IoT: Europa prepara reglas de ciberseguridad para dispositivos inteligentes IoT, con grandes multas adjuntas

La Comisión Europea establece nuevas reglas que rigen la ciberseguridad de todos los dispositivos conectados a la red vendidos en la UE.

La Comisión Europea ha propuesto una legislación de resiliencia cibernética que podría conducir a etiquetas de ciberseguridad y sanciones para los fabricantes de dispositivos con características y prácticas de ciberseguridad de mala calidad.

La ley propuesta cubre el hardware y software de “productos con elementos digitales” vendidos en la Unión Europea y conectados a cualquier red.

La propuesta de la Ley de resiliencia cibernética (CRA) cubre la mayoría de los dispositivos conectados a la red, excepto los dispositivos médicos para uso humano, y excluye el “software gratuito y de código abierto desarrollado o suministrado fuera del curso de una actividad comercial”. Lo que describe como “sistemas de inteligencia artificial de alto riesgo” y los sistemas de registros médicos electrónicos entran dentro del alcance.

Entre otros requisitos, una vez vendidos, los fabricantes deben asegurarse de que durante la vida útil esperada del producto o durante un período de cinco años (el que sea más corto), las vulnerabilidades de seguridad se “manejen de manera efectiva”.

Los fabricantes de dispositivos deberán informar las vulnerabilidades explotadas activamente a la autoridad europea de seguridad cibernética ENISA dentro de las 24 horas posteriores a su conocimiento, así como informar inmediatamente a los usuarios.

La CRA tiene como objetivo cerrar las brechas en la legislación actual de la UE y complementar la Red y los Sistemas de Información existentes (Directiva NIS), la Directiva NIS 2 recientemente adoptada (que cubre SaaS y proveedores de nube) y la Ley de Ciberseguridad de la UE.

“Cuando se trata de ciberseguridad, Europa es tan fuerte como su eslabón más débil: ya sea un Estado miembro vulnerable o un producto inseguro a lo largo de la cadena de suministro”, dijo Thierry Breton, comisario de Mercado Interior.

Breton dijo que cientos de millones de computadoras, teléfonos, electrodomésticos, dispositivos de asistencia virtual, automóviles y juguetes son un punto de entrada potencial para un ataque cibernético. “Y, sin embargo, hoy en día la mayoría de los productos de hardware y software no están sujetos a ninguna obligación de ciberseguridad. Al introducir la ciberseguridad por diseño, la Ley de Resiliencia Cibernética ayudará a proteger la economía de Europa y nuestra seguridad colectiva”.

Una vez que entre en vigor, los fabricantes tendrán 24 meses para cumplir. Para entonces, el software y los dispositivos conectados deberán llevar la marca CE para indicar el cumplimiento de los nuevos estándares de ciberseguridad. Las autoridades nacionales podrán imponer multas de hasta 15 millones de euros (15 millones de dólares) o hasta el 2,5 % de la facturación anual mundial de la empresa durante el ejercicio fiscal anterior, lo que sea mayor.

La UE planea calificar diferentes productos como Clase II o Clase I según los impactos negativos que pueda tener un incidente cibernético. La clase I incluye una gama de hardware y software de seguridad. La clase II incluye todo, desde sistemas operativos hasta procesadores, enrutadores, tarjetas inteligentes, dispositivos IoT, sensores robóticos y sistemas de control y automatización industrial.

También requerirá que los fabricantes tengan una “política coordinada de divulgación de vulnerabilidades” que especifique cómo se envían los informes de terceros y permite programas de recompensas por vulnerabilidades.

Las empresas importadoras también deben asegurarse de que los productos vendidos en la UE cumplan con la CRA, tengan marcas CE y proporcionen sus datos de contacto en los productos. Deberán conservar la documentación de conformidad del producto durante 10 años después de venderlo.

El Parlamento Europeo y el Consejo tendrán que examinar ahora el proyecto de CRA y votar su texto final. Una vez adoptado, los fabricantes y los estados miembros tienen dos años para adaptarse a los nuevos requisitos.

Fuente: https://www.zdnet.com/article/iot-europe-readies-cybersecurity-rules-for-smart-devices-with-big-fines-attached/