En septiembre de 2022, la Comisión Europea presentó su propuesta para la Cyber Resilience Act (Acta de Ciber Resiliencia o CRA) ante el Parlamento Europeo. El borrador establece una nueva normativa sobre los requerimientos de ciberseguridad para productos con elementos digitales.
La propuesta busca enmendar la legislación vigente en la Unión Europea al respecto. La iniciativa de la Comisión Europea tiene como objetivo reforzar normas de ciberseguridad para garantizar productos de hardware y software más seguros.
Cyber Resilience Act para la ciberseguridad en la Unión Europea
La normativa desarrollada por la Comisión Europea para aumentar la ciberseguridad de los productos digitales tiene un objeto amplio.
El Acta de Ciber Resiliencia se aplica a la producción y comercialización de “todos los productos con elementos digitales cuyo uso previsto y razonablemente previsible incluya una conexión directa o indirecta de datos lógicos o físicos a un dispositivo o red”.
El proyecto no establece explícitamente un ámbito de aplicación territorial.
Según un artículo publicado en Technology’s Legal Edge, esto crea un cierto grado de incertidumbre en cuanto a si las empresas de fuera de la Unión Europea estarían obligadas a cumplir sus disposiciones. De acuerdo a las autoras, el proyecto parece indicar que se pretende la aplicabilidad extraterritorial.
Por su parte, los productos que ya son objeto de otra legislación europea, como los productos sanitarios, están explícitamente excluidos del ámbito de aplicación del proyecto.
A qué productos no se aplicará la Cyber Resilience Act
Javier Tallón detalla que los productos que no se encuentran dentro del alcance de esta propuesta son:
- Componentes pasivos.
- Hardware y software de código abierto que no estén vinculados a aplicaciones comerciales.
- Software libre de código cerrado que no se aplique a una actividad económica.
- Servicios en la nube, si no son servicios auxiliares.
- Sitios web (HTTP), que se centran principalmente en el suministro de información. Estos pueden ser comerciales o gratuitos.
Framework de ciberseguridad de la Unión Europea
Tallón explica que la Cyber Resilience Act (Acta de Ciber Resiliencia) y la Cybersercurity Act (CSA) están diseñadas para ser complementarias.
Así, será más fácil para las empresas evaluar y certificar sus productos bajo los sistemas, esquemas y metodología europeos.
De acuerdo al experto, “la única novedad es que la Comisión Europea está estudiando la posibilidad de exigir para la categoría de productos de mayor riesgo la certificación obligatoria antes de su comercialización utilizando los esquemas del Cybersecurity Act”.
Por qué modificar la legislación europea para mayor ciberseguridad
Según el análisis realizado por el organismo, la mayoría de los productos de hardware y software no están cubiertos actualmente por ninguna legislación de la UE que aborde su ciberseguridad.
Thierry Breton, Comisario de Mercado Interior, remarcó la importancia de contar con una legislación que unifique los esfuerzos particulares en relación a la ciberseguridad.
“En cuanto a la ciberseguridad, Europa es tan fuerte como su eslabón más débil: ya sea un Estado miembro vulnerable o un producto inseguro dentro de la cadena de suministro”, declaró.
¿Qué disposiciones tiene el Acta de Ciber Resiliencia para la Unión Europea?
La propuesta de la Comisión Europea presentada ante el Parlamento establece:
- Reglas para la comercialización de productos con elementos digitales para asegurar su ciberseguridad.
- Requerimientos esenciales para el diseño, desarrollo y producción de productos con elementos digitales. También, obligaciones para los agentes económicos en relación a la ciberseguridad de esos productos.
- Presupuestos mínimos para los procesos de manejo de la vulnerabilidad establecidos por los fabricantes para asegurar la ciberseguridad. Esto es durante todo el ciclo de vida de los productos con elementos digitales.
- Reglas para la vigilancia y asegurar el cumplimiento de las normas.
Garantizar el funcionamiento del mercado interior de la Unión Europea
Los objetivos generales de la norma al interior del mercado europeo son dos. Por un lado, busca crear condiciones para el desarrollo de productos seguros con elementos digitales.
Esto significa garantizar que los productos de hardware y software se comercialicen con menos vulnerabilidades y que los fabricantes se tomen en serio la seguridad a lo largo del ciclo de vida de un producto.
Por otro lado, pretende crear condiciones que permitan a los usuarios evaluar la ciberseguridad al seleccionar y utilizar productos con elementos digitales.
Próximos pasos para el Acta de Ciber Resiliencia
El Parlamento Europeo y el Consejo examinarán la propuesta. Una vez aprobada, los agentes económicos y los Estados miembros dispondrán de dos años para adaptarse a los nuevos requisitos.
La obligación de informar sobre las vulnerabilidades e incidentes explotados activamente se aplicará después de un año.
Por su parte, la Comisión revisará periódicamente la Ley de resiliencia cibernética e informará sobre su funcionamiento
Observaciones al borrador de la Cyber Resilience Act (CRA)
Dada la creciente importancia y exigencia para aumentar la ciberseguridad, la iniciativa fue bienvenida por grupos de interés europeos. A pesar de ello, algunas voces llamaron a prestar especial atención al texto de la ley para presentar a la Comisión Europea cualquier preocupación específica a través de los organismos y asociaciones comerciales pertinentes.
Pohle, Waem y Zirnstein señalan que en el texto, muchas de las disposiciones son vagas y están abiertas a una amplia gama de interpretaciones diferentes. A la vez que advierten “muchas de ellas también corren el riesgo de interferir significativamente en la libertad de las partes interesadas del mercado para llevar a cabo una actividad empresarial”.
Janine Regan y Polina Maloshchinskaia sostienen que muchos de los requisitos esenciales de ciberseguridad simplemente reflejan las buenas prácticas.Sin embargo, destacan que “las obligaciones de información en virtud de la CRA supondrán una carga adicional para las empresas que ya se enfrentan a requisitos de información en virtud de la legislación sobre protección de datos, la Directiva NIS y otra legislación específica del sector”.
Las especialistas advierten que “las obligaciones de información impuestas a los distribuidores e importadores también pueden crear tensión en la cadena de suministro y durante las negociaciones contractuales”.
El compromiso de Brevity con la seguridad de sus usuarios
Brevity utiliza servicios de Google Cloud Platform para toda su arquitectura de servidores y Google Workspace para administrar los recursos de la empresa.
Las medidas de seguridad de Brevity incluyen:
-
Infraestructura de Google Cloud
Las contraseñas en Google Cloud y Google Workspace protegen el acceso a los datos sensibles con herramientas avanzadas como Titan Security Key, a prueba de suplantación de identidad (phishing).
-
Seguridad a nivel Aplicaciones
Brevity cuenta con el servicio de firewall Cloudflare, líder mundial en detección y prevención de ataques a través de la gestión de DNS mutiplataforma. La API de IdentityServer de Brevity se utiliza para autenticar usuarios reales con autenticación basada en servicios que implican la emisión, comprobación y renovación de tokens.
-
Acceso de los usuarios de Brevity
La plataforma de Brevity tiene 4 niveles de acceso de usuarios con permisos y restricciones específicas para cada acción dentro de la plataforma. El control y la asignación de cada rol es administrado por el cliente de Brevity.
-
Detección y prevención de intrusos
Google Workspace adopta las normas criptográficas más recientes para encriptar todos los datos en reposo y en tránsito entre sus instalaciones. Contamos con el servicio de aplicación de firewall de Cloudflare, líder mundial en detección y prevención de intrusos.
Además, Brevity colabora con Strike para fortalecer la seguridad de la plataforma.
¿Gestionás Sociedades?
Ahorrá tiempo y liberá a tu equipo de tareas rutinarias con nuestra plataforma
¡Solicitar demo gratuita! ×