Por Alejandra Izaguirre Hernandez
El pasado 15 de septiembre, el comisario de Mercado Interior Thierry Breton presentó un proyecto de Ley de Ciberresilencia que afectará tanto al software como a los productos conectados a internet, tales como los smartphones, coches, cámaras… o incluso las neveras modernas. En otras palabras, a los llamados dispositivos IoT.
Esta Ley fue propuesta por la presidenta de la Comisión Europea Ursula von der Leyen en septiembre del año pasado, y más adelante fue lanzada a consulta pública hasta el pasado 25 de mayo con el objetivo de recopilar las opiniones y experiencias para poder incorporar los resultados a la que ahora es la propuesta de Ley.
Desde hacía tiempo se habían detectado dos problemas relativos a estos productos. En primer lugar, el nivel inadecuado de ciberseguridad inherente a muchos de éstos o las inadecuadas actualizaciones de seguridad de dichos productos o de los programas informáticos. En segundo lugar, la incapacidad de los consumidores y las empresas para determinar cuál de los productos presentes en el mercado son ciberseguros, o de qué manera hay que configurarlos para garantizar su ciberseguridad.
Habiendo detectado estos problemas, la Ley pretende:
- armonizar la normativa para la comercialización de productos o programas informáticos con un componente digital
- establecer un marco de requisitos de ciberseguridad que rija la planificación, el diseño, el desarrollo y el mantenimiento de dichos productos, con obligaciones que deben cumplirse en cada etapa de la cadena de valor
- imponer una obligación de cuidado durante todo el ciclo de vida de dichos productos
Esta Ley complementará el marco legislativo ya existente de la Unión, relativa a la ciberseguridad junto a la Ley de Ciberseguridad, a la actual Directiva sobre la seguridad de las redes y los sistemas de información o Directiva NIS,y, en un futuro muy próximo a la Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión o Directiva NIS 2 que la Comisión propuso en diciembre del año 2020 y que derogará a la actual Directiva NIS. Con toda esta legislación, la Unión Europea pretende proteger a los consumidores finales de software y de los dispositivos IoT frente a las ciberamenazas.
Como se señaló, la Ley aún no ha sido aprobada, pero cuando entre en vigor tanto los dispositivos IoT como el software deberán llevar el marcado CE como prueba de que el fabricante ha evaluado el producto y se considera que cumple los requisitos exigidos por la UE. El incumplimiento de estos requisitos podría conllevar a imponer a la empresa infractora multas de hasta 15 millones de euros o un de 2,5 % de los beneficios mundiales que obtenga dicha empresa.