[ad_1]
Los legisladores de la Unión Europea han propuesto un nuevo conjunto de regulaciones de productos para dispositivos inteligentes, diseñado para obligar a los fabricantes de hardware conectado a Internet, como lavadoras «inteligentes» o juguetes conectados, a prestar mucha atención a la seguridad de los dispositivos.
La Ley de Resiliencia Cibernética de la UE propuesta introducirá requisitos de ciberseguridad obligatorios para los productos que tienen «elementos digitales» vendidos en bloque completo, con requisitos que se aplicarán a lo largo de su ciclo de vida, lo que significa que los fabricantes de dispositivos brindan soporte de seguridad continuo y las actualizaciones deben abordar las vulnerabilidades emergentes: la Comisión anunciado hoy.
El borrador de la regulación también se enfoca en que los fabricantes de dispositivos inteligentes brinden a los consumidores «información suficiente y precisa» para garantizar que los compradores puedan capturar las consideraciones de seguridad en el punto de compra y configurar los dispositivos de manera segura después de la compra.
Las sanciones propuestas por la Comisión por el incumplimiento de los requisitos de ciberseguridad «esenciales» son de 15 millones de euros o el 2,5 % de la facturación global anual, lo que sea mayor, y otras infracciones de la normativa conllevan una multa máxima de 10 millones de euros o el 2 % de la facturación.
El ejecutivo de la UE dijo que la regulación propuesta se aplicará a todos los productos que estén «conectados, ya sea directa o indirectamente, a otro dispositivo o red», con algunas excepciones para productos para los cuales los requisitos de ciberseguridad ya están establecidos en las normas de la UE existentes, como p. aviación y automóviles.
Normas a escala de la UE para la seguridad de los dispositivos inteligentes
En un resumen de las medidas propuestas, basado en un marco regulatorio actualizado de 2008 para la ley de productos de la UE, la Comisión dijo que establecerán:
a) normas para la puesta en el mercado de productos con elementos digitales para garantizar su ciberseguridad;
(b) requisitos esenciales para el diseño, desarrollo y producción de productos con elementos digitales y obligaciones para los operadores económicos relacionados con esos productos;
c) los requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales a lo largo de su ciclo de vida, y las obligaciones de los operadores económicos relacionadas con dichos procesos. Los fabricantes también deben informar activamente las vulnerabilidades e incidentes explotados;
(d) Normas de Vigilancia y Aplicación del Mercado.
«Las nuevas reglas reequilibrarán las responsabilidades hacia los fabricantes que necesitan garantizar el cumplimiento de los requisitos de seguridad de los productos con elementos digitales disponibles en el mercado de la UE», se lee en un comunicado de prensa. «Como resultado, beneficiarán a los consumidores y ciudadanos, así como a las empresas que utilizan productos digitales, al aumentar la transparencia de las características de seguridad y promover la confianza en los productos con elementos digitales, además de garantizar una mejor protección de sus derechos fundamentales, como la privacidad. y protección de datos».
Una pregunta y respuesta de la Comisión sobre la iniciativa también estipula que los fabricantes “se sometan a un proceso de evaluación de la conformidad para demostrar si se han cumplido los requisitos especificados para un producto”. Ella señala que esto podría hacerse «dependiendo de la criticidad del producto en cuestión» a través de la autoevaluación o mediante la evaluación de la conformidad de terceros.
Si se ha demostrado el cumplimiento de los requisitos aplicables, los fabricantes de dispositivos podrían colocar la marca CE de la UE, lo que indica el cumplimiento de los elementos digitales con el Reglamento de seguridad de productos.
El incumplimiento sería manejado por las autoridades de vigilancia del mercado designadas por los Estados miembros, quienes serían responsables de la aplicación, con poderes propuestos no solo para ordenar que cese el incumplimiento, sino también para «eliminar el riesgo» al prohibir o restringir la venta. de un producto su disponibilidad en el mercado. Las autoridades competentes también podrían ordenar que los productos infractores sean retirados o retirados. La presentación de información falsa, incompleta o engañosa a las autoridades reguladoras y supervisoras podría conllevar el riesgo de una multa de hasta 5 millones de euros o el 1 % de la facturación.
En un comunicado, Margrethe Vestager, vicepresidenta ejecutiva de estrategia digital de la Comisión, agregó: «Merecemos sentirnos seguros con los productos que compramos en el mercado único. Así como podemos confiar en un juguete o un refrigerador con una marca CE, la Ley de Resiliencia Cibernética garantizará que los objetos conectados y el software que compramos cumplan con estrictas precauciones de ciberseguridad. La responsabilidad se transfiere a quien corresponde, es decir, a quienes llevan los productos al mercado”.
Los dispositivos inteligentes han sido una gran fuente de historias de terror de seguridad durante años. Aunque ha habido movimientos legislativos anteriores para abordar las vulnerabilidades de seguridad evidentes, como una ley de California de 2018 que prohíbe a los fabricantes establecer contraseñas predeterminadas fáciles de adivinar en los dispositivos.
El Reino Unido también ha estado trabajando en una ley de ‘seguridad por diseño’ para dispositivos conectados durante varios años: se emitió un borrador en 2019 (aunque esta Ley de seguridad de productos, que agrupa disposiciones de seguridad para la infraestructura de telecomunicaciones, todavía está en camino). a través del Parlamento del Reino Unido).
Si bien la UE no es la primera en abordar la seguridad de los dispositivos inteligentes, la UE espera que su enfoque emergente se convierta en un punto de referencia internacional. El comunicado de prensa de la Comisión establece: «Los estándares de la UE basados en la Ley de Resiliencia Cibernética facilitarán su implementación y serán un activo para la industria de ciberseguridad de la UE en los mercados globales».
Sin embargo, todavía queda un largo camino por recorrer antes de que la propuesta pueda convertirse en ley de la UE, ya que el Parlamento Europeo y el Consejo tendrán que examinar el borrador y posiblemente tratar de modificarlo.
La Comisión también ha propuesto un plazo de dos años a partir de la adopción del reglamento para que los fabricantes de dispositivos y los Estados miembros de la UE se adapten al alcance completo de las nuevas normas. Entonces, la regulación probablemente no hará mucho antes de 2025.
Sin embargo, existe un plazo más corto para que los fabricantes deban informar sobre «vulnerabilidades e incidentes explotados activamente», lo que se aplicaría a un año a partir de la fecha de entrada en vigencia de la regulación, ya que la Comisión espera que esta parte sea más fácil de implementar.
[ad_2]