La aplicación de la Ley Europea de Ciberresiliencia requiere reflexión

Aunque necesaria, esta regulación debería ser analizada en detalle, y valorar la capacidad del ecosistema industrial -incluyendo la fabricación, la cadena de suministro y el comercio minorista- para su implantación

Los dispositivos conectados suelen considerarse el eslabón más débil de la ciberseguridad en las organizaciones, y aunque suponen una oportunidad, también se enfrentan a nuevos desafíos. En este sentido, la Unión Europea propone una nueva Ley de Ciberresiliencia para regular el mundo digital con normas comunes de ciberseguridad para cualquier dispositivo conectado o susceptible de ello, a redes de comunicaciones e Internet.

Efectivamente, propuesta por la Comisión Europea en septiembre de 2021, y lanzada a consulta pública el pasado 25 de mayo, la Ley Europea de Ciberresiliencia tiene como objetivo determinar normas de ciberseguridad y procedimientos de evaluación de la conformidad más estrictos para el IoT. Asimismo, busca atender las necesidades del mercado y proteger a los consumidores de los productos inseguros, introduciendo normas comunes de ciberseguridad para los fabricantes y vendedores de productos digitales tangibles e intangibles y servicios auxiliares.

Al respecto de su establecimiento, Ilona Simpson se muestra convencida de que, aunque necesaria, esta regulación debería ser analizada en detalle, y valorar la capacidad del ecosistema industrial -incluyendo la fabricación, la cadena de suministro y el comercio minorista- para su implantación.

“Desde los televisores hasta los relojes, pasando por los frigoríficos, las bombillas o las máquinas de café, parece que ahora todo tiene que estar conectado para ser comercializable. Todos estos dispositivos se suman al entorno del IoT, que crece exponencialmente. El problema es que éste no ha tenido que cumplir ninguna normativa en materia de ciberseguridad, y los ciberdelincuentes lo saben bien, ya que han realizado importantes ataques en el pasado aprovechando, por ejemplo, las máquinas de café para llegar a las redes informáticas de las empresas, a las que las máquinas estaban conectadas.

En consecuencia, son muy necesarias unas normas básicas de ciberseguridad para todos los dispositivos conectados y unos procedimientos de evaluación de la conformidad más estrictos para los productos críticos. Pero esta propuesta plantea muchos interrogantes: si es bueno que los proveedores tengan que evaluar la seguridad de los dispositivos conectados que están a punto de comercializarse, ¿qué pasa con los productos heredados? ¿Y será esto demasiado caro para que los pequeños fabricantes lo hagan de forma reflexiva?

Además, si se van a registrar las vulnerabilidades conocidas en los dispositivos de IoT, habrá que educar a los consumidores y a las empresas para que puedan tomar decisiones fundamentadas basadas en la información sobre las vulnerabilidades y la exposición al riesgo que ofrecen. Por el lado de la oferta, las organizaciones se enfrentarán al reto de no solo tener que diseñar, adquirir, implantar y desplegar una pila tecnológica adecuada; también tendrán que asegurarse de que cuentan con procesos y recursos para operar de forma continuada.

En el pasado, la UE ha favorecido la introducción de este tipo de legislación de una sola vez, con una única fecha de cumplimiento (de la forma en que introdujo el GDPR). Pero mi sugerencia sería aprender de las funciones de tecnología / TI en la industria. Asegurarse de que el objetivo final está claro, pero comenzar con un MVP o un enfoque "piloto". Permitir que todo el mundo aprenda -incluido el propio regulador- iniciándose en una categoría (yo empezaría con los ordenadores de sobremesa/tabletas) o buscando los requisitos mínimos (si es viable).

En general, el reglamento final debe ser claro y muy preciso sobre qué responsabilidades corresponden a cada quién. De hecho, la propuesta actual reza: ‘Se establecerían obligaciones para los agentes económicos, empezando por los fabricantes, hasta los distribuidores e importadores, en relación con la comercialización de productos con elementos digitales, en función de su papel y responsabilidades en la cadena de suministro’; pero la mayor parte de estos elementos operan en ecosistemas de I+D, fabricación y cadena de suministro bastante complejos. Además, el borrador pide un ‘nivel adecuado de ciberseguridad’, lo que no parece lo suficientemente claro y conciso como para no provocar lagunas o que las partes interesadas se culpen unas a otras en el futuro”, concluye Ilona Simpson.