La UE está a punto de respaldar una versión refinada de la Ley de Resiliencia Cibernética, que introduce nuevas regulaciones de ciberseguridad para dispositivos conectados. La Ley exige a los fabricantes que informen sobre cualquier incidente de ciberseguridad o vulnerabilidades explotadas a la autoridad competente. La responsabilidad de esta tarea ha sido trasladada de ENISA, la agencia de ciberseguridad de la UE, a los Equipos Nacionales de Respuesta a Incidentes de Seguridad Informática (CSIRTs). La Ley también introduce el concepto de ‘productos altamente críticos’, para los cuales la Comisión Europea podría mandatar esquemas de certificación de ciberseguridad de la UE. Sin embargo, la última versión de la Ley elimina cualquier referencia explícita a estos productos.
También se requiere que los fabricantes indiquen la vida útil esperada del producto durante la cual los usuarios pueden esperar actualizaciones de seguridad. La Ley también estipula que la responsabilidad de cumplir con la ley de ciberseguridad se traslada al operador económico que modifica sustancialmente un dispositivo conectado. Sin embargo, esta responsabilidad se exime para los parches de seguridad que no modifican el propósito previsto de un producto. La Ley también excluye los componentes de dispositivos conectados fabricados exclusivamente como repuestos para reemplazar componentes idénticos de su alcance.
La aplicación de la Ley será guiada por las autoridades de vigilancia del mercado de la UE, quienes emitirán documentos de orientación para agilizar la aplicación de la regulación a nivel nacional. Se espera que la Ley sea adoptada por el Comité de Representantes Permanentes del Consejo de la UE, con negociaciones entre los co-legisladores de la UE previstas para comenzar en septiembre.
Source: EURACTIV
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.