Los fabricantes que vendan dispositivos inteligentes conectados a Internet en el mercado interno de la UE deberán cumplir con ciertos estándares de ciberseguridad según un nuevo proyecto de ley anunciado por la Comisión Europea el jueves (15 de septiembre).
Las empresas que fabrican artículos conectados digitalmente, como cámaras de seguridad, juguetes, automóviles, refrigeradores o incluso aplicaciones móviles, enfrentarán multas de hasta 15 millones de euros o el 2,5 por ciento de su facturación global si se descubre que infringen las nuevas reglas, pero que aún así necesitan la aprobación de los países de la UE y los eurodiputados.
Únase a EUobserver hoy
Conviértete en un experto en Europa
Obtenga acceso instantáneo a todos los artícu los y 20 años de archivos. Prueba gratuita de 14 días.
… o suscríbete como grupo
Las nuevas reglas surgen en medio de la preocupación generalizada por el creciente número de ataques cibernéticos y violaciones de datos el año pasado cuando el trabajo remoto y los bloqueos aumentaron el tráfico de Internet en todo el mundo.
Con cada vez más dispositivos conectados en el mercado, estos nuevos requisitos de la UE tienen como objetivo minimizar los riesgos de ciberseguridad que implican dichos dispositivos.
“A medida que nos acercamos a esta era de Internet de las cosas en la que todos estaremos casi permanentemente interconectados con dispositivos y electrodomésticos, esta [law] se vuelve más urgente que nunca”, dijo la vicepresidenta de la comisión, Margaritis Schinas.
Las nuevas reglas podrían reducir hasta 290.000 millones de euros en costos de incidentes cibernéticos que afectan a las empresas, dijo el ejecutivo de la UE.
Se estima que cada 11 segundos hay un ataque de ransomware dirigido a una organización en todo el mundo: un negocio criminal oscuro con un costo estimado de 20 000 millones de euros en 2021. En general, el ciberdelito tuvo un costo global de 5,5 billones de euros en 2021.
“Necesitamos proteger nuestro espacio digital”, dijo el comisionado del mercado interno de la UE, Thierry Breton, y advirtió que una cámara inofensiva de niñera puede ser pirateada por individuos o ser utilizada para espionaje por terceros países.
“Se supone que debes usarlo para cuidar a tu perro o ver qué están haciendo tus hijos. Pero, ¿quién sabe qué se hace entonces con esos datos, quién puede usarlos o quién puede explotarlos?”, agregó.
Según las nuevas reglas, los fabricantes deberán tener en cuenta la ciberseguridad a lo largo de toda la cadena de suministro, enumerando todos los riesgos de ciberseguridad para informar a los consumidores.
Notificación dentro de las 24 horas
También deberán notificar a la agencia de ciberseguridad de la UE (ENISA, Agencia de la Unión Europea para la Ciberseguridad) sobre cualquier vulnerabilidad o ataque dentro de las 24 horas posteriores a su detección, corregir los incidentes y proporcionar a los usuarios actualizaciones de seguridad al menos durante cinco años.
“Tratamos de reequilibrar la responsabilidad hacia los fabricantes que deben asegurarse de poner en el mercado productos que sean seguros digitalmente”, dijo Schinas.
El proyecto de ley separa los productos que caen bajo el alcance de la legislación en dos categorías: a saber, un grupo de alrededor del 10 por ciento de productos críticos considerados de “alto riesgo” y un grupo más grande de otros productos considerados de bajo riesgo.
Los fabricantes de productos de alto riesgo, incluido el software crítico y los sistemas operativos industriales, entre una larga lista de ejemplos, deberán demostrar a las autoridades nacionales si se han cumplido los requisitos cibernéticos especificados relacionados con un producto. A las empresas que produzcan productos de bajo riesgo solo se les pedirá que realicen una autoevaluación.
Si las empresas no cumplen las normas, las autoridades nacionales podrían prohibir o restringir la entrada de dichos productos en el mercado de la UE.