La Ley de Resiliencia Cibernética (CRA), la próxima legislación de la UE para aumentar la seguridad de los productos digitales, está ahora a solo un paso de ser adoptada oficialmente.
Después de días de debate dentro de las instituciones de la UE, el Parlamento Europeo y el Consejo de la UE alcanzaron un acuerdo político sobre la legislación el 3 de diciembre.
Propuesta por primera vez por la Comisión de la UE en septiembre de 2022, la CRA tiene como objetivo introducir requisitos de seguridad para los fabricantes de dispositivos conectados dentro de la Unión.
Las instituciones de la UE ya habían anunciado un acuerdo provisional el 30 de noviembre, donde se informó que alcanzaron un consenso sobre “la mayoría de los aspectos técnicos de la ley”.
Un requisito clave incluido en la CRA es el mandato para que los fabricantes de dispositivos de Internet de las cosas (IoT) y otros objetos conectados informen sobre incidentes cibernéticos graves y vulnerabilidades explotadas activamente que aún no han sido reparadas.
Esta es la primera vez que una ley transversal e independiente del sector impone un requisito de este tipo.
Los fabricantes deberán realizar una evaluación de riesgos para informar qué requisitos de seguridad se aplican a su producto. Tendrán que brindar soporte durante al menos cinco años, a menos que el producto tenga una vida útil esperada más corta.
Cualquier actualización de seguridad proporcionada durante ese período de soporte debe permanecer disponible durante 10 años o el resto del período de soporte, lo que sea más largo.
Los fabricantes podrán autoevaluar su cumplimiento de los requisitos de seguridad mencionados en el texto. Los productos considerados “importantes” o “críticos” requerirán una auditoría de seguridad realizada por una organización certificada.
Algunos de los debates entre las tres instituciones de la UE antes del acuerdo final giraron en torno a los siguientes temas:
-El alcance de los productos afectados
-El requisito de informar a la Agencia Europea de Ciberseguridad (ENISA) o a los equipos locales de respuesta a incidentes de seguridad informática (CSIRT)
-La posibilidad de que los países de la UE reinviertan los ingresos de las sanciones en actividades de desarrollo de capacidades en ciberseguridad
-Exenciones de seguridad nacional
El acuerdo está ahora sujeto a la aprobación formal del Parlamento Europeo y del Consejo. Una vez adoptada, la CRA entrará en vigor el vigésimo día siguiente a su publicación en el Diario Oficial de la UE.
Las organizaciones afectadas por la CRA tendrán 36 meses para adaptarse a los nuevos requisitos, excepto por un período de gracia más limitado de 21 meses relacionado con la obligación de los fabricantes de informar sobre incidentes y vulnerabilidades.