Nueva normativa de ciberseguridad para los Estados miembros de la UE
September 22, 2024 | 6 minutes read
La Ley de Ciberseguridad de la UE (Reglamento (UE) 2019/881) o la Ley de Ciberseguridad de la UE para abreviar es una ley de ciberseguridad que se promulgó recientemente en la UE en 2019. La Ley de Ciberseguridad de la UE se aprobó como resultado de los esfuerzos del Parlamento Europeo tanto para prevenir como para reducir las amenazas relacionadas con la ciberseguridad a partir de 2017. Para ello, la ley estableció la Agencia de Ciberseguridad de la UE, anteriormente conocida como la Agencia de Ciberseguridad de la Unión Europea o ENISA para abreviar, como la autoridad reguladora permanente en materia de ciberseguridad dentro de la UE. Además, la ley también estableció un marco de certificación de la ciberseguridad en la UE. Como tales, la Ley de Ciberseguridad de la UE y el Reglamento General de Protección de Datos o RGPD representan los principales medios por los que se protegen legalmente los datos personales de los ciudadanos residentes en los Estados miembros de la UE.
¿Cuáles son las disposiciones de la Ley de Ciberseguridad de la UE?
Una de las principales disposiciones de la Ley de Ciberseguridad de la UE es el establecimiento de un marco de certificación de ciberseguridad para las tecnologías de la información y la comunicación o TIC. Dado que la certificación desempeña un papel importante e integral tanto en el establecimiento como en el mantenimiento de la confianza con respecto a los productos y servicios que se ofrecen en el mundo digital, la creación de un único marco de certificación al que deben adherirse todos los productos de TIC que se ofrecen en la UE permite una mayor continuidad y cohesión para todas las partes involucradas. Antes de la aprobación de la Ley de Ciberseguridad de la UE en 2019, se utilizaban varios esquemas de certificación de seguridad variados para regular los productos y servicios TIC dentro de la UE. Como tal, la creación de un estándar unificado que todos los proveedores de TIC dentro de la UE puedan seguir permite a dichas entidades salvaguardar más eficazmente sus productos de las amenazas a la ciberseguridad.
En este sentido, el marco de certificación de ciberseguridad establecido por la Ley de Ciberseguridad de la UE establece tres niveles de garantía para todos los productos y servicios TIC. Estos niveles de garantía son básico, sustancial y alto. Estos niveles de garantía se utilizan para transmitir el riesgo potencial que un producto TIC puede suponer para un consumidor dentro de la UE, tanto en términos de probabilidad como de impacto de un accidente relacionado con la seguridad de los datos. Así pues, cada sistema de certificación que un proveedor de TIC que opere en la UE aplique en virtud de las disposiciones de la Ley de Ciberseguridad de la UE deberá especificar lo siguiente:
- Las categorías específicas de productos y servicios de TIC que están cubiertos.
- Los requisitos de ciberseguridad que corresponden a dichos productos y servicios de TIC, como las normas o especificaciones técnicas aplicables, entre otros detalles pertinentes.
- El tipo de evaluación que se utilizó para asignar a un determinado producto o servicio de TIC un determinado nivel de garantía, ya sea una autoevaluación realizada por un proveedor de TIC o una evaluación realizada por un tercero.
- El nivel de garantía previsto para el producto o servicio de TIC en cuestión.
¿Cómo se gestiona el proceso de certificación con arreglo a la Ley de Ciberseguridad de la UE?
En virtud de la Ley de Ciberseguridad de la UE, cada Estado miembro de la UE es responsable de designar una “autoridad nacional de supervisión de la certificación que se encargará de gestionar la emisión de la certificación, la conformidad y las sanciones relacionadas con el incumplimiento”. A partir de 2022, toda certificación de ciberseguridad dentro de la UE será voluntaria, a menos que dicha certificación sea obligatoria en virtud de otras leyes dentro de un determinado estado miembro de la UE. Sin embargo, se espera que la actual naturaleza voluntaria del proceso de certificación en virtud de la Ley de Ciberseguridad de la UE cambie en el futuro, ya que el marco de certificación de ciberseguridad establecido por la ley sustituye efectivamente a todos los marcos nacionales que existen actualmente en los Estados miembros de la UE. En términos generales, se espera que los proveedores de TIC que ofrecen productos considerados de bajo riesgo según el marco de certificación puedan confiar en los procedimientos de autoevaluación y de terceros en un futuro previsible.
Sin embargo, se estima que la Agencia de Ciberseguridad de la UE determinará si los proveedores de TIC que ofrecen productos y servicios de TIC sustanciales o de alto riesgo tendrán que someterse a un proceso más riguroso para lograr el cumplimiento de la ley ya en 2023. De este modo, muchos proveedores de TIC de la UE tendrán que ajustarse a las disposiciones establecidas en la Ley de Ciberseguridad de la UE o enfrentarse a la posibilidad de sanciones y penalizaciones. Al igual que se hizo con el establecimiento de la ley GDPR de la UE, es más que probable que los proveedores de TIC y otros profesionales de la ciberseguridad que realizan operaciones dentro de la UE dispongan de un período de gracia para adoptar las medidas y los pasos necesarios para cumplir la ley. No obstante, se anima a todos los proveedores de productos y servicios TIC dentro de la UE a someterse al proceso de certificación de ciberseguridad en su forma actual, independientemente del nivel de garantía de sus productos concretos.
¿Afecta la Ley de Ciberseguridad de la UE a las empresas estadounidenses?
Al igual que las empresas y negocios estadounidenses que realizan operaciones dentro de los estados miembros de la UE deben cumplir con las disposiciones de la ley GDPR de la UE, los proveedores de TIC estadounidenses también tendrán que cumplir con la Ley de Ciberseguridad de la UE. Como tal, muchas empresas con sede en Estados Unidos que ofrecen productos y servicios a los estados miembros de la UE también tendrán que pasar por la certificación de ciberseguridad para garantizar que sus operaciones cumplen con todas las disposiciones establecidas por la ley. Dicho esto, las empresas estadounidenses deben encargarse de adquirir un conocimiento firme y exhaustivo de las diferentes facetas y particularidades de la ley, ya que el panorama actual de la privacidad en Estados Unidos está dominado en gran medida por leyes y reglamentos estatales, en marcado contraste con la legislación de amplio alcance y omnicomprensiva que sigue aprobándose en la UE.
A medida que más empresas y organizaciones sigan ofreciendo productos y servicios en línea a los consumidores de todo el mundo, una legislación como la Ley de Ciberseguridad de la UE no hará sino aumentar en frecuencia. Como los productos y servicios de las TIC no son tangibles, el desarrollo de procesos y procedimientos que los posibles consumidores puedan utilizar para calibrar el riesgo asociado a un determinado producto o servicio es primordial para garantizar que las transacciones puedan realizarse de la manera más transparente y eficiente posible. De este modo, la UE sigue liderando la legislación sobre privacidad y protección de datos en todo el mundo.