La UE propone normas estrictas de ciberseguridad para los fabricantes de productos digitales

Las empresas que fabrican software y dispositivos digitales deberán demostrar que cumplen con los requisitos básicos de ciberseguridad según una nueva propuesta europea destinada a reducir los riesgos de piratería en una variedad de productos, desde electrodomésticos y dispositivos portátiles hasta software y computadoras.

El proyecto de ley presentado el jueves también requiere que los fabricantes que hacen negocios en la Unión Europea proporcionen parches de seguridad y actualizaciones durante la vida útil del producto o cinco años después de salir al mercado, lo que sea más corto. Las empresas que incumplan las normas se enfrentarán a multas de hasta 15 millones de euros, equivalentes a 15 millones de dólares, o el 2,5 % de los ingresos globales.

“Cuando compras un producto, es importante que el producto no tenga vulnerabilidades conocidas. Ese no es el caso hoy”, dijo a los periodistas el jueves Thierry Breton, comisionado de la UE para el mercado interno. La legislación es un gran avance, dijo, porque Europa es el primer continente en proponer evaluaciones de ciberseguridad requeridas para el software.

La legislación será «una tarea enorme» a un costo significativo para las empresas en forma de evaluaciones de seguridad y nuevos procedimientos, dijo Nils Scherrer, gerente de digitalización en ZVEI, una asociación de empresas eléctricas y digitales alemanas, incluidas Siemens AG y Bosch Thermotechnik. GmbH, una subsidiaria de Bosch AG que fabrica equipos de calefacción.

“Básicamente, debe cambiar todos sus procesos internos que están involucrados en el ciclo de vida del producto”, dijo.

Los productos con componentes digitales deberán exhibir etiquetas que indiquen que cumplen con las nuevas reglas y que indiquen cuánto tiempo se brindará soporte cibernético. La propuesta no cubre dispositivos médicos ni automóviles, que están regulados por otras leyes.

Los legisladores deben negociar los detalles de la propuesta antes de que pueda aprobarse, un proceso que podría llevar varios meses. Las empresas tendrán entonces dos años para cumplir.

Las empresas también tendrán que divulgar una lista de materiales de software que enumere los componentes de cada producto, una medida que podría ayudar a los fabricantes a monitorear sus cadenas de suministro y rastrear las vulnerabilidades de seguridad, dice la propuesta. Un funcionario de la UE involucrado en la redacción de la legislación dijo que la lista de materiales se inspiró en la orden ejecutiva del presidente Biden de 2021 sobre ciberseguridad, que requiere que las empresas que proporcionan software al gobierno federal divulguen sus componentes.

El borrador de las reglas incluye una lista de 38 productos de tecnología crítica necesarios para obtener evaluaciones de seguridad cibernética de un organismo independiente. Esos productos, que incluyen software como administradores de contraseñas y cortafuegos, y hardware como microcontroladores, dispositivos industriales de Internet de las cosas y medidores inteligentes, se consideraron críticos en parte debido al impacto potencial si fueran pirateados, dijo el funcionario de la UE a los periodistas. la semana pasada. Aún así, dijo el funcionario, es probable que alrededor del 90% de las empresas puedan autocertificarse.

Algunos fabricantes están preocupados por las revisiones de seguridad de terceros que retrasan los lanzamientos de productos, dijo Paolo Falcioni, director general de Applia, una asociación de fabricantes de electrodomésticos con sede en Bruselas. “Es esencialmente una restricción de tiempo de comercialización”, dijo.

La propuesta deja espacio para que la Comisión Europea cree una lista de productos «altamente críticos» que requerirían una certificación separada creada por expertos en ciberseguridad de la UE.

La lista de productos considerados críticos según la legislación ya es demasiado amplia, dijo Scherrer, y algunos podrían no usarse para funciones cruciales en absoluto. “Puede tener un componente que podría conectarse a una red pero se usa en un contexto completamente acrítico. Podría ser parte de una máquina de Coca-Cola o una planta de energía nuclear”, dijo.

Mientras tanto, los defensores de los consumidores dijeron que la lista debería ser más larga. Los piratas informáticos podrían causar daños importantes si interceptan señales de productos comunes, como dispositivos portátiles, juguetes conectados o termostatos domésticos, dijo Claudio Teixeira, oficial legal de la Organización Europea de Consumidores con sede en Bruselas.

El año pasado, la organización de consumidores belga Test-Achats probó 16 dispositivos conectados, incluidos monitores para bebés, aspiradoras inteligentes y televisores inteligentes. Ten tenían graves fallas de seguridad, incluidas contraseñas predeterminadas débiles y falta de encriptación de datos, que los hacían fácilmente pirateables. “Reconocemos una falla del mercado aquí”, dijo.

Escribir a Catherine Stupp en [email protected]

Copyright ©2022 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8

Fuente: WSJ

La UE propone normas estrictas de ciberseguridad para los fabricantes de productos digitales

Las empresas que fabrican software y dispositivos digitales deberán demostrar que cumplen con los requisitos básicos de ciberseguridad según una nueva propuesta europea destinada a reducir los riesgos de piratería en una variedad de productos, desde electrodomésticos y dispositivos portátiles hasta software y computadoras.

El proyecto de ley presentado el jueves también requiere que los fabricantes que hacen negocios en la Unión Europea proporcionen parches de seguridad y actualizaciones durante la vida útil del producto o cinco años después de salir al mercado, lo que sea más corto. Las empresas que incumplan las normas se enfrentarán a multas de hasta 15 millones de euros, equivalentes a 15 millones de dólares, o el 2,5 % de los ingresos globales.

“Cuando compras un producto, es importante que el producto no tenga vulnerabilidades conocidas. Ese no es el caso hoy”, dijo a los periodistas el jueves Thierry Breton, comisionado de la UE para el mercado interno. La legislación es un gran avance, dijo, porque Europa es el primer continente en proponer evaluaciones de ciberseguridad requeridas para el software.

La legislación será «una tarea enorme» a un costo significativo para las empresas en forma de evaluaciones de seguridad y nuevos procedimientos, dijo Nils Scherrer, gerente de digitalización en ZVEI, una asociación de empresas eléctricas y digitales alemanas, incluidas Siemens AG y Bosch Thermotechnik. GmbH, una subsidiaria de Bosch AG que fabrica equipos de calefacción.

“Básicamente, debe cambiar todos sus procesos internos que están involucrados en el ciclo de vida del producto”, dijo.

Los productos con componentes digitales deberán exhibir etiquetas que indiquen que cumplen con las nuevas reglas y que indiquen cuánto tiempo se brindará soporte cibernético. La propuesta no cubre dispositivos médicos ni automóviles, que están regulados por otras leyes.

Los legisladores deben negociar los detalles de la propuesta antes de que pueda aprobarse, un proceso que podría llevar varios meses. Las empresas tendrán entonces dos años para cumplir.

Las empresas también tendrán que divulgar una lista de materiales de software que enumere los componentes de cada producto, una medida que podría ayudar a los fabricantes a monitorear sus cadenas de suministro y rastrear las vulnerabilidades de seguridad, dice la propuesta. Un funcionario de la UE involucrado en la redacción de la legislación dijo que la lista de materiales se inspiró en la orden ejecutiva del presidente Biden de 2021 sobre ciberseguridad, que requiere que las empresas que proporcionan software al gobierno federal divulguen sus componentes.

El borrador de las reglas incluye una lista de 38 productos de tecnología crítica necesarios para obtener evaluaciones de seguridad cibernética de un organismo independiente. Esos productos, que incluyen software como administradores de contraseñas y cortafuegos, y hardware como microcontroladores, dispositivos industriales de Internet de las cosas y medidores inteligentes, se consideraron críticos en parte debido al impacto potencial si fueran pirateados, dijo el funcionario de la UE a los periodistas. la semana pasada. Aún así, dijo el funcionario, es probable que alrededor del 90% de las empresas puedan autocertificarse.

Algunos fabricantes están preocupados por las revisiones de seguridad de terceros que retrasan los lanzamientos de productos, dijo Paolo Falcioni, director general de Applia, una asociación de fabricantes de electrodomésticos con sede en Bruselas. “Es esencialmente una restricción de tiempo de comercialización”, dijo.

La propuesta deja espacio para que la Comisión Europea cree una lista de productos «altamente críticos» que requerirían una certificación separada creada por expertos en ciberseguridad de la UE.

La lista de productos considerados críticos según la legislación ya es demasiado amplia, dijo Scherrer, y algunos podrían no usarse para funciones cruciales en absoluto. “Puede tener un componente que podría conectarse a una red pero se usa en un contexto completamente acrítico. Podría ser parte de una máquina de Coca-Cola o una planta de energía nuclear”, dijo.

Mientras tanto, los defensores de los consumidores dijeron que la lista debería ser más larga. Los piratas informáticos podrían causar daños importantes si interceptan señales de productos comunes, como dispositivos portátiles, juguetes conectados o termostatos domésticos, dijo Claudio Teixeira, oficial legal de la Organización Europea de Consumidores con sede en Bruselas.

El año pasado, la organización de consumidores belga Test-Achats probó 16 dispositivos conectados, incluidos monitores para bebés, aspiradoras inteligentes y televisores inteligentes. Ten tenían graves fallas de seguridad, incluidas contraseñas predeterminadas débiles y falta de encriptación de datos, que los hacían fácilmente pirateables. “Reconocemos una falla del mercado aquí”, dijo.

Escribir a Catherine Stupp en [email protected]

Copyright ©2022 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8

Fuente: WSJ