Clase II: Productos de riesgo incluso mayor que la Clase I. Incluye algunos sistemas operativos; cortafuegos; microcontroladores; enrutadores y módems industriales; interruptores; lectores y tarjetas inteligentes; elementos seguros; módulos de seguridad de hardware; contadores inteligentes; detección de intrusiones; componentes de actuadores y sensores de robots; y dispositivos IIoT utilizados por entidades descritas en NIS 2.

Cuando los mismos tipos de productos estén listados en Clase I y II, el nivel correcto se decidirá de acuerdo con factores de riesgo, como si un producto se ejecuta en entornos sensibles NIS 2, se ejecuta con acceso privilegiado, se utiliza para procesar información personal o contiene una vulnerabilidad. que podría afectar a una “pluralidad” de personas; o si ya ha causado efectos adversos.

El anexo I describe los requisitos de seguridad para los fabricantes de productos digitales. Ellos deberían:

Estar diseñado, desarrollado y producido para garantizar un nivel de seguridad "apropiado"
Ser entregado libre de vulnerabilidades explotables conocidas
Entregarse con configuración segura por defecto
Garantizar la protección contra el acceso no autorizado
Proteger la confidencialidad e integridad de los datos personales y de otro tipo.
Procese solo la cantidad mínima de datos necesarios
Proteger la disponibilidad de funciones esenciales, como por ejemplo de ataques DDoS
Ser diseñado, desarrollado y producido para limitar las superficies de ataque y reducir el impacto de los incidentes.
Supervisar la actividad interna para proporcionar información relevante relacionada con la seguridad.

El Anexo I también proporciona una larga lista de requisitos para el manejo de vulnerabilidades, incluido que los fabricantes documenten y aborden y remedien las vulnerabilidades sin demora, prueben periódicamente la seguridad del producto y divulguen públicamente información sobre cualquier error que corrijan. La CRA también exige que los desarrolladores apliquen políticas de divulgación de vulnerabilidades, compartan información sobre errores, proporcionen una forma de distribuir actualizaciones de seguridad y lo hagan sin demora y de forma gratuita.

Requisitos de informes y conformidad

Si bien los fabricantes de la clase predeterminada pueden autoevaluar efectivamente si un producto está listo para el mercado, los de la Clase I deben someterse a una evaluación de conformidad de terceros o aplicar normas armonizadas. Alternativamente, podrían aplicar esquemas europeos de certificación de ciberseguridad a sus productos. Los de Clase II deben pasar por una evaluación de conformidad de un tercero.

La CRA también exige que los fabricantes notifiquen a la agencia de seguridad ENISA dentro de las 24 horas siguientes a tener conocimiento de una vulnerabilidad o incidente de seguridad explotado activamente. Los importadores y distribuidores también deben informar sin demora a los fabricantes de cualquier nuevo error y, en caso de riesgos graves, a las autoridades nacionales de vigilancia del mercado.

¿Podría un SGSI ayudar a los fabricantes?

Con sanciones por incumplimiento fijadas en 15 millones de euros o el 2.5% de la facturación anual, todas las organizaciones incluidas en el alcance deben considerar cómo se adaptan al nuevo régimen. El socio de Hunton Andrews Kurth, David Dumont, cuenta SGSI.online Es posible que las organizaciones de algunos sectores, como los fabricantes de dispositivos médicos de IoT, ya tengan una ventaja debido a las exigencias regulatorias existentes. Su colega del bufete de abogados, Sarah Pearce, añade que las organizaciones que cumplen plenamente con GDPR, que exige “controles de seguridad sólidos y políticas y procedimientos relacionados”, debería considerar que el cumplimiento de la CRA es “alcanzable con ajustes limitados”.

Sin embargo, puede que no todo sea fácil.

"El cumplimiento de condiciones estrictas para la introducción y mantenimiento de productos digitales en el mercado de la UE puede generar costes adicionales", advierte Dumont. "Cualquier costo de cumplimiento adicional de este tipo puede dificultar que las pequeñas y medianas empresas compitan en el mercado digital y puede obstaculizar el avance tecnológico".

Aquí es donde un Sistema de gestión de seguridad de la información (SGSI) podría ayudar al respaldar el cumplimiento de la norma ISO 27001 y los controles, políticas y procedimientos sólidos exigidos por el RGPD citados por Pearce.

"Existe una superposición entre las normas de ciberseguridad europeas e internacionales existentes, como la ISO 27001, y algunos de los requisitos clave de ciberseguridad de la CRA", explica Dumont. "Las empresas que cumplan con los estándares existentes podrán aprovechar esto al abordar el cumplimiento de la CRA".

¿Cuáles son los posibles problemas?

Algunos han acogido con satisfacción el intento de la comisión de mejorar la seguridad básica y la transparencia entre los productos tecnológicos. El CTO de Veracode EMEA, John Smith, lo describe como una "ley histórica".

"No sólo aporta más transparencia a un área que a menudo es opaca, sino que también anima a los vendedores, fabricantes y minoristas de software a aumentar la ciberseguridad de los productos que venden, además de ayudar a los compradores a seleccionar fácilmente productos que sean sólidos", añade. "Con suerte, esto incentivará a las organizaciones a ir más allá de los requisitos obligatorios y poner la seguridad en un lugar más alto en la agenda".

Sin embargo, otros tienen serias preocupaciones. Grupo de derechos sin fines de lucro el Electronic Frontier Foundation destaca dos implicaciones potencialmente graves si la CRA se aprueba en su forma actual:

Fuente abierta: Cualquier desarrollador de código abierto que solicite donaciones o cobre por servicios de soporte para su software es responsable de los daños y perjuicios si su “producto” contiene un error que se infiltra en otros productos. Dada la naturaleza compleja e interconectada del código abierto cadena de suministro de software, esto podría tener un efecto paralizador en la industria y obligar a los desarrolladores a abandonar la región por completo.

Divulgación de vulnerabilidad: En primer lugar, el plazo muy corto (24 horas) para informar nuevas vulnerabilidades a ENISA podría fomentar soluciones rápidas pero “superficiales” que no abordan la causa raíz de los problemas. En segundo lugar, ENISA informa posteriormente a los equipos de respuesta a incidentes de seguridad informática (CSIRT) de los Estados miembros y a las autoridades de vigilancia del mercado. A la EFF le preocupa que los piratas informáticos del gobierno puedan explotar esta información sobre vulnerabilidad y/o filtrarla a la comunidad de delitos cibernéticos.

Desafortunadamente, no parece que los legisladores presten atención a estas preocupaciones.

“Con el innegable aumento de los ciberataques en los últimos años, con un enorme impacto económico y social, la necesidad de alguna intervención gubernamental es clara y podría decirse que supera esas preocupaciones”, concluye Pearce.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster