Propuesta de Ley de Ciberresiliencia para residentes en UE

December 13, 2024 | 4 minutes read
Propuesta de Ley de Ciberresiliencia para residentes en UE

En 2021 se produjo la mayor filtración de datos de la historia, por lo que muchos países del mundo se han esforzado por encontrar nuevas formas de protegerse contra los efectos adversos de este tipo de sucesos. Con este fin, la semana pasada saltó la noticia de que la Comisión Europea estaba considerando aprobar una nueva ley de ciberseguridad denominada Ley de Ciberresiliencia de la UE (CRA, por sus siglas en inglés). Asimismo, de aprobarse, la CRA impondría nuevos requisitos de ciberseguridad a las empresas y organizaciones que prestan servicios a los ciudadanos que residen en los Estados miembros de la UE.

Más concretamente, “la CRA introduce normas comunes de ciberseguridad para fabricantes, desarrolladores y distribuidores de productos con elementos digitales, que abarcan tanto el hardware como el software. Las normas pretenden garantizar que: (i) los productos conectados y el software comercializados en la UE sean más seguros; (ii) los fabricantes sigan siendo responsables de la ciberseguridad durante todo el ciclo de vida de un producto; y (iii) los consumidores estén debidamente informados sobre la ciberseguridad en torno a los productos que compran y utilizan.”

Los deberes de las empresas en virtud de la CRA

En caso de convertirse en ley, la CRA impondría una serie de nuevas responsabilidades y obligaciones a las empresas que operan en la UE en materia de ciberseguridad y protección de datos. En particular, las empresas sólo podrán vender productos que contengan elementos digitales si cumplen los “requisitos esenciales de ciberseguridad”. Por ejemplo, uno de estos requisitos establece que “los productos deben proteger la disponibilidad de las funciones esenciales, incluida la resistencia contra ataques de denegación de servicio y su mitigación”.

Por otra parte, la CRA también impondría requisitos adicionales a los denominados “productos críticos”, ya que todos los productos digitales que se venden en la UE se clasificarían en categorías específicas en función de su riesgo desde el punto de vista de la ciberseguridad. Por ejemplo, según la ley propuesta, los productos de clase 1 incluirían los sistemas de gestión de contraseñas y redes, entre otros, mientras que los de clase 2 incluirían los sistemas operativos para dispositivos móviles, ordenadores de sobremesa y servidores, como iOS de Apple y ChromeOS de Google.

Notificaciones de violación de datos

Además, la CRA impondría nuevas obligaciones a las empresas en materia de notificación de violaciones de datos. Por ejemplo, la ley exigiría a una empresa que haya sufrido una violación de datos que notifique a la Agencia Europea de Ciberseguridad (ENISA) “en un plazo de 24 horas desde que tenga conocimiento de cualquier vulnerabilidad activamente explotada contenida en el producto o de cualquier incidente que repercuta en la seguridad del producto”. Además, los usuarios de dichos productos también deben ser notificados de cualquier vulnerabilidad sin demora indebida.

Acuerdo EE.UU.-UE sobre el Escudo de Privacidad

Además, el nuevo acuerdo sobre el Escudo de la privacidad entre EE.UU. y la UE que el Presidente Biden dio a conocer la semana pasada también afectará a cualquier posible legislación sobre ciberseguridad que promulgue la UE en los próximos meses. Debido a la gran cantidad de negocios que muchas empresas estadounidenses llevan a cabo en los Estados miembros de la UE, las transferencias transfronterizas de datos personales han sido durante muchos años un motivo de preocupación para los funcionarios gubernamentales y los ciudadanos que residen tanto en los EE.UU. como en la UE, respectivamente. Sin embargo, debido a la falta de legislación sobre protección de datos que existe actualmente en EE.UU., muchos Estados miembros de la UE han expresado su preocupación por la capacidad de las empresas con sede en EE.UU. para proteger la información personal de los millones de ciudadanos de la UE.

Como resultado, la CRA podría servir como otra forma de protección para los consumidores que residen en los Estados miembros de la UE, junto con las disposiciones del Reglamento General de Protección de Datos (RGPD). A este respecto, si la forma en que se ha aplicado el GDPR en los últimos años sirve de indicación, las empresas que violen las disposiciones de la CRA podrían estar sujetas a fuertes multas y sanciones monetarias. En consecuencia, la aprobación de la CRA tiene el potencial de hacer que el panorama de la protección de datos y la privacidad personal en la UE sea más riguroso de lo que ya es actualmente.

Aunque ninguna ley o reglamento bastará por sí solo para impedir que se vulnere la intimidad personal de los consumidores, las medidas que ha adoptado la UE para dar a los ciudadanos de toda Europa la seguridad de que sus datos personales estarán protegidos a través de numerosas medidas constituyen un planteamiento sin parangón en todo el mundo. Dicho esto, la nueva ley de ciberseguridad propuesta seguirá proporcionando a los ciudadanos que residen en los Estados miembros de la UE una capa adicional de protección en lo que respecta a la privacidad de los datos.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »