La nova Llei de Ciberresiliència de la UE regularà per primera vegada la ciberseguretat de tots els productes digitals, una cosa necessària per a millorar la ciberprotecció des de la primera fase de disseny d’aquests articles. En aquest context, des d’S2 Grup, especialitzat en ciberseguretat i ciberintel·ligència, han destacat que amb aquesta mesura es combatrà un dels grans problemes de la major part dels dispositius, i és que no havien estat dissenyats pensant en patrons de ciberseguretat, la qual cosa es diu security by design, i això feia que tinguessin molts punts vulnerables des dels quals un atacant podria accedir a les xarxes locals.
“A més de la necessitat que suposa crear productes cibersegurs des de la fase més incipient de disseny, les empreses han de tenir en compte que l’incompliment dels requisits que estableix aquesta llei està subjecte a multes d’entre 10 i 15 milions d’euros o fins al 2 o 2,5% del seu volum de negoci anual”, ha declarat José Rosell soci-fundador i CEO de S2 Grup.
Aquesta normativa ha contemplat un període d’adaptació de tres anys i segons han assenyalat els experts d’S2 Grup aquestes són les 10 claus sobre la nova Llei de Ciberresiliència:
1. Afectarà a tots els dispositius connectats a la xarxa o a altres dispositius.
2. S’estableixen normes de ciberseguretat per al disseny, desenvolupament i producció de productes amb elements digitals, obligacions per als operadors econòmics i normes sobre vigilància del mercat i execució.
3. Estableix una sèrie de requisits essencials per als processos de gestió de vulnerabilitats establerts pels fabricants per a garantir la ciberseguretat dels productes digitals durant tot el seu cicle de vida. Els fabricants hauran d’informar sobre les vulnerabilitats i incidents.
4. Els estats membres designaran una autoritat notificadora que establirà els procediments necessaris per a l’avaluació i notificació dels organismes d’avaluació de la conformitat i el seguiment dels organismes notificats.
5. Té com a principal objectiu que els consumidors tinguin suficient informació sobre la ciberseguretat dels productes que adquireixen i usen.
6. Obliga els fabricants a proporcionar suport de seguretat i actualitzacions de programari per a resoldre les vulnerabilitats identificades.
7. Els fabricants, importadors i distribuïdors tindran l’obligació d’incorporar requisits essencials de ciberseguretat en el disseny, desenvolupament, producció, lliurament i manteniment de dispositius digitals. Hauran de lliurar els seus productes sense vulnerabilitats “conegudes” i amb una protecció “segura” per defecte.
8. Els fabricants hauran d’informar activament de les vulnerabilitats i incidents dels seus productes. Hauran de donar suport d’actualitzacions enfront de vulnerabilitats durant la via útil dels seus productes amb un mínim de cinc anys i que es gestionin i mitiguin amb eficàcia.
9. Tots els riscos de ciberseguretat hauran d’estar documentats.
10. Els productes amb elements digitals hauran de comptar amb instruccions clares i comprensibles i hauran de disposar d’una avaluació de conformitat.
“Estem en un context de digitalització en el qual tota classe d’empreses o organitzacions requereixen assessorament específic en ciberseguretat, no sols per a complir amb la legislació, sinó per a oferir serveis i productes que no posin en risc la continuïtat dels seus negocis o la ciberseguretat dels seus clients, conèixer les implicacions de la llei en la seva activitat, dissenyar les mesures que han d’adoptar per a adaptar-se correctament a la Llei de Ciberresiliencia i implementar-les de manera eficient”, ha explicat José Rosell.
“D’altra banda, que un producte sigui segur avui no garanteix que el continuï sent en el futur perquè l’avanç continu de les capacitats tecnològiques i les actualitzacions del programari descobreixen cada dia noves vulnerabilitats. Per aquest motiu, l’avaluació de dispositius haurà de realitzar-se de manera periòdica com un procés de millora contínua, com una baula essencial més del procés de negoci”, ha conclòs el CEO de S2 Grup.
Per Tecnonews