Todos los dispositivos electrónicos, productos y software que contienen un componente digital deben ser seguros, es decir, nuestra privacidad y la seguridad de nuestra información debe estar protegida y garantizada. Conscientes de los riesgos actuales, la Comisión Europea ha presentado una propuesta de Ley de Resiliencia Cibernética, conocida como Cyber Resilience Act.
La propuesta, en forma de Reglamento, impone a los fabricantes y minoristas una serie de requisitos obligatorios en materia de ciberseguridad que se extenderían a lo largo del ciclo de vida del producto. La lectura que ha de hacerse de ello es que, si se advierte necesaria una norma para regular esto, es evidente que los dispositivos que usamos a diario no son seguros, y ciertamente no lo son.
En la actualidad, el problema es doble. Por un lado, el nivel de ciberseguridad de muchos dispositivos, productos y actualizaciones de seguridad y software asociados a estos son inadecuados por insuficiencia u obsolescencia. Por otro, es manifiesta la incapacidad de las empresas y consumidores para determinar qué productos son seguros, con el añadido de que no son fáciles de configurar.
La Ley de Resiliencia Cibernética propuesta garantizaría:
- La armonización de la normativa asociada a la comercialización de productos y software con un componente digital.
- Un marco de requisitos de ciberseguridad que rija la planificación, el diseño, el desarrollo y el mantenimiento de dichos productos con obligaciones que deben cumplirse en cada etapa de la cadena de valor.
- Una obligación de proporcionar un deber de cuidado durante todo el ciclo de vida de dichos productos.
El reglamento complementaría a la Directiva sobre la seguridad de las redes y los sistemas de información. La norma se aplicaría a todos los productos conectados directa o indirectamente a otro dispositivo o a la Red, salvo exclusiones específicas, como software de código abierto o servicios que ya están cubiertos por las normas existentes, como es el caso de los dispositivos médicos, la aviación y los automóviles.
Es más que probable que la imposición de nuevas obligaciones a los fabricantes se traduzca en mayores costes de producción, que se repercutirán a los consumidores, pero es preferible pagar un poco más a cambio de estar protegidos.
La pelota está en el tejado del Parlamento Europeo y del Consejo, que deberán deliberar sobre la propuesta de la Comisión. Esperemos que salga adelante y se aplique pronto.
—
Actualización (17.04.2023)
Un grupo formado por instituciones representativas de la comunidad de software de código abierto ha enviado una carta abierta a la Comisión Europea, al Parlamento Europeo y al Consejo expresando su preocupación por el efecto paralizante que tendría sobre la comunidad «open source» la propuesta de Ley de Ciberseguridad en caso de implementarse tal y como está redactada.
Los firmantes instan a las referidas instituciones a:
- Reconocer las características únicas del software de código abierto y asegurarse de que la Ley de Resiliencia Cibernética no dañe involuntariamente el ecosistema de código abierto.
- Consultar a la comunidad de código abierto durante el proceso legislativo.
- Contemplar la diversidad de prácticas de desarrollo de software de fuentes abiertas y transparentes.
- Establecer un mecanismo para el diálogo y la colaboración continuos entre las instituciones europeas y la comunidad de código abierto para garantizar que la legislación futura y las decisiones políticas estén informadas.