- El Consejo de la Unión Europea ha aprobado formalmente este octubre el texto legislativo que permitirá controlar la ciberseguridad de todo dispositivo vinculado al 'Internet de las Cosas' (IoT).
- La normativa establece un certificado CE para que los usuarios y usuarias puedan saber rápidamente si el producto cumple con la normativa mínima en materia de seguridad digital.
- Victor Salgado, abogado especialista en derecho TIC: "todos los agentes que intervienen en la cadena de producción y comercialización de un software o hardware conectado a Internet deben responsabilizarse de su ciberseguridad, y este Reglamento garantizará eso".
La Unión Europea continúa dando pasos para que los usuarios y usuarias puedan relacionarse con el ecosistema tecnológico con cada vez más garantías de protección. Si en este 2024 se formalizaba la aprobación del Reglamento IA, ahora las instituciones públicas europeas han adoptado una nueva normativa en materia digital.
Hablamos del Reglamento de Ciberresiliencia, una iniciativa que salía del Parlamento Europeo en marzo de este año y ya ha sido aprobado este mes de octubre por parte del Consejo de la UE; un texto legislativo para garantizar que ciertos productos como cámaras domésticas, frigoríficos, televisores, juguetes conectados a Internet sean seguros antes de introducirse en el mercado.
"Este reglamento llega para cubrir un hueco en la normativa europea: se centra en armonizar legislativamente las medidas de seguridad que deben implementarse en todo tipo de dispositivos de Internet de las Cosas. La principal medida que propone es el marcado CE, un certificado que garantiza que el producto digital que se compra ha pasado por unos controles muy estrictos en materia de ciberseguridad", expone Víctor Salgado, abogado especialista en Derecho Digital del bufete coruñés Pintos & Salgado.
Preguntado sobre si la iniciativa legislativa se desarrolla en tiempo, teniendo en cuenta la evolución frenética en términos tecnológicos que se vive en los últimos años, Salgado es rotundo: "¡Nunca es tarde si la dicha es buena! Porque va a certificar una comercialización segura de productos importantes para el ciudadano medio, incluyendo a menores de edad, personas mayores o con problemas de salud... Es importante pensar que ahora tenemos dispositivos virtuales que manejan información personal muy sensible, desde monitores con controles sanitarios a relojes inteligentes con información personal u objetos de domótica que determinan la seguridad de nuestros hogares".
La responsabilidad de contar con suficientes garantías de protección en todos esos dispositivos, para el bufete de abogados de A Coruña, no debe recaer única y exclusivamente en los usuarios y su gestión de contraseñas. Todos los agentes que intervienen en la construcción y venta de un producto digital deben comprometerse y dar garantías de ciberseguridad.
"Hasta este momento", continúa Salgado, "la UE centraba sus medidas de seguridad mínimas en un concepto físico: objetos sin elementos tóxicos, juguetes sin piezas pequeñas peligrosas para los menores... y el Reglamento de Ciberresiliencia camina en ese sentido, pero centrándose en la seguridad digital. Es una muy buena noticia".
El propio concepto de ciberresiliencia alude a una de las características fundamentales que todo dispositivo conectado a Internet tiene que cumplir: deberá ser capaz de recuperar rápidamente la situación previa a un incidente o ataque informático cuando éste se produzca.
Tres tipologías de clasificación
A mayores del marcado CE, para el abogado especialista en derecho digital la normativa incorpora una segunda gran medida o novedad: la taxonomía legal que determina el grado de relevancia en términos de ciberseguridad.
"Ahora la UE modulará los requisitos que pedirá en cada dispositivo electrónico en función de a qué tipo de producto pertenezca: si son productos estándar, importantes o críticos. Cada categoría presenta unos riesgos distintos para los usuarios si existe algún tipo de vulneración de seguridad en ese dispositivo. Todos irán con el certificado CE, pero a mayor nivel, más supervisión y requisitos previos para comercializarse", contextualiza Salgado.
Los productos estándar referencian los softwares y hardwares de consumo diario (electrodomésticos inteligentes, asistentes domóticos básicos, bombillas conectadas, robots de limpieza...); los importantes se relacionan con programas que tratan datos de carácter personal, depósitos de contraseñas de los usuarios, software de gestión de redes... Y, finalmente, los críticos, los que más riesgo tendrían, aluden a tarjetas inteligentes, depósitos de criptomonedas, pasarelas de contadores inteligentes, dispositivos blockchain... tecnologías más complejas que gestionan datos relevantes en un sentido económico o personal.
Una reflexión pendiente como sociedad
Ropa que se conecta a la nube, tecnología domótica que decide la apertura de puertas y ventanas, drones de limpieza, relojes y anillos inteligentes... el ecosistema digital conecta cada vez más elementos a Internet y tiene acceso a cada vez más datos personales de los ciudadanos. Y por eso analizar su rumbo y su evolución se convierte en una acción prioritaria.
"Estamos integrando una cantidad enorme de dispositivos que ni soñábamos que se pudieran incorporar en nuestras vidas. Avanzamos muy rápido tecnológicamente hablando, pero todavía necesitamos reflexionar colectivamente sobre todo lo que está en juego en nuestro día a día a través de la tecnología. Información médica, financiera, de nuestro estado físico... debemos discutir sobre el Internet de las cosas, y creo que este Reglamento de Ciberresiliencia contribuye en cierta manera a abrir un nuevo diálogo entre empresas diseñadoras y comercializadoras, instituciones públicas y ciudadanía", concluye Víctor Salgado.
Tras la aprobación formal del texto este mes de octubre de 2024, la normativa deberá publicarse en el Diario Oficial de la UE para entrar en vigor veinte días después de su publicación. Con todo, se aplicará tres años más adelante, es decir, hasta 2027 no estará activa en su totalidad, aunque haya algunos artículos que se apliquen previamente.
