Ley de Resiliencia Cibernética antes de su aprobación

6. Marzo 2024
| No hay comentarios
Ley de Resiliencia Cibernética antes de su aprobación

Compartir publicación

Próximamente entrará en vigor la Ley de Resiliencia Cibernética de la Comisión Europea, la ley más completa que regula la ciberseguridad de los productos en Europa. Recientemente se han realizado una serie de cambios que especifican el alcance de la ley. La adopción formal se considera segura en los círculos de expertos.

“Desde el punto de vista de nuestro análisis de seguridad, la especificación de la Ley de Resiliencia Cibernética es muy bienvenida, especialmente el nivel de seguridad aún mayor para los usuarios finales. Se han redefinido las clases de dispositivos: el artículo 6 introdujo dos clases adicionales de riesgo de ciberseguridad para productos críticos de hardware y software, cuyas funciones principales se enumeran en el anexo III del Reglamento. Una clase de dispositivo incluye sistemas y dispositivos particularmente críticos. Todos los dispositivos domésticos inteligentes y juguetes interactivos ahora están incluidos explícitamente.

Análisis automático

En nuestras pruebas, descubrimos que estos dispositivos a menudo tienen importantes lagunas de seguridad que podrían identificarse fácilmente mediante un análisis automático de las piezas esenciales y, por tanto, subsanarse más rápidamente. Es posible que aún sea necesario perfeccionar el área de productos industriales y enrutadores, que en la versión actual no estaba incluida en el borrador anterior”, afirma Jan Wendenburg, director ejecutivo de Onekey. La empresa con sede en Düsseldorf opera una plataforma de análisis de Ciberseguridad y Cumplimiento de Productos que analiza el software contenido en todos los dispositivos con acceso a la red y, además de una lista exacta como lista de piezas de software (SBOM), también permite un análisis de seguridad detallado con evaluación de riesgos. de posibles vulnerabilidades. Onekey verifica e identifica automáticamente vulnerabilidades críticas de seguridad y violaciones de cumplimiento en el software integrado, especialmente en dispositivos de Internet de las cosas, y las monitorea y administra durante todo el ciclo de vida del producto. Los fabricantes ahora pueden crear más fácilmente la autodeclaración de cumplimiento que se requerirá en el futuro utilizando el nuevo Onekey Compliance Wizard, es decir, un asistente virtual, y, si es necesario, entregarla a certificadores externos mediante exportación.

Plazos en la Ley de Resiliencia Cibernética

Para muchos fabricantes, el período de transición de 36 meses otorgado por la UE ya es ajustado (el desarrollo de nuevos productos y software suele llevar años), por lo que todos los fabricantes deben comenzar la implementación de inmediato. La plataforma de análisis automatizado de ONEKEY detecta vulnerabilidades e infracciones de cumplimiento en minutos, lo que ahorra mucho tiempo y costos de desarrollo a los fabricantes de dispositivos conectados. Los plazos para informar sobre las vulnerabilidades de seguridad descubiertas se acortan en el último borrador de la Ley de Resiliencia Cibernética: “Las nuevas vulnerabilidades de seguridad deben informarse en un plazo de 24 horas a las autoridades nacionales de supervisión y a la Autoridad Europea de Seguridad de las Redes y de la Información ENISA. Para las empresas que fabrican o comercializan dispositivos con acceso a Internet o a la red, la gestión oportuna de riesgos y el análisis exhaustivo de sus propios productos se vuelven aún más importantes para eliminar posibles brechas graves de día cero mucho antes de que la Ley de Resiliencia Cibernética finalmente entre en vigor”. identificar y cerrar”, continúa Jan Wendenburg de ONEKEY. Un componente esencial es la lista de materiales del software, la SBOM (Software Bill of Materials), que, según la UE y autoridades como la Oficina Federal Alemana para la Seguridad de la Información (BSI), desempeñará un papel central en la futura arquitectura de seguridad. .

SBOM con un clic del ratón

También se ha regulado recientemente la cuestión de la responsabilidad del software de código abierto: en los borradores anteriores de la Ley de Resiliencia Cibernética, la obligación de cumplir se imponía a los creadores del software. Sin embargo, la versión actual exime explícitamente de responsabilidad a las organizaciones de código abierto y a las personas físicas que contribuyen a proyectos de código abierto. “Esto significa que la responsabilidad del cumplimiento de las regulaciones de la UE recae únicamente en las empresas que utilizan comercialmente el código fuente abierto o lo comercializan como parte de sus productos.

La BSI ha formulado sus propias directrices SBOM para este fin. Onekey ya puede cumplir con los requisitos de análisis y representación transparentes de los componentes utilizados en toda la cadena de suministro de software. Para ello, la plataforma Onekey Product Cybersecurity & Compliance analiza completamente el software y firmware contenidos en los dispositivos y, además de enumerar todos los componentes incluidos, también realiza un análisis de riesgos en busca de vulnerabilidades. "Nuestra tecnología permite un análisis en profundidad del software de los dispositivos de todas las clases de dispositivos definidas por la UE", explica el director general Wendenburg. Con la verificación de cumplimiento incorporada, los requisitos de cumplimiento técnico legal actuales y futuros, como IEC 62443-4-2, ETSI 303 645 o la Ley de ciberresiliencia de la UE y muchos otros, se pueden verificar automáticamente. En el futuro, la autodeclaración de cumplimiento obligatoria se creará mucho más rápido y más fácilmente utilizando el nuevo Asistente de Cumplimiento pendiente de patente que utiliza un asistente virtual, y para las certificaciones externas, todos los datos se pueden exportar al certificador con un solo clic.

Más en OneKey.com

 

Acerca de ONEKEY

ONEKEY (anteriormente IoT Inspector) es la plataforma europea líder en análisis automáticos de seguridad y cumplimiento para dispositivos en la industria (IIoT), producción (OT) e Internet de las cosas (IoT). Utilizando "Digital Twins" y "Software Bill of Materials (SBOM)" creados automáticamente de los dispositivos, ONEKEY analiza de forma independiente el firmware en busca de brechas de seguridad críticas y violaciones de cumplimiento, sin ningún código fuente, dispositivo o acceso a la red.

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

 

Noticias de prensa
, , , ,