La norma, que busca elevar el nivel de ciberseguridad de los productos digitales, introduce requisitos obligatorios y proporcionados de ciberseguridad para todo hardware y software. Esto abarca una gama amplia de productos, desde monitores para bebés, relojes inteligentes y juegos de ordenador hasta firewalls y routers. Los productos con diferentes niveles de riesgo asociados tendrán distintos requisitos de seguridad. Se estima que menos del 10% de los productos estarán sujetos a evaluaciones de terceros.

Con esta nueva regulación, todos los productos introducidos en el mercado de la UE deberán ser ciberseguros. Por ello, una vez que la EU Cyber Resilience Act entre en vigor, los fabricantes de hardware y software deberán implementar medidas de ciberseguridad en todo el ciclo de vida del producto, desde su diseño y desarrollo hasta después de su comercialización. Los productos de software y hardware llevarán el marcado CE para indicar que cumplen con los requisitos de la Regulación y, por lo tanto, pueden venderse en el Viejo Continente.

[El 2023 será clave para la ciberseguridad: "Las empresas nunca han estado tan expuestas a los ciberataques"]

El acuerdo alcanzado ahora está sujeto a la aprobación formal tanto del Parlamento Europeo como del Consejo. Una vez adoptado, la EU Cyber Resilience Act entrará en vigor el vigésimo día después de su publicación en el Diario Oficial. Tras su entrada en vigor, los fabricantes, importadores y distribuidores de productos de hardware y software tendrán 36 meses para adaptarse a los nuevos requisitos, con la excepción de un período de gracia más limitado de 21 meses en relación con la obligación de informar de los fabricantes sobre incidentes y vulnerabilidades.

"Al introducir la ciberseguridad desde el diseño, la Ley de Ciberresiliencia contribuirá a proteger la economía europea y nuestra seguridad colectiva", afirma Thierry Breton, comisario de Mercado Interior. "Europa solo será tan fuerte como lo sea su eslabón más débil, sea este un Estado miembro vulnerable o un producto inseguro en la cadena de suministro". 

Qué dice la ley

La Ley de Ciberresiliencia se sitúa como una de las legislaciones más necesarias para garantizar la seguridad digital y limitar las vulnerabilidades de este tipo de artículos, que constituyen una de las principales vías de los ataques. 

Según precisan desde el organismo impulsor, además de ampliar la responsabilidad de los fabricantes al obligarlos a facilitar apoyo de seguridad y actualizaciones de los programas informáticos a fin de eliminar los puntos vulnerables, permitirá a los consumidores tener más información sobre la ciberseguridad de los productos que compren. 

["Europa debe hacer valer sus propias reglas": la soberanía digital será el próximo gran reto legislativo de la región]

"Del mismo modo que podemos confiar en un juguete o un frigorífico con el distintivo CE, la Ley de Ciberresiliencia garantizará que los objetos y programas informáticos conectados que compremos tengan sólidas salvaguardias en materia de ciberseguridad", precisó Margrethe Vestager, vicepresidenta ejecutiva responsable de la cartera de una Europa Adaptada a la Era Digital. 

En concreto, esta normativa, la primera de este tipo en la región comunitaria, incluye normas sobre la introducción en el mercado de productos con elementos digitales para garantizar su ciberseguridad y requisitos en el diseño, desarrollo y fabricación de este tipo de dispositivos, así como obligaciones de los agentes económicos.

Además, suma pautas en materia de procesos de tratamiento de puntos vulnerables establecidos por los fabricantes para asegurar la ciberseguridad de los elementos referidos durante todo su ciclo de vida útil. Así, los fabricantes también tendrán que notificar los puntos vulnerables e "incidentes activamente aprovechados". 

Por último, la normativa incluye reglas sobre el control y la vigilancia del mercado.

En resumen, esta propuesta hace recaer la responsabilidad en los fabricantes, que deberán garantizar que sus productos con elementos digitales que se comercializan en la UE cumplen con los requisitos de seguridad dispuestos por el organismo regulador, garantiza una mayor protección de derechos como la privacidad de cara a los consumidores. 

Desde la Comisión avanzan que esta normativa, probablemente, se convertirá en un texto de referencia internacional, más allá del mercado interior de la Unión Europea. 

Obligados por el contexto

La legislación se enmarca en un contexto en el que el coste anual mundial estimado de la ciberdelincuencia alcanzó los 5,5 billones de euros en 2021 y se contabilizan ataques a las organizaciones a través de programas de secuestro de archivos en todo el mundo cada 11 segundos.

También, se calcula que los costes anuales de las violaciones de la seguridad de los datos ascienden como mínimo a 10.000 millones de euros y los de los intentos malintencionados de perturbar el tráfico en internet, al menos, a 65.000 millones de euros.

De hecho, según un informe de Cybersecurity Ventures, se prevé que los gastos a nivel global de la ciberdelincuencia crezcan un 15% anual entre 2021 y 2025 como consecuencia del "incremento de la superficie de ataque" derivado de los procesos de transformación digital. 

Así, los expertos de ESET, una compañía de software especializada en seguridad online, afirman que las organizaciones, independientemente de su tamaño, "nunca han estado tan expuestas a los ciberataques" como lo están actualmente.

A esto se suma el amplio despliegue de productos inteligentes o conectados, que ha abierto un nuevo punto débil, ya que cualquier problema de ciberseguridad puede incidir en toda la cadena de suministro, que, a su vez, puede derivar en perturbaciones de las actividades económicas y sociales en todo el mercado interior, reducir la seguridad e incluso poner en peligro vidas.