Aitana: puntos clave para las empresas sobre la Ley de Ciberresiliencia de la UE

Una oportunidad para que las empresas puedan mejorar las prácticas de seguridad y fortalecer la reputación en un mercado competitivo.

Foto: Cortesía. Portal ERP España.

La nueva Ley de Ciberresiliencia de la UE marcará un hito al regular la ciberseguridad de todos los productos digitales, enfocándose en mejorar la protección cibernética desde la fase inicial de diseño de estos productos. Esta nueva legislación, pionera en su ámbito, busca establecer normas más estrictas y homogéneas para proteger las infraestructuras críticas y los datos sensibles contra ciberataques. Con el aumento de amenazas cibernéticas y la creciente dependencia de la tecnología, la Ley de Ciberresiliencia es un paso fundamental para garantizar la integridad y la continuidad operativa de los sistemas digitales en la UE. Aitana, consultora tecnológica líder en el mercado de software de gestión, indica que un 45% de las empresas españolas esperan una inversión tecnológica alta o muy alta para mejorar su competitividad. A continuación, comparte los principales puntos y requisitos de la ley y a quiénes afecta.

Con el objetivo principal de proteger a los usuarios y a las empresas que compran o utilizan productos con un componente digital, este ley pretende llegar a todos los productos con elementos digitales cuyo uso previsto incluya una conexión de datos directa o indirecta – lógica o física – a un dispositivo o red. Esta definición incluye, por tanto, dispositivos de hardware o software con conexiones por cable y/o inalámbricas. En este sentido, se busca facilitar que los usuarios cuenten con suficiente información sobre la ciberseguridad de los productos que adquieren. A su vez, se trata de una medida que incita a los fabricantes a mejorar la seguridad de productos desde la fase de diseño y desarrollo, pero también a través de todo su ciclo de vida. 

Principales puntos y requisitos de la Ley  

Requisitos de diseño seguro: los productos deben ser diseñados para asegurar un nivel adecuado de ciberseguridad, adaptado a los riesgos asociados con su uso previsto.

Evaluación de conformidad: dependiendo de la categoría de riesgo del producto, se requerirán evaluaciones de conformidad, que pueden incluir autoevaluaciones o evaluaciones de terceros.

Gestión de vulnerabilidades: los fabricantes deben implementar procesos para gestionar las vulnerabilidades de manera efectiva, incluyendo la documentación y la resolución rápida de las mismas.

Transparencia y pruebas: se exige que los fabricantes sean transparentes sobre las vulnerabilidades y que realicen pruebas regulares y efectivas para mantener la seguridad de los productos.

¿A quién afecta?

La compañía, además de dejar claro lo que se debe tener en cuenta con esta ley, también indica quiénes y de qué manera se verán afectados.

Fabricantes

Los fabricantes de productos con elementos digitales deberán asegurarse de que estos productos cumplan con los requisitos esenciales de ciberseguridad desde la fase de diseño hasta la producción y comercialización.

Esto incluye la implementación de medidas de seguridad por diseño, la realización de evaluaciones de riesgos cibernéticos y la gestión continua de vulnerabilidades. Además, deberán llevar a cabo o asegurar que se realicen evaluaciones de conformidad, y documentar estos procesos en una declaración de conformidad de la UE.

Importadores

Los importadores deberán verificar que los productos que introduzcan en el mercado de la UE cumplan con las evaluaciones de conformidad realizadas por los fabricantes. Así pues, si descubren vulnerabilidades o tienen motivos para creer que un producto puede presentar un riesgo cibernético, están obligados a informar tanto a los fabricantes como a las autoridades de vigilancia del mercado.

Distribuidores

Al igual que los importadores, los distribuidores deben asegurarse de que los productos que comercializan cuentan con la debida evaluación de conformidad y marcas CE correspondientes antes de ser puestos en el mercado.

Asimismo, juegan un papel crucial en la vigilancia y tienen la obligación de informar de posibles riesgos cibernéticos asociados con cualquiera de los productos que distribuyen.

Sanciones por incumplimiento

Las multas por incumplimiento para los fabricantes pueden alcanzar hasta 15 millones de euros o el 2.5% de su facturación global anual, dependiendo de cuál sea mayor. En el caso de los importadores y distribuidores, las multas pueden llegar hasta los 10 millones de euros o el 2% de su facturación global anual.

Estas multas están diseñadas para ser disuasorias y reflejan la importancia de cumplir con los estándares de ciberseguridad en todos los productos con elementos digitales. Además de las multas, las autoridades de vigilancia del mercado pueden imponer medidas correctivas. Esto puede incluir la retirada del producto del mercado, la prohibición de su comercialización o la retirada de la circulación.

Las empresas que no cumplan podrían enfrentarse a restricciones para operar dentro del mercado europeo. Esto puede limitar su capacidad para expandirse o mantener operaciones en los Estados miembros de la UE, afectando directamente su alcance de mercado y potencial de ingresos.

En conclusión, la Ley de Ciberresiliencia es fundamental para promover un entorno digital más seguro y resiliente dentro de la Unión Europea. Su principal función es proteger tanto a los consumidores como a las infraestructuras críticas, impulsando así la confianza y el desarrollo sostenible en la era digital. Por ello, Aitana recomienda a las empresas considerar este reglamento no como un requisito legal, sino como una oportunidad para mejorar sus prácticas de seguridad y fortalecer su reputación en un mercado competitivo.