La Ley de Ciberresiliencia de la UE es la primera legislación para todo el territorio de la UE que impondrá reglas de ciberseguridad a los fabricantes. Abarcará tanto el hardware como el software y se aplicará a fabricantes y desarrolladores, que serán responsables de la seguridad de los dispositivos conectados. La Comisión Europea afirma que la reglamentación abordará dos problemas: «la escasa ciberseguridad de muchos de estos productos y, lo que es más importante, el hecho de que muchos fabricantes no proporcionan actualizaciones para mitigar las vulnerabilidades».
El diablo estará en los detalles. Esto es clave para los requisitos que se definan y publiquen. Anticipamos que se aplicarán enfoques no prescriptivos similares a los de otras reglamentaciones, como las que indican «el cifrado de datos confidenciales», «el requisito de que los dispositivos puedan actualizarse», «la garantía de integridad del software y el firmware», etc. Sin embargo, para justificar sanciones, deben aplicarse enfoques que permitan hacer apreciaciones. Probablemente se exijan actualizaciones frecuentes, ya que este es uno de los problemas que identificó la Comisión Europea. Aplicar actualizaciones automáticas a una gran cantidad de dispositivos será difícil sin una solución que ayude a los fabricantes a mantener la viabilidad y a automatizar las tareas. Además, la Comisión Europea declaró que deberá haber más datos disponibles para que los consumidores puedan tomar decisiones de compra con conocimiento y configurar sus dispositivos de manera segura.
Los fabricantes de dispositivos IoT podrían recibir multas y sanciones significativas si no cumplen con la Ley de Ciberresiliencia redactada por la UE. Esta es una de las primeras legislaciones en imponer una sanción económica por incumplimiento. La UE deja en claro que, con la legislación propuesta, los fabricantes y desarrolladores deberán asumir la carga financiera de los dispositivos.
Asimismo, no se autorizará la comercialización de los productos que no satisfagan los requisitos «esenciales» de ciberseguridad. Por consiguiente, los fabricantes deben comenzar a incluir la seguridad en el diseño de sus productos para que aquellos que salgan al mercado en los próximos años se ajusten a los estándares de seguridad exigidos. Las autoridades de vigilancia del mercado de cada Estado miembro de la UE serán responsables de aplicar multas (hasta cierto límite establecido por la ley) a las empresas que no cumplan con la normativa y de prohibir que los dispositivos que incurran en incumplimiento salgan al mercado. No obstante, establecer un estándar de ciberseguridad para toda la UE también permitirá a los fabricantes tener mayor eficiencia y claridad para mantener la condición de cumplimiento.
La Ley de Ciberresiliencia de la UE otorgará a los consumidores mayor decisión de compra y más confianza en sus dispositivos, ya que exigirá a los fabricantes que proporcionen información sobre la seguridad de los dispositivos antes de la venta. Las reglas requerirán un mayor conocimiento sobre cómo elegir productos confiables y cómo configurar los dispositivos de forma segura. En la actualidad, los consumidores pueden consultar las etiquetas de los valores nutricionales de los productos comestibles para saber cuál es su composición. De manera similar, contar de antemano con datos sobre la seguridad de los dispositivos les permitirá tomar decisiones de compra con mayor información.
Dado que los fabricantes deberán ser más transparentes en cuanto a la ciberseguridad de sus dispositivos, los consumidores tendrán más confianza en los dispositivos conectados que salgan al mercado. Asimismo, la Comisión Europea anticipa que la demanda de «productos con elementos digitales» podría aumentar si los consumidores confían más en la seguridad de los productos.
Las autoridades reguladoras no deberían tener que aplicar multas altas y consecuencias severas para fomentar la seguridad, pero, lamentablemente, este aspecto no suele tenerse en cuenta en el diseño de los dispositivos. En un mundo perfecto, las empresas reconocerían —por ser lo que corresponde— lo importante que es la protección de sus activos, clientes, empleados y reputación, además de la implementación de la seguridad adecuada. Hasta que eso suceda, tendremos que tolerar que las autoridades reguladoras apliquen el peso de la ley. Asimismo, la capacidad de las autoridades nacionales de vigilancia de prohibir o restringir la venta de productos que incurran en incumplimiento será una motivación para incrementar la seguridad.
Hoy en día, la Ley de Ciberresiliencia de la UE se encuentra en el Parlamento Europeo y en el Consejo para su análisis y adopción. Una vez promulgada la ley, los Estados miembro tendrán hasta dos años para adoptar los requisitos. Por lo tanto, los fabricantes deberán prepararse para cumplir con la ley en los próximos años.
No obstante, la tendencia de incrementar la reglamentación sobre los dispositivos conectados continuará. La Ley de Ciberresiliencia de la UE es solo el primer paso. Predecimos que esta normativa se convertirá en una guía a partir de la cual otras entidades reguladoras desarrollarán estándares similares. En el futuro habrá más reglamentaciones sobre el IoT y su diseño, no menos. Por consiguiente, es importante que los fabricantes tengan en cuenta la ciberseguridad en sus diseños desde ahora para que estén preparados para las futuras reglamentaciones del IoT.
Además del aumento de las reglamentaciones del IoT, observamos que las industrias están aunando esfuerzos en pos de la seguridad de los dispositivos. Por ejemplo, el protocolo Matter, que se implementará pronto para la interoperabilidad, la seguridad y la confiabilidad de los dispositivos de domótica, podría convertirse en un modelo avalado por el sector para una mayor seguridad de los dispositivos IoT. Aunque aún se desconocen todos los detalles de la legislación propuesta por la UE, es probable que los fabricantes que cumplan con los requisitos de seguridad de Matter —mediante certificados de autenticación de dispositivos e intermediarios para la autenticación de productos— también cumplan con los requisitos que establezcan los legisladores de la UE. Además, tendrán la oportunidad de demostrar a los consumidores que sus productos son seguros, dado que los dispositivos que cumplan con el protocolo Matter tendrán el sello de aprobación de Matter.
En DigiCert, creemos que la Ley de Ciberresiliencia de la UE puede aumentar la confianza digital en este mundo hiperconectado. Durante mucho tiempo, abogamos por la necesidad de incluir la seguridad en el diseño y tenemos la experiencia y las soluciones necesarias para ayudar a los fabricantes a hacerlo. Por ejemplo, DigiCert for Connected Devices, con la solución galardonada IoT Device Manager y Mocana, puede ayudar a los fabricantes a gestionar todo el ciclo de vida de sus dispositivos, incluido el envío de actualizaciones seguras. Comuníquese con nosotros desde https://www.digicert.com/iot/trust-for-connected-devices para descubrir cómo incrementar la seguridad de sus dispositivos IoT antes de que entre en vigencia esta ley y, al mismo tiempo, aumentar su nivel de confianza digital.
IoT Device Manager brinda un flujo de trabajo completo y automatizado para que las empresas gestionen sus dispositivos IoT con un sistema de seguridad basado en certificados durante la etapa de fabricación y en el borde. Además, ofrece la escalabilidad, la flexibilidad, el control y la eficiencia que requiere una red de dispositivos conectados. Los administradores pueden supervisar todo el ciclo de vida de los certificados, facilitar actualizaciones seguras, personalizar los metadatos de los certificados referidos al dispositivo y garantizar el cumplimiento normativo. En lugar de desarrollar y mantener una PKI autogestionada, IoT Device Manager automatiza la implementación de la PKI y simplifica la gestión de una amplia red de dispositivos. Los administradores pueden personalizar los permisos y el control de acceso para segmentar la gestión de distintos grupos de usuarios. Dado que IoT Device Manager forma parte de DigiCert ONE™, se puede implementar en la nube o de forma local o nacional para cumplir con requisitos estrictos, llevar a cabo integraciones personalizadas y cubrir las necesidades de aislamiento.