Cómo cumplir con la nueva Ley de Ciberresiliencia de la UE

La regulación del Reino Unido rara vez se adelanta a la de la UE. Sin embargo, eso es precisamente lo que sucedió en abril de 2024, cuando el Infraestructura de telecomunicaciones y seguridad de productos del Reino Unido La Ley de Seguridad y Tecnología de la Información (PSTI), que regula los dispositivos conectados, se convirtió en ley. Sin embargo, lo que la PSTI logró en velocidad, lo perdió en alcance. La versión de la UE, la Ley de Resiliencia Cibernética (CRA), es mucho más amplia y detallada y establecerá un alto estándar de cumplimiento, exigiendo un enfoque riguroso para la gestión del riesgo cibernético.

En un nivel superior, la CRA está diseñada para mejorar la seguridad y la fiabilidad de la tecnología conectada y facilitar a los compradores la distinción entre productos de alta calidad gracias a un sistema de marcado de calidad. Con sanciones de hasta 15 millones de euros o el 2.5% de la facturación anual, el incumplimiento no es una opción, y para las empresas del Reino Unido que deseen acceder al vasto mercado de la UE, es una obligación. Afortunadamente, el cumplimiento de las normas de seguridad de mejores prácticas, como la ISO 27001, hará gran parte del trabajo pesado.

¿Qué cubre?

La CRA se aplica a:

• Productos con elementos digitales (PDE), es decir, software o hardware capaz de conectarse a un dispositivo o red.
• Soluciones de “procesamiento remoto de datos” de una PDE
• Componentes de software o hardware de una PDE que se comercializan por separado

En la práctica, esto significa una amplia gama de productos, incluidos dispositivos inteligentes como teléfonos inteligentes, tabletas, computadoras, televisores y refrigeradores, dispositivos portátiles e incluso juguetes para niños. Algunas categorías de productos, como dispositivos médicos y vehículos, que ya están regulados, aún no están cubiertos por la CRA.

¿Qué es lo que hay que hacer?

La legislación se aplicará a los fabricantes, sus representantes autorizados, importadores, distribuidores y minoristas. La mayor parte de la carga de cumplimiento recaerá sobre los fabricantes, que deberán:

• Evaluar los riesgos de ciberseguridad de PDE y garantizar que los productos estén diseñados y fabricados de conformidad con los requisitos esenciales de ciberseguridad (ECR) de la CRA.
• Asegúrese de que los componentes obtenidos externamente no comprometan la seguridad del PDE
• Documentar y corregir vulnerabilidades de manera oportuna
• Proporcionar soporte de seguridad durante cinco años o durante la vida útil del producto (lo que sea más corto)
• Notificar a la agencia de seguridad de la UE, ENISA, dentro de las 24 horas siguientes a tener conocimiento de la explotación activa de una vulnerabilidad u otro incidente de seguridad, con información sobre las medidas correctivas
• Proporcionar información detallada sobre cómo instalar actualizaciones de productos, a quién informar sobre vulnerabilidades y otros detalles del fabricante.
• Establecer un proceso de evaluación de la conformidad para verificar el cumplimiento de la CRA

Los importadores deberán tener en cuenta lo anterior para cumplir con sus obligaciones de garantizar que solo se vendan en la UE PDE que cumplan con las normas. La CRA tiene una lista extensa de ECR enumerados en el Anexo I de la legislación, que están diseñadas para ser abiertas en lugar de centrarse en los detalles a fin de mantener su relevancia a medida que evoluciona la tecnología. Incluyen requisitos para que las PDE sean:

• Producido libre de vulnerabilidades explotables conocidas y con una configuración segura por defecto
• Diseñado y fabricado con niveles “adecuados” de ciberseguridad incorporados y de una manera que reducirá el impacto de los incidentes de seguridad.
• Capaz de proteger contra el acceso no autorizado con autenticación fuerte
• Capaz de proteger la confidencialidad de la información almacenada, transmitida o procesada, por ejemplo mediante cifrado.
• Conforme a los principios de minimización de datos
• Diseñado y producido con una superficie de ataque limitada.
• Diseñado para garantizar que las vulnerabilidades se puedan corregir mediante actualizaciones de productos, de forma automática cuando sea posible.
• Producido junto con una política de divulgación de vulnerabilidades

Es hora de planificar

John Moor, director de la IoT Security Foundation (IoTSF), explica que si bien todavía no es momento de entrar en pánico, los fabricantes deberán comenzar a colaborar con sus cadenas de suministro para determinar cómo los nuevos productos cumplirán con la CRA.

“Los productos que se comercializan están fuera del alcance por ahora, pero es posible que necesiten un plan de fin de vida útil”, comenta a ISMS.online. “Aunque el plazo es de aproximadamente 36 meses, algunas disposiciones se implementarán antes. Los fabricantes de productos deberán cumplir con las normas en esa fecha y, dado que todos los integrantes de la cadena de suministro deben asumir la responsabilidad, eso indica que es necesario planificar con anticipación”.

Además de trabajar con estos socios de la cadena de suministro, los fabricantes también deberían evaluar si los procesos internos son adecuados desde una perspectiva de gestión de riesgos y vulnerabilidad, argumenta Moor.

“Luego llegamos al producto en sí. Aquí es donde entran en juego las prácticas de seguridad y privacidad por diseño. Muchos fabricantes ya estarán familiarizados con estos elementos más allá de las consideraciones tradicionales de funcionalidad, rendimiento y consumo de energía”, afirma. “¿Dónde pueden obtener ayuda? Consultores, laboratorios de pruebas y organizaciones como IoTSF. Nos creamos en 2015 y pudimos ver hacia dónde se dirigía el mundo. Por lo tanto, hemos anticipado lo que se avecinaba y hemos incorporado consejos, procesos y metodologías en nuestras guías y herramientas”.

Cómo puede ayudar la ISO 27001

Teniendo en cuenta los extensos y exigentes requisitos de cumplimiento de la CRA, las organizaciones también pueden beneficiarse de seguir las normas de mejores prácticas ya establecidas que son relevantes para la ley. Moor dice que las normas de desarrollo de productos ISO/SAE 21434 para automoción e IEC/ISA 62443 para sistemas de control industrial son probablemente las más relevantes. Sin embargo, otros expertos también dicen que existe cierta superposición con la ISO 27001.

Adam Brown, consultor de seguridad gerencial en Pato negro, le dice a ISMS.online que podría sentar una “buena base” para las empresas tecnológicas del Reino Unido que estén considerando la CRA.

“El enfoque sistemático de la norma ISO 27001 para la gestión de riesgos, el desarrollo seguro, la seguridad de la cadena de suministro, la respuesta a incidentes y la gestión del ciclo de vida cubre muchas de las mismas áreas que enfatiza la CRA. Sin embargo, la norma ISO 27001 está orientada a la seguridad organizacional, mientras que la CRA está orientada a productos individuales”, añade.

“Las organizaciones que han pasado por la acreditación ISO comprenderán la evaluación de riesgos; la CRA también exige una evaluación de riesgos exhaustiva por producto. Seguridad por diseño y por defecto: el Anexo 1(h) de la CRA exige que los productos se diseñen, desarrollen y produzcan para limitar las superficies de ataque, incluidas las interfaces externas. Asimismo, el Anexo A.27001 de la ISO 14 trata sobre el desarrollo y el soporte seguros para los sistemas de información, incluida la integración de la seguridad en todo el ciclo de vida del desarrollo de software”.

La buena noticia es que alinearse con la norma ISO 27001 no solo preparará a los fabricantes para el éxito en el cumplimiento de la CRA. También puede ayudar a crear una base segura para una serie de otras regulaciones y requisitos de la industria, desde NIS 2 hasta el RGPD. Tal vez sea el momento de echarle un vistazo.