La UE revela su plan para la seguridad de los dispositivos inteligentes

Los legisladores de la Unión Europea propusieron un nuevo conjunto de reglas de productos para aplicar a los dispositivos inteligentes que tiene como objetivo obligar a los fabricantes de hardware conectado a Internet, como lavadoras 'inteligentes' o juguetes conectados, a prestar mucha atención a la seguridad del dispositivo.

La Ley de Resiliencia Cibernética de la UE propuesta introducirá requisitos obligatorios de ciberseguridad para los productos que tienen "elementos digitales" vendidos en todo el bloque, con requisitos que se aplicarán a lo largo de su ciclo de vida, lo que significa que los fabricantes de dispositivos deberán proporcionar soporte de seguridad continuo y actualizaciones para parchear las vulnerabilidades emergentes, la Comisión dijo hoy.

El borrador de la regulación también se enfoca en los fabricantes de dispositivos inteligentes que comunican a los consumidores "información suficiente y precisa" para garantizar que los compradores puedan comprender las consideraciones de seguridad en el punto de compra y configurar los dispositivos de manera segura después de la compra.

Las sanciones propuestas por la Comisión por el incumplimiento de los requisitos de ciberseguridad "esenciales" aumentan hasta 15 millones de euros o el 2,5 % de la facturación anual mundial, lo que sea mayor, y las infracciones de otras obligaciones reglamentarias tienen una sanción máxima de 10 millones de euros o el 2 % de la facturación.

El ejecutivo de la UE dijo que la regulación propuesta se aplicará a todos los productos que estén conectados "ya sea directa o indirectamente a otro dispositivo o red", con algunas excepciones para productos para los cuales los requisitos de ciberseguridad ya están establecidos en las normas de la UE existentes, como los dispositivos médicos. aviación y automóviles.

En un resumen de las medidas propuestas, que se basan en un marco legislativo para la legislación de productos de la UE que se actualizó en 2008, la Comisión dijo que establecerán:

a) normas para la puesta en el mercado de productos con elementos digitales para garantizar su ciberseguridad;

(b) requisitos esenciales para el diseño, desarrollo y producción de productos con elementos digitales, y obligaciones para los operadores económicos en relación con estos productos;

c) los requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y las obligaciones de los operadores económicos en relación con estos procesos. Los fabricantes también deberán informar las vulnerabilidades e incidentes explotados activamente;

d) normas sobre vigilancia del mercado y ejecución.

"Las nuevas reglas reequilibrarán la responsabilidad hacia los fabricantes, quienes deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que están disponibles en el mercado de la UE", escribió en un comunicado de prensa. "Como resultado, beneficiarán a los consumidores y ciudadanos, así como a las empresas que utilizan productos digitales, al mejorar la transparencia de las propiedades de seguridad y promover la confianza en los productos con elementos digitales, así como al garantizar una mejor protección de sus derechos fundamentales, tales como como privacidad y protección de datos".

Una pregunta y respuesta de la Comisión sobre la iniciativa estipula además que los fabricantes se someterían a "un proceso de evaluación de la conformidad para demostrar si se han cumplido los requisitos específicos relacionados con un producto". Señala que esto podría hacerse a través de una autoevaluación o mediante una evaluación de la conformidad de un tercero "dependiendo de la criticidad del producto en cuestión".

Cuando se haya demostrado el cumplimiento de los requisitos aplicables, los fabricantes de dispositivos podrían colocar la marca CE de la UE, que indica la conformidad de los elementos digitales con el reglamento de seguridad del producto.

El incumplimiento estaría a cargo de las autoridades de vigilancia del mercado designadas por los Estados miembros, que serían responsables de la aplicación, con poderes propuestos no solo para ordenar el cese del incumplimiento, sino también para "eliminar el riesgo" prohibiendo la venta de un producto o restringiendo de otro modo su disponibilidad en el mercado. Las autoridades competentes también podrían ordenar que los productos infractores sean retirados o retirados. Mientras que proporcionar información incorrecta, incompleta o engañosa a los reguladores y las autoridades de vigilancia se arriesgaría a recibir una multa de hasta 5 millones de euros o el 1 % de la facturación.

Los dispositivos inteligentes han sido un hervidero de historias de terror de seguridad durante años. Aunque ha habido movimientos legislativos anteriores para tapar brechas de seguridad evidentes, como una ley de California de 2018 que prohíbe a los fabricantes establecer contraseñas predeterminadas fáciles de adivinar en los dispositivos.

El Reino Unido también ha estado trabajando en una ley de 'seguridad por diseño' para dispositivos conectados durante varios años, emitiendo un borrador en 2019 (aunque este proyecto de ley de seguridad de productos, que agrupa las disposiciones de seguridad de la infraestructura de telecomunicaciones, todavía está abriéndose camino a través de la parlamento británico).

A pesar de no ser el primero en dar un golpe en la seguridad de los dispositivos inteligentes, la UE espera que su nuevo enfoque se convierta en un punto de referencia internacional, y el comunicado de prensa de la Comisión sugiere: "Los estándares de la UE basados ​​en la Ley de Resiliencia Cibernética facilitarán su implementación y serán un activo para la industria de la ciberseguridad de la UE en los mercados globales".

Sin embargo, todavía queda un largo camino por recorrer para que la propuesta se convierta en ley de la UE, ya que el Parlamento Europeo y el Consejo deberán examinar el borrador, y es posible que traten de modificarlo.

La Comisión también ha propuesto un plazo de dos años una vez que se adopte el reglamento para que los fabricantes de dispositivos y los Estados miembros de la UE se adapten a la totalidad de las nuevas normas. Por lo tanto, es probable que la regulación no afecte mucho antes de 2025.

Dicho esto, hay un plazo más corto para la obligación de informar a los fabricantes sobre "vulnerabilidades e incidentes explotados activamente", que se aplicaría un año a partir de la fecha de entrada en vigor del reglamento, ya que la Comisión espera que esa parte sea más fácil de implementar. .

La ley de 'seguridad por diseño' de IoT del Reino Unido también cubrirá los teléfonos inteligentes