Finalmente se adopta la Ley de Resiliencia Cibernética
Como resultado de mi participación anterior y la de Rob en el proyecto DOStuve la oportunidad de prestar atención a la cuestión cada vez más crítica de la «vigilancia del mercado de la ciberseguridad», en relación con los componentes electrónicos importados de fuera de la UE y, más ampliamente, a la ciberseguridad de esas cadenas de suministro.
Un objetivo del DORMIR proyecto es el desarrollo de un descriptor de seguridad integral para dispositivos IoT – el “Pasaporte de Seguridad del Dispositivo” – que encontrará una aplicación obvia ahora que el Ley de Resiliencia Cibernética (CRA) finalmente se adopta. El viernes 11 de octubre, el texto recibió la aprobación closing por parte del Consejo de la versión sustancialmente reforzada adoptada por el Parlamento Europeo.
El contexto más amplio es la agenda de larga knowledge de la UE para digitalizar (cada parte de) la economía de la UE. La última versión de esta agenda, la ‘Década Digital‘ cubre la década precise hasta 2030 y ya ha producido múltiples leyes en diferentes ámbitos de políticas. El impacto complete sólo se sentirá en los próximos 3 a 5 años, cuando la mayoría de ellas hayan entrado en vigor. En conjunto, estas nuevas leyes están preparando el terreno para una forma de gobernanza fuertemente digitalizada para la UE después de 2030. El resultado esperado es un conjunto de servicios digitales «siempre activos», construidos sobre una densa capa de sistemas interoperables, datos, procesos automatizados y infraestructuras digitales.
Una mayor digitalización conlleva una mayor exposición al ciberdelito. Durante el mismo período, se adoptaron una serie de leyes para completar el marco que aborda la ciberseguridad, incluida la ley de ciberseguridad (2019), la directiva NIS2 (2022) y, más recientemente, la Ley de Resiliencia Cibernética.
En 2022, buscando una mejor manera de comprender el panorama completo, me propuse producir un mapeo visible del componente de digitalización de las agendas políticas de la UE por área política.
El resultado completo es seen. aquí.
Lo que este mapeo reveló desde una perspectiva más amplia, que abarca todos los ámbitos políticos de la UE, podría resumirse como la Digitalización de tres grandes flujos: personas, dinero y bienes..
La libre circulación de mercancías es uno de los tres pilares del Mercado único de la UE. El principio es un conjunto único de normas, aplicadas uniformemente en toda la UE (y el EEE*) a los productos que se introducen y permanecen disponibles en el mercado.
Los criterios aplicables se establecen mediante la legislación específica del producto que outline la lista de «requisitos esenciales‘ los productos cubiertos deben cumplir para obtener la aprobación. Originalmente llamados «requisitos esenciales de seguridad», las listas de criterios aplicables se han ampliado para incluir aquellos establecidos en la legislación horizontal (por ejemplo, medio ambiente o rendimiento energético). ‘Supervisión del mercado’ es el conjunto de procesos y órganos involucrados en garantizar que los productos cumplan con los requisitos esenciales que les son aplicables, antes y durante su comercialización. La digitalización de estos importantes pero burocráticos pasos y funciones no es nueva. Pero la información se recopila a través de sistemas separados, agrupados por propósito, categoría de producto y/o geografía.
Para la fase precise, el impulso para “digitalizar” aún más estos procesos tiene más que ver con permitir el acceso oportuno a datos relevantes a través de esos diferentes sistemas por parte de las autoridades pertinentes, eliminando barreras tanto legales como técnicas. También pretende simplificar aún más los procedimientos exigidos a los productores mediante la aplicación sistemática de el principio de una sola vez. La necesidad de esto surgió del creciente volumen de productos no alimentarios comprados en plataformas digitales que eluden ilegalmente los pasos establecidos de escrutinio de “vigilancia del mercado” y verificación del cumplimiento. El objetivo closing es un sistema de seguimiento digital que documente el cumplimiento, siguiendo de cerca el producto particular person, desde su concepción hasta su desmantelamiento.
IoT y otros productos conectados y software program relacionado son candidatos principales para este seguimiento regulatorio a lo largo de su ciclo de vida. Es difícil imaginar una industria más adecuada para implementar un enfoque de «seguimiento digital» para vigilancia del mercadoque la propia industria que produce la parte central de cualquier sistema de seguimiento digital. Además, como hecho reciente dramáticamente ilustrado, Los riesgos inducidos por el acceso remoto malicioso y la manipulación de las cadenas de suministro persisten mucho más allá del punto de compra, con consecuencias potencialmente letales.
En los últimos años, se han agregado requisitos relevantes para la ciberseguridad a la lista que se aplica a productos específicos donde el riesgo de ciberseguridad tenía una relación directa con los riesgos de seguridad (por ejemplo, ciertos dispositivos médicos). Pero hasta ahora, no existía un conjunto integral de «requisitos esenciales» que abordaran la ciberseguridad de manera suficientemente amplia para aplicarse a la creciente gama de productos y aplicaciones conectados y que abarcaran todo el ciclo de vida del producto/componente.
La Ley de Ciberseguridad (2019) ha facultado a ENISA para apoyar el desarrollo de la certificación de ciberseguridad. Pero esos esquemas de certificación son voluntarios y están impulsados por expectativas cambiantes del lado de la demanda, que es uno de los efectos previstos de NIS2. Según NIS2, que entrará en vigor el 18 de octubre de 2024, un propietario/operador de sistema que no lleve a cabo la debida diligencia en materia de ciberseguridad en los componentes de IoT que presenten un riesgo para sus operaciones, podría enfrentarse a importantes multas administrativas.
Aquí es donde la Ley de Resiliencia Cibernética marcará una diferencia actual.
Aunque se centra en la ciberseguridad, la Ley de Resiliencia Cibernética también es una parte integral de la legislación de «vigilancia del mercado». Establece la ciberseguridad ‘requisitos esenciales’ Aplicándose a productos con elementos digitales.
El texto closing es extenso y más completo de lo que normalmente sería el caso de una legislación de «vigilancia del mercado». Considera explícitamente los efectos indirectos y de segundo nivel de las decisiones que faculta a las autoridades a tomar. También hace referencias explícitas a la “seguridad pública” como razón legítima para actuar en casos específicos.
El alcance es inevitablemente amplio e incluye componentes (ver la sección de definiciones del texto). Clasifica los productos por nivel de riesgo, una característica común de las leyes de vigilancia del mercado.
Prevé una serie de actos de ejecución y habilitación, así como posibles nuevas normas que serán plenamente aplicables. Su pleno efecto, incluidas importantes multas potenciales por incumplimiento, no se sentirá hasta 2028 en adelante. La adopción de la CRA podría desencadenar interesantes efectos en cascada sobre la reforma aduanera de la UE. Pero esto es para un episodio posterior.
Cualquiera que esté atento a las implicaciones prácticas debería empezar a leerlo en los anexos. donde los alcances y requisitos del producto están claramente establecidos. Hasta su publicación oficial, el texto más reciente está disponible aquí.
Gaelle Le Gars. Contáctala en gaellelegars en theinternetofthings.eu
