13 marzo 2024
Ciberseguridad
-(1).jpg?ext=.jpg)
También puedes escuchar este post en audio, ¡dale al play!
El pasado 15 de septiembre 2022, se publicó el texto de la propuesta para una nueva Ley de Resiliencia Cibernética (Cyber Resilience Act: CRA), cuyo objetivo se centra en las características de seguridad a lo largo de todo el ciclo de vida de aquellos productos hardware o software que tengan conexión de forma directa o indirecta a otro dispositivo o red (a excepción de software gratuito y de código abierto desarrollado o suministrado fuera del curso de una actividad comercial o aquellos a los que ya les aplica otra normativa de seguridad existente, tales como los dispositivos médicos, de aviación o de los automóviles). Esta nueva legislación no aplicará a servicios, tales como SaaS, a menos que sean una parte auxiliar de un producto, en el sentido de que su ausencia impediría que dicho producto con elementos digitales desempeñara alguna de sus funciones. Para los servicios en general ya está la directiva NIS.
Con esta nueva legislación, la primera de esta índole en Europa, se pretende seguir avanzando en la mejora de la ciberseguridad, en este caso limitando los puntos vulnerables en productos digitales, una de las entradas para los ciberataques. Al estar los productos digitales cada vez más conectados, un ataque puede progresar a toda la cadena de suministro, con el consiguiente impacto, ya no solo económico, sino incluso poniendo en peligro vidas humanas, sobre todo si hablamos de infraestructuras que proveen servicios esenciales o críticos como Utilities (agua, transporte, energía).
Estos requisitos y obligaciones esenciales obligarían a los fabricantes a tener en cuenta la ciberseguridad en el diseño, desarrollo y producción de los productos con elementos digitales, transparencia en los aspectos de ciberseguridad que deben dar a conocer a sus clientes, garantizar el soporte de seguridad (actualizaciones) de manera proporcionada y cumplir con los requisitos de gestión de vulnerabilidades. Con ello se persigue mejorar el conocimiento de los consumidores sobre si un producto es ciberseguro o sobre la configuración segura de estos.
Así pues, la propuesta de Reglamento establece:
Los requisitos que deberán cumplir los productos con elementos digitales se dividen en dos:
1. Requisitos relativos a las propiedades del producto en sí, tales como:
2. Requisitos relativos a la gestión de vulnerabilidades:
En aras de aplicar el principio de proporcionalidad, por un lado se introduce el concepto de producto crítico, en función del impacto que una posible vulnerabilidad de ciberseguridad pueda tener y, por otro, y como no podía ser de otra forma, también se tiene en cuenta el riesgo asociado al uso previsto del dispositivo en entornos sensibles, tales como los entornos industriales.
Los productos críticos con elementos digitales estarán sujetos a procedimientos específicos de evaluación de la conformidad y se dividirán en clase I y clase II (en función de su nivel de riesgo de ciberseguridad, correspondiéndose la clase II con un riesgo mayor). En cada una de estas clases hay varias categorías y se prevé que se especifiquen categorías de productos muy críticos para los cuales los fabricantes deberán obtener un certificado europeo de ciberseguridad, como prueba de conformidad con los requisitos esta legislación y en el marco de un sistema europeo de certificación de ciberseguridad. La determinación del riesgo asociado a las categorías estará relacionada con una serie de criterios, entre otros, la utilización del producto en entornos de entidades esenciales afectadas por la nueva directiva NIS (NIS2) o relevante para la resiliencia de la cadena de suministro general de productos con elementos digitales frente a eventos disruptivos.
Así pues, cuando el reglamento propuesto entre en vigor, el software y los productos conectados a Internet podrán llevar la marca CE para indicar que cumplen con los nuevos estándares.
El reglamento propuesto anunciado en la Estrategia de Ciberseguridad de la UE de 2020 complementaría otra legislación de seguridad, específicamente el Marco NIS2 (que en el caso de las entidades financieras se traduce en el reglamento de resiliencia operativa digital, DORA) y la Ley de Ciberseguridad.
En particular, este nuevo Reglamento, al aplicarse a los productos de hardware y software conectables, también tiene como objetivo facilitar el cumplimiento de requisitos de la cadena de suministro que se requieren en NIS2, al garantizar que los productos con elementos digitales que utilizan para la prestación de los servicios se desarrollen de forma segura y que tengan acceso a las actualizaciones de seguridad necesarias para dichos productos.
A partir de ahora el Parlamento Europeo y el Consejo deliberarán sobre el texto y se prevé que haya un acuerdo para el primer trimestre de 2024. Posteriormente a la aprobación entrará en vigor y a partir de ahí, los afectados tendrán 24 meses para adaptarse a los nuevos requisitos, con la excepción de la obligación por parte de los fabricantes de notificar las vulnerabilidades e incidentes explotados activamente, que aplica a partir de los 12 meses desde la entrada en vigor.
Babel, como empresa especializada en ofrecer servicios de ciberseguridad en general y de ciberseguridad industrial (OT) en particular, estará atenta al progreso de esta iniciativa para tenerla en cuenta en sus servicios de análisis y mejora de la ciberseguridad, asesoría, auditorías, infraestructura de ciberseguridad y servicios de monitorización y respuesta ante incidentes entre otros.
Entre otros servicios, asesoraremos a nuestros clientes sobre los requisitos de ciberseguridad que deberán exigir a sus proveedores de productos afectados por esta normativa, prestaremos soporte para verificar si los productos adquiridos cumplen dichos requisitos y les resolveremos dudas relativas a sus derechos frente a sus proveedores de estos productos y a las obligaciones de los fabricantes. Asimismo, en los servicios de soporte al compliance para afectados por NIS, se tendrán en consideración la aplicación de este nuevo reglamento en el ámbito de los dispositivos afectados.
De esta forma nuestros clientes podrán tener la tranquilidad de que los productos y soluciones de los que dispongan estén alineados con los requisitos legales y, por ende, además de cumplirlos, tenga las garantías de la mejora de la eficacia que se persigue con ellos.
Con esta nueva legislación, la primera de esta índole en Europa, se pretende seguir avanzando en la mejora de la ciberseguridad, en este caso limitando los puntos vulnerables en productos digitales, una de las entradas para los ciberataques. Al estar los productos digitales cada vez más conectados, un ataque puede progresar a toda la cadena de suministro, con el consiguiente impacto, ya no solo económico, sino incluso poniendo en peligro vidas humanas, sobre todo si hablamos de infraestructuras que proveen servicios esenciales o críticos como Utilities (agua, transporte, energía).
Qué requisitos incluirá la nueva legislación y a quiénes aplican
Esta legislación introduce requisitos para fabricantes, importadores y distribuidores que participen en la cadena de suministro, de forma que todos los productos con elementos digitales solo estén disponibles en el mercado si, debidamente suministrados, correctamente instalados, mantenidos y utilizados, cumplen con los requisitos esenciales de ciberseguridad establecidos en este nuevo Reglamento.Estos requisitos y obligaciones esenciales obligarían a los fabricantes a tener en cuenta la ciberseguridad en el diseño, desarrollo y producción de los productos con elementos digitales, transparencia en los aspectos de ciberseguridad que deben dar a conocer a sus clientes, garantizar el soporte de seguridad (actualizaciones) de manera proporcionada y cumplir con los requisitos de gestión de vulnerabilidades. Con ello se persigue mejorar el conocimiento de los consumidores sobre si un producto es ciberseguro o sobre la configuración segura de estos.
Así pues, la propuesta de Reglamento establece:
- Normas para la comercialización de productos con elementos digitales para garantizar la ciberseguridad de dichos productos.
- Requisitos esenciales para el diseño, desarrollo y producción de productos con elementos digitales y obligaciones de los operadores económicos en relación con estos productos con respecto a la ciberseguridad.
- Requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida y las obligaciones de los operadores económicos en relación con estos procesos.
- Normas sobre vigilancia del mercado y aplicación de esta normas y requisitos.
Los requisitos que deberán cumplir los productos con elementos digitales se dividen en dos:
1. Requisitos relativos a las propiedades del producto en sí, tales como:
- Orientación a riesgos: planificación, diseño, desarrollo, producción, entrega y mantenimiento de estos productos de forma que garantice un nivel adecuado de ciberseguridad en función de los riesgos, ayudando así a la prevención de ciberincidentes y minimizando sus impacto.
- Ausencia de vulnerabilidades: entrega del producto sin vulnerabilidades explotables conocidas.
- Otros requisitos sobre la base de evaluación de riesgos:
- Configuración segura por defecto.
- Protección contra el acceso no autorizado mediante mecanismos de control apropiados.
- Protección de la confidencialidad de los datos almacenados, transmitidos o procesados, por ejemplo cifrando los datos relevantes mediante mecanismos de última generación.
- Protección de la integridad de los datos almacenados, transmitidos o procesados de otra forma, personales o de otro tipo, comandos, programas y configuraciones contra cualquier manipulación o modificación no autorizada por el usuario, así como informar sobre corrupciones.
- Minimización de datos, es decir, procesar solo datos, personales o de otro tipo, que sean adecuados, relevantes y limitados a lo necesario en relación con el uso previsto del producto.
- Protección de la disponibilidad de las funciones esenciales, incluida la resiliencia y la mitigación de los ataques de denegación de servicio.
- Minimización del propio impacto negativo que el producto pueda tener en la disponibilidad de los servicios asociados a otros productos o redes.
- Diseño, desarrollo y producción orientado a: limitar las superficies de ataque (incluidas las interfaces externas), reducir el impacto de un incidente utilizando mecanismos y técnicas de mitigación de explotación apropiados.
- Registro y monitorización de la actividad interna relevante incluyendo los accesos o la modificación de datos, servicios o funciones.
- Garantía de que las vulnerabilidades puedan abordarse mediante actualizaciones de seguridad, incluso, cuando corresponda, mediante actualizaciones automáticas y la notificación de actualizaciones disponibles a los usuarios.
2. Requisitos relativos a la gestión de vulnerabilidades:
- Identificación y documentación de las vulnerabilidades y los componentes contenidos en el producto, abordando las vulnerabilidades sin demora y proporcionando actualizaciones de seguridad si fueses preciso.
- Realización de pruebas y revisiones efectivas y periódicas de la seguridad del producto.
- Divulgación publica de la información sobre vulnerabilidades corregidas (una vez que se haya puesto a disposición una actualización de seguridad), incluyendo la descripción de las vulnerabilidades, la información que permita a los usuarios identificar el producto con elementos digitales afectados, los impactos de las vulnerabilidades, su gravedad y toda información que ayude a los usuarios para remediar las vulnerabilidades. Para ellos, se requerirá también del establecimiento y cumplimiento de una política sobre divulgación coordinada de vulnerabilidades.
- Adopción de medidas para facilitar el intercambio de información sobre vulnerabilidades potenciales en su producto, así como en componentes de terceros contenidos en ese producto, incluso proporcionando una dirección de contacto para informar sobre las vulnerabilidades descubiertas en el producto con elementos digitales elementos;
- Mecanismos para distribuir de forma segura actualizaciones de productos para las vulnerabilidades explotables. En particular, garantizando que, cuando haya parches o actualizaciones de seguridad disponibles para abordar los problemas de seguridad identificados, se difundan sin demora y de forma gratuita, acompañados de mensajes de aviso que proporcionen a los usuarios la información pertinente.
En aras de aplicar el principio de proporcionalidad, por un lado se introduce el concepto de producto crítico, en función del impacto que una posible vulnerabilidad de ciberseguridad pueda tener y, por otro, y como no podía ser de otra forma, también se tiene en cuenta el riesgo asociado al uso previsto del dispositivo en entornos sensibles, tales como los entornos industriales.
Los productos críticos con elementos digitales estarán sujetos a procedimientos específicos de evaluación de la conformidad y se dividirán en clase I y clase II (en función de su nivel de riesgo de ciberseguridad, correspondiéndose la clase II con un riesgo mayor). En cada una de estas clases hay varias categorías y se prevé que se especifiquen categorías de productos muy críticos para los cuales los fabricantes deberán obtener un certificado europeo de ciberseguridad, como prueba de conformidad con los requisitos esta legislación y en el marco de un sistema europeo de certificación de ciberseguridad. La determinación del riesgo asociado a las categorías estará relacionada con una serie de criterios, entre otros, la utilización del producto en entornos de entidades esenciales afectadas por la nueva directiva NIS (NIS2) o relevante para la resiliencia de la cadena de suministro general de productos con elementos digitales frente a eventos disruptivos.
Así pues, cuando el reglamento propuesto entre en vigor, el software y los productos conectados a Internet podrán llevar la marca CE para indicar que cumplen con los nuevos estándares.
Una pieza más en el ambiente regulatorio de ciberseguridad europeo
El reglamento propuesto anunciado en la Estrategia de Ciberseguridad de la UE de 2020 complementaría otra legislación de seguridad, específicamente el Marco NIS2 (que en el caso de las entidades financieras se traduce en el reglamento de resiliencia operativa digital, DORA) y la Ley de Ciberseguridad.
En particular, este nuevo Reglamento, al aplicarse a los productos de hardware y software conectables, también tiene como objetivo facilitar el cumplimiento de requisitos de la cadena de suministro que se requieren en NIS2, al garantizar que los productos con elementos digitales que utilizan para la prestación de los servicios se desarrollen de forma segura y que tengan acceso a las actualizaciones de seguridad necesarias para dichos productos.
Próximos pasos
A partir de ahora el Parlamento Europeo y el Consejo deliberarán sobre el texto y se prevé que haya un acuerdo para el primer trimestre de 2024. Posteriormente a la aprobación entrará en vigor y a partir de ahí, los afectados tendrán 24 meses para adaptarse a los nuevos requisitos, con la excepción de la obligación por parte de los fabricantes de notificar las vulnerabilidades e incidentes explotados activamente, que aplica a partir de los 12 meses desde la entrada en vigor.
Cómo podemos ayudarte desde Babel
Babel, como empresa especializada en ofrecer servicios de ciberseguridad en general y de ciberseguridad industrial (OT) en particular, estará atenta al progreso de esta iniciativa para tenerla en cuenta en sus servicios de análisis y mejora de la ciberseguridad, asesoría, auditorías, infraestructura de ciberseguridad y servicios de monitorización y respuesta ante incidentes entre otros.
Entre otros servicios, asesoraremos a nuestros clientes sobre los requisitos de ciberseguridad que deberán exigir a sus proveedores de productos afectados por esta normativa, prestaremos soporte para verificar si los productos adquiridos cumplen dichos requisitos y les resolveremos dudas relativas a sus derechos frente a sus proveedores de estos productos y a las obligaciones de los fabricantes. Asimismo, en los servicios de soporte al compliance para afectados por NIS, se tendrán en consideración la aplicación de este nuevo reglamento en el ámbito de los dispositivos afectados.
De esta forma nuestros clientes podrán tener la tranquilidad de que los productos y soluciones de los que dispongan estén alineados con los requisitos legales y, por ende, además de cumplirlos, tenga las garantías de la mejora de la eficacia que se persigue con ellos.
Otros artículos destacados
.png?ext=.png)
¡Recibido!
Gracias por rellenar el formulario. Se han enviado los datos correctamente.
