En diciembre pasado, casi en silencio, entró en vigor en la Comunida Europea la Ley de Ciberresiliencia (CRA), cuyas principales obligaciones serán aplicables en diciembre del 2027. Esta normativa hará que todo producto digital que llegue a los consumidores europeos deba cumplir requisitos de ciberseguridad. El ingeniero catalán Roger Riera es miembro del grupo de expertos de la Comisión Europea para la aplicación de la ley y responsable técnico en Applus+ Laboratories.
¿En qué consiste esta ley?
Es la culminación de toda una serie de regulaciones que están siendo promovidas desde la Unión Europea. Cualquier producto con elementos digitales, es decir, que tenga un hardware, un software, o una combinación de ambos, tiene que cumplir con la ley. El impacto es muy grande porque todos deberán cumplir con ciertos requisitos que acabarán influyendo en que los productos sean seguros o al menos se informe a los consumidores cuando un producto tiene vulnerabilidades. Podrán haber multas si no se cumple con esto.
¿No hay excepciones?
La comunidad de Open Source (código abierto)comentó que el impacto era muy grande para ellos y realmente no hay tanto riesgo en sus productos. Al final, están fuera. Hay otros productos a los que tampoco les afecta, como los coches y los productos aeronáuticos, porque ya tienen otras regulaciones, y también los productos de seguridad nacional.
¿Cómo hacer entender al público que casi todo, hasta la aspiradora, está afectado?
Cualquier producto. Un reloj digital, no solo es un reloj digital, sino sus elementos, como los chips. Quien fabrica el reloj ensambla componentes que ha comprado en el mercado europeo, y también tiene que cumplir el reglamento
¿En qué situación está ahora la aplicación de la ley?
Ahora hay un un tiempo de impás en el cual se van a publicar guías sobre cómo cumplir con el CRA y se darán unos detalles un poco más específicos.
¿Por qué la ley está en vigor desde el año pasado y no será vigente del todo hasta el 2027?
La razón por la cual se dan tres años entiendo que es porque el impacto es muy grande. Al final, lo importante es que las empresas tienen que ser conscientes que llegado en diciembre del 2027 deberán estar cumpliéndola.
¿Hay algo comparable a esto?
Ahora mismo hay regulaciones que obligan a que los productos sean seguros, por ejemplo, para la salud de las personas, como los productos farmacéuticos, que llevan un prospecto. Con el CRA yo veo el equivalente pero a nivel de ciberseguridad. Tendrás una guía de cuándo usar el producto, cómo usarlo de forma segura y además unas informaciones que te dirán que hay vulnerabilidades que te pueden afectar.
¿Qué pasa con los productos que ya tenemos todos aquellos que se puedan actualizar de forma remota?
No les afecta la regulación, que dice explícitamente que sólo se aplica los productos puestos en el mercado después de una cierta fecha.
¿El grupo de expertos asesor en el que participa tiene ya perspectivas sobre las recomendaciones que debe hacer?
El CRA define diferentes tipos de productos en base al riesgo asociado y los define como ‘por defecto’, ‘importantes’ o ‘críticos’. Estos dos últimos son los que tendrán que seguir una evaluación un poco más compleja, pero ya son productos que hasta ahora ya tenían ciertas regulaciones, por ejemplo, las tarjetas inteligentes o las tarjetas de crédito. Hoy en día ya tienen regulaciones muy complejas que seguirán teniendo con el CRA. Donde veo más impacto es en los que llaman ‘por defecto’, que son los productos en los que hasta ahora la ciberseguridad era algo que no se tenía mucho en cuenta. Se dice que constituyen el 90% de los que están en el mercado.
Lee también
¿Algún tipo de producto concreto en el que vaya a tener un impacto más grande?
El impacto es proporcional, basado en el riesgo. Por ejemplo, si tienes un chip que utilizas para abrir la taquilla del gimnasio, el riesgo es bajo. No se puede categorizar como el de una tarjeta de crédito. Si categorizamos los productos por riesgo, piensa también en la aplicación final, no solo pienses en la tipología del producto.
¿Qué hace un grupo de expertos en este caso?
Lo que hacemos es ayudar a la Comisión Europea a evaluar si el camino que estamos siguiendo realmente es el correcto. Es un trabajo más de opinión, más de intentar ir por el camino correcto. Pero realmente el trabajo, el grueso del trabajo lo están llevando la Comisión Europea y las organizaciones de estandarización.
¿Cómo de necesario es que regulemos que todo lo digital sea ciberseguro?
Es una buena ley. Tenemos una vida digital y tenemos que empezar a preocuparnos por ella. La Unión Europea está buscando una regulación para protegernos e intentando que el impacto no sea muy grande para el consumidor final.
¿Cómo van a empezar a notar los cambios las empresas?
A partir de septiembre del 2026, las empresas empezarán a estar obligadas a reportar cualquier vulnerabilidad que esté siendo explotada en el en el mercado. Esto sería el primer el primer hito. El segundo será cuando ya entre en vigor el CRA para todos los productos.
Seguridad
“Si fabrico un móvil debo estar seguro de que no se puede explotar una vulnerabilidad en él”
Esto obligará a un gran intercambio de información entre las empresas.
Si manufacturo un teléfono móvil, debo estar seguro de que una vulnerabilidad no puede ser explotada en el mismo. Cualquier información que pueda obtener del fabricante del chip hará que para mí sea mucho más fácil evaluar el problema. Todavía falta un poco de guía sobre si una vulnerabilidad es explotada, cuándo hay que comunicarlo y cuándo no. Esto creo que será de las primeras cosas que se van a publicar en cuanto a cómo gestionar ese tipo de cosas.
