Nokia y Ericsson alertan sobre los riesgos de la ley de ciberseguridad de la UE

El proyecto de ley europeo sobre ciberseguridad, también conocido como la Ley de Ciberseguridad de la UE, tiene dos áreas de enfoque principales

  1. Fortalecimiento de ENISA: La Agencia de la UE para la ciberseguridad, ENISA, ha sido fortalecida con un mandato permanente, más recursos y nuevas tareas. ENISA desempeñará un papel clave en la creación y el mantenimiento del marco europeo de certificación de la ciberseguridad. Además, tiene el mandato de aumentar la cooperación operativa a nivel de la UE, ayudando a los Estados miembros de la UE que lo soliciten para manejar incidentes de ciberseguridad y apoyando la coordinación de la UE en caso de ciberataques y crisis transfronterizas a gran escala.
  2. Marco europeo de certificación de ciberseguridad: La Ley de Ciberseguridad de la UE introduce un marco de certificación de ciberseguridad a escala de la UE para productos, servicios y procesos de TIC. Las empresas que hacen negocios en la UE se beneficiarán de tener que certificar sus productos, procesos y servicios TIC solo una vez y ver sus certificados reconocidos en toda la Unión Europea

Además, el 18 de abril de 2023, la Comisión propuso una modificación específica de la Ley de Ciberseguridad de la UE. La modificación propuesta permitirá la futura adopción de sistemas de certificación europeos para los «servicios de seguridad gestionados» que abarquen ámbitos como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría

En una carta dirigida a la Comisión Europea (CE), el grupo industrial Digital Europe apunta que el proyecto de ley, por su amplitud, afectará a millones de dispositivos conectados, desde electrodomésticos hasta juguetes y herramientas de ciberseguridad, e impedirá que productos seguros entren en el mercado y lleguen a los clientes europeos.

La CE publicó el proyecto legislativo en setiembre de 2022 y se prevé que entre en vigor en 2024.

Además de Nokia y Ericsson, también suscriben la carta de Digital Europe otras firmas como Siemens, Robert Bosch, Schneider Electric y ESET.

Los firmantes explican que siempre han respaldado “normas de ciberseguridad horizontales para los productos conectados y no un mosaico de normas diferentes por sector”. Además, arguyen que la propuesta carece de capacidad para regular productos distintos.

Lo que más preocupa a los fabricantes es la exigencia de recurrir a certificadores externos para toda una categoría de productos de alto riesgo con funciones de ciberseguridad, como por ejemplo gestión de contraseñas y detección de intrusiones.

El grupo de empresas afirma que dichos componentes son cruciales para la economía y que la evaluación a través de terceros “podría provocar un bloqueo en las cadenas de suministro europeas similar al que ya se dio durante la pandemia de Covid-19”, con los consiguientes riesgos para la competitividad.

También expresa preocupación por los perjuicios derivados de informar sobre vulnerabilidades no parcheadas. “Debería permitirse que sean los fabricantes quienes tomen la decisión de priorizar la aplicación de parches frente a la notificación inmediata por motivos justificados, relacionados con la ciberseguridad”.

Por ello, las empresas piden más flexibilidad y proponen que la legislación “maximice la posibilidad de autoevaluación” y “reduzca significativamente” los productos afectados, además de dedicar por lo menos 48 meses al desarrollo de una norma más armonizada.

Ver más: Álvarez-Pallete reclamó una desregulación completa de las telcos a la UE

Ver más: Evolución de la dinámica cibernética en medio del conflicto entre Israel y Hamás

Ver más: Apple se toma un tiempo para corregir errores