Aprobada el 12 de marzo de 2024 por el Parlamento Europeo, ya tiene su versión en castellano. Tanto si no has tenido tiempo de revisarla, como si no, te hacemos un pequeño resumen de la misma:
¿Qué regula?
La Ley de Resiliencia Cibernética establece unos requisitos mínimos de ciberseguridad para productos con elementos digitales en la Unión Europea (UE). Este marco jurídico uniforme busca garantizar que estos productos cumplan con estándares esenciales de seguridad antes de llegar al mercado.
¿Por qué es importante?
La ciberseguridad es un desafío crítico para la UE, especialmente con el aumento exponencial de dispositivos conectados. Los ciberataques no solo afectan la economía, sino también la democracia, la salud y la seguridad de los consumidores. Esta ley busca proteger a las personas y las organizaciones de estos riesgos. Es parte de una estrategia más amplia de protección.
¿Cómo lo hace?
La CRA introduce condiciones claras para desarrollar productos digitales más seguros:
- Reducción de vulnerabilidades: Los productos deben ser diseñados y actualizados con un enfoque en la ciberseguridad durante todo su ciclo de vida.
- Transparencia para usuarios: Los consumidores tendrán información sobre el soporte técnico y las actualizaciones de seguridad de los productos.
- Cobertura integral: La regulación incluye soluciones de tratamiento de datos a distancia (por ejemplo, aplicaciones móviles que dependen de servicios en la nube).
Además, cuenta con empresas públicas, como INCIBE, que permiten realizar una labor de estudio, detección y prevención sobre los riesgos en tecnologías que se ofrecen a la ciudadanía.
Ejemplo práctico
Imagina una aplicación para pedir comida a domicilio. Para funcionar, necesita conectarse a servidores en la nube mediante una API, que gestiona solicitudes como mostrar menús o procesar pedidos. Según la CRA, el fabricante de esta app es responsable de la seguridad de toda esta infraestructura, asegurando que los datos estén protegidos tanto en el dispositivo como en el servidor.
¿A quién afecta?
La ley abarca una amplia variedad de productos con elementos digitales:
- Productos de consumo para usuarios vulnerables: Juguetes conectados y sistemas de vigilancia de bebés.
- Productos de consumo críticos: Cerraduras inteligentes, sistemas de alarma y dispositivos médicos ponibles.
Estos son solo algunos ejemplos, pero su cobertura va más allá.
Ahora, lo más importante. ¿Cuál es la diferencia entre la CRA y la NIS2?
¿Qué implica para los fabricantes?
Los fabricantes deben garantizar:
- Diseño seguro: Cumplir con los requisitos esenciales de ciberseguridad desde el desarrollo del producto.
- Protección contra vulnerabilidades: Asegurar la seguridad tanto en conexiones directas como indirectas con otros dispositivos o redes.
- Actualizaciones constantes: Mantener la seguridad del producto a lo largo de su vida útil.
Ley de Ciberresiliencia:
- Objetivo: Asegurar que los productos con elementos digitales sean seguros a lo largo de su ciclo de vida.
- Alcance: Se aplica a una amplia gama de productos con elementos digitales, desde dispositivos IoT (Internet de las Cosas) hasta software y componentes de hardware.
Enfoque: Establece requisitos de ciberseguridad para los fabricantes de estos productos, como el diseño seguro, la gestión de vulnerabilidades y la actualización de software.
Directiva NIS 2:
- Objetivo: Mejorar el nivel general de ciberseguridad en la Unión Europea.
- Alcance: Se aplica a sectores considerados esenciales e importantes para la economía y la sociedad, como energía, transporte, banca, salud, proveedores de servicios digitales, etc.
Enfoque: Establece obligaciones para las entidades de estos sectores, como la gestión de riesgos, la notificación de incidentes y la implementación de medidas de seguridad.
Conclusión
La Ley de Resiliencia Cibernética es un paso esencial para fortalecer la seguridad digital en Europa. Con esta regulación, la UE protege tanto a los consumidores como a las empresas, fomentando un mercado digital más seguro y confiable.
