EL Regulación cibernéticaPublicado en la revista oficial de la Unión Europea el 20 de noviembre de 2024, completó un arsenal de textos adoptados el 14 de diciembre de 2022: el Directiva NIS 2 para aliviar las amenazas a las redes y sistemas de información utilizados para proporcionar servicios esenciales en sectores clave (infraestructura de telecomunicaciones, por ejemplo); Allá Directiva (Resiliencia de las entidades críticas) para evitar más efectivamente incidentes que puedan interrumpir la provisión de servicios esenciales (energía, transporte, sector bancario, salud ...) el Regulación de dora (Ley de Resiliencia Operativa Digital), que entrará en vigor el 17 de enero de 2025, para fortalecer y armonizar la gestión de los riesgos vinculados, en entidades financieras, a las tecnologías de información y comunicación (TIC).

Teniendo en cuenta que los usuarios, debido a la falta de información suficiente sobre el nivel de seguridad del producto, no puede tomar decisiones informadas sobre el equipo de hardware y software que utilizan, el legislador europeo se ha llevado a cabo para definir estándares de seguridad mínimos para productos que incluyen elementos digitales y actualizaciones de seguridad durante cinco años después de su mercado.

El nuevo texto europeo se dirige a todos los productos que se conectan directa o indirectamente a otro dispositivo o una red, incluye sus componentes en el mercado por separado (cámaras, relojes, refrigeradores inteligentes ...), excluyendo dispositivos médicos, vehículos terrestres y aéreos y, en general, productos que ya están sujetos a otras regulaciones europeas de seguridad cibernética.

Fabricantes, en la línea del sistema del sistema

Los fabricantes, importadores y distribuidores están en el visor del legislador europeo y bajo el control de las autoridades de supervisión designadas por los Estados miembros.

El fabricante, en la primera línea del sistema, debe asegurarse de que sus productos conectados estén diseñados de conformidad con las restricciones específicas enumeradas en Nnexe 1 del Reglamento; Deben incluir:
- Una configuración de seguridad predeterminada, por ejemplo, una configuración que permite, desde la primera instalación, un cambio de contraseña predeterminado; O parámetros de red limitados a los protocolos seguros predeterminados (HTTPS, WPA3 para Wi-Fi) o funciones no endivas (como el acceso remoto) desactivados por defecto.
- un sistema de actualización que permite la corrección de vulnerabilidades; Por ejemplo, si un firmware detecta vulnerabilidad, una actualización debe descargarse e instalarse automáticamente; También es posible proporcionar que los usuarios estén informados de la actualización a través de una aplicación móvil o un tablero en línea.
- Un sistema de protección contra el acceso no autorizado, que puede dar como resultado un acceso protegido por una autenticación con dos factores (2FA), que requiere una contraseña y un código enviado a un dispositivo autorizado (por ejemplo, una aplicación móvil o un SMS); Cualquier intento de acceso no autorizado podría generar una alerta inmediata enviada al usuario (a través de la aplicación o un correo electrónico).
- Un sistema capaz de proteger la confidencialidad de los datos almacenados, por ejemplo, proporcionando el cifrado de flujos y grabaciones de videos en vivo, tanto durante su transmisión como cuando se almacena en una nube; La configuración de la cámara puede hacer posible desactivar la recopilación de datos no necesarios, como los metadatos de las grabaciones.

Una declaración de cumplimiento obligatorio

El fabricante también debe establecer la declaración de conformidad de la UE para dar fe y proporcionar a los usuarios información sobre la identificación del producto (lote o número de serie), los datos de contacto del fabricante y la fecha de finalización del período de asistencia; También se requiere colocar en el producto un marcado CE y un pictograma o cualquier otra marca que indique el nivel de riesgo cibernético, para permitir a los usuarios elegir el producto de manera ilustrada.

Finalmente, debe garantizar las correcciones para un "período de asistencia" de 5 años mínimo del marketing del producto y notificar a cualquier vulnerabilidad, tan pronto como sepa, en el Centro para la respuesta a los incidentes de seguridad de TI (CSIRT) en cuestión y a la Agencia Europea de Ciberseguridad (ENISA), primero en forma de alerta, luego en forma de informe.

Obligaciones de verificación para el importador y el distribuidor

El importador tiene la obligación de verificar, antes de su marketing, que el producto cumple con los requisitos esenciales de la ciberseguridad y que el fabricante ha implementado suficientes procesos de gestión de vulnerabilidades. Debe obtener del fabricante un conjunto de documentos que justifican su cumplimiento. También debe comunicar sus datos de contacto a los usuarios.
El distribuidor debe proceder a verificar el marcado CE en el producto. También debe asegurarse de que el fabricante y el importador hayan cumplido con algunas de sus obligaciones bajo el acuerdo. En caso de incumplimiento del producto, el importador y el distribuidor deben informar al fabricante y a las autoridades de supervisión del mercado.

Una implementación a finales de 2027

Las infracciones de sus obligaciones exponen al fabricante a 15 millones de euros o 2.5% de su facturación, importadores y distribuidores, a 10 millones de euros o el 2% de su facturación. La provisión de información inexacta a las organizaciones de evaluación y las autoridades de supervisión está sancionada por una multa de hasta 5 millones de euros o el 1% de la facturación. Además, un producto que se considera no complementario o que presente un riesgo puede estar sujeto a restricciones hasta el retiro del mercado. Sin embargo, depende de cada estado miembro determinar sanciones "efectivas, proporcionales y disuasivas" y garantizar su buena aplicación.

Es cierto que las regulaciones cibernéticas no serán completamente aplicables hasta finales de 2027 (3 años después de su entrada en vigor, que entrará en vigencia el 10 de diciembre de 2024). Sin embargo, ciertas disposiciones están destinadas a aplicarse anteriormente. Estos incluyen las reglas relacionadas con la notificación a la Comisión, por parte de los Estados miembros, de las organizaciones de evaluación de cumplimiento que aplicarán 18 meses desde la entrada en vigor de las regulaciones y las obligaciones de los fabricantes en términos de comunicación de la información en el CSIRT y ENISA que aplicarán 21 meses desde la entrada en la fuerza de la regulación. Y sobre todo, ¡la competitividad invita al cumplimiento sin demora!