Europa protegerá a los dispositivos inteligentes de las ciberamenazas obligando a los fabricantes a mejorar sus requisitos de ciberseguridad

Por Protector Indefinido
01/12/2023
Hardware

Europa está entendiendo que la amenaza de la ciberseguridad es un problema que no puede abordar desde Bruselas. Por ello, y pasando el testigo a las empresas y fabricantes, lanzó el año pasado la Ley de Resiliencia Cibernética, la cual un año y poco después, tiene las primeras normas clave que deberá seguir toda empresa que quiera vender en nuestro territorio. Todo, obviamente, impulsado por el ciberespionaje masivo apoyado en IA que está haciendo desde hace un año y medio China y EE.UU. Así es la Directiva NIS2 de Europa.

Europa comprendió que no puede enfrentar una amenaza global, y mucho menos desde la política se puede parar un ciberespionaje. Los gobiernos tampoco dan abasto para proteger la privacidad y seguridad de todos, así que el movimiento era obvio: hacer responsables a las empresas de la ciberseguridad de sus productos o servicios, lo cual está trayendo cola.

Europa dijo basta tras los ataques por parte de los hackers a las empresas y gobiernos: no habrá "rescates"

Ataque DDoS Hackers

La coacción de verter la información a la red o venderla, o simplemente desbloquear equipos y sistemas por diversos ataques hoy ha dado un paso más para terminarse, al menos, en parte. Dicen los americanos que no negocian con terroristas, y llevan razón, porque Europa va a seguir esa senda, salvo que será con los hackers y grupos de ciberdelincuentes.

La Ley de Resiliencia Cibernética, que va acompañada de la Ley de Ciberseguridad general, aborda cuatro puntos principales donde Europa es débil:

  • Un nivel insuficiente de ciberresiliencia de las empresas que operan en la UE.
  • Resiliencia incoherente en todos los Estados miembros y sectores.
  • Insuficiente comprensión común de las principales amenazas y desafíos entre los Estados miembros.
  • Falta de respuesta conjunta a las crisis.

Es un problema que se basa en las distintas formas de abordar un problema entre 27 estados miembros, y por ello, en general, se quiere terminar con la independencia de los mismos para hacer un estado central conjunto a lo Estados Unidos de América.

Así es la Directiva NIS2, el complemento a la Ley de la UE para la ciberseguridad

Ley-de-Seguridad-Cibernética-Europa

NIS o National Network and Information Systems por sus siglas en inglés, va de la mano con la SRI, de hecho, es complementaria. En ambos casos, tanto la NIS como la SRI van por su segunda versión, es decir la Directiva NIS2 y SRI2, lo que ha implicado las siguientes novedades según Bruselas:

  • Basándose en la estrategia SRI1 sobre la seguridad de las redes y los sistemas de información, a fin de lograr un alto nivel de preparación de los Estados miembros, la Directiva SRI2 exige a los Estados miembros que adopten una estrategia nacional de ciberseguridad.

  • Los Estados miembros también están obligados a designar equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT), responsables de la gestión de riesgos e incidentes, una autoridad nacional competente en materia de ciberseguridad y un único punto de contacto (SPOC).

  • El SPOC debe ejercer una función de enlace para garantizar la cooperación transfronteriza entre las autoridades de los Estados miembros con las autoridades pertinentes de otros Estados miembros y, en su caso, con la Comisión y la ENISA, así como para garantizar la cooperación intersectorial con otras autoridades competentes de su Estado miembro.

¿Qué busca Europa con esta nueva NIS2 y qué sectores cubre?

Sectores-que-regula-la-NIS2

Bruselas se está tomando muy en serio todo este tema, y por ello, ahora con NIS2 se añaden nuevos sectores basados en su grado de digitalización e interconexión, introduciendo una norma más clara. Por ello, se elimina la distinción entre operadores de servicios esenciales y digitales, dividiéndose en dos categorías:

  • Entidades esenciales.
  • Entidades importantes.

Suena un poco a broma estos nombres, pero son reales, aunque lo importante es que ambos se han puesto para algo clave: tendrán diferentes regímenes de supervisión. Con esto en mente, Europa fija los siguientes sectores para la Directiva NIS2:

  • Sectores de alta criticidad: energía (electricidad, calefacción y refrigeración urbanas, petróleo, gas e hidrógeno); transporte (aéreo, ferroviario, acuático y por carretera); banca; las infraestructuras de los mercados financieros; salud, incluida la fabricación de productos farmacéuticos, incluidas vacunas; agua potable; aguas residuales; infraestructura digital (puntos de intercambio de Internet; Proveedores de servicios DNS; Registros de nombres de dominio de primer nivel; proveedores de servicios de computación en nube; proveedores de servicios de centros de datos; redes de entrega de contenidos; proveedores de servicios de confianza; proveedores de redes públicas de comunicaciones electrónicas y servicios de comunicaciones electrónicas disponibles para el público; Gestión de servicios de TIC (proveedores de servicios gestionados y proveedores de servicios de seguridad gestionados), administración pública y espacio.

  • Otros sectores críticos: servicios postales y de mensajería; gestión de residuos; productos químicos; alimentos; fabricación de dispositivos médicos, computadoras y electrónica, maquinaria y equipo, vehículos de motor, remolques y semirremolques y otros equipos de transporte; proveedores digitales (mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales) y organizaciones de investigación.

Por tanto, todas las empresas que rijan y trabajen en esos sectores tendrán que evaluar por ellos mismos los riesgos de ciberseguridad en sus productos y proporcionar declaraciones de conformidad, así como tomar las medidas adecuadas para solucionar los problemas que se causen en la vida útil de dichos productos.

O, en cambio, si el producto fuese intangible en tiempo y forma, durante al menos 5 años. Como vemos, Europa quiere atacar la ciberdelincuencia desde los fabricantes con la Directiva NIS2, los cuales tienen que hacerse cargo o enfrentar multas mil millonarias, aparte de reparar sus productos en caso de fallos.

La pregunta es, ¿esto implicará productos o servicios más caros? La ciberseguridad tiene un coste cada vez mayor, y es de esperar que estos se repercutan en los precios finales, en cambio, de esto no ha dicho, obviamente, nada la comisión, ni las directivas.