La Cyber Resilience Act (CRA) de la Comisión Europea tiene como objetivo cerrar el mosaico digital de dispositivos y sistemas con conexión a la red. Las redes industriales y las infraestructuras críticas requieren una protección especial. El reglamento de la UE sobre resiliencia cibernética puede significar multas millonarias para fabricantes, distribuidores e importadores.
Según la Unión Europea, actualmente hay un ataque de ransomware cada once segundos; Solo en las últimas semanas, ha afectado a un fabricante líder de alimentos para bebés y a un proveedor mundial de automóviles de nivel 1 con sede en Alemania, y este último ha sido víctima de un ataque masivo de ransomware. Tal ataque incluso llevó a la insolvencia del fabricante Prophete en enero de 2023.
Las brechas de seguridad deliberadas son castigadas
Con el fin de responsabilizar a los fabricantes, distribuidores e importadores, se amenazan con sanciones severas si se descubren brechas de seguridad en los dispositivos y no se informan y cierran correctamente. “La presión sobre la industria (fabricantes, distribuidores e importadores) está creciendo enormemente. La UE implementará esta regulación sin compromiso, incluso si aún quedan algunos pasos de trabajo por completar, por ejemplo, con las autoridades estatales locales", dice Jan Wendenburg, Director General de la empresa de ciberseguridad ONEKEY.
Multas: 15 millones de euros o el 2,5 por ciento de las ventas anuales
Las multas para los fabricantes y distribuidores afectados son, por lo tanto, altas: hasta 15 millones de euros o el 2,5 por ciento de las ventas anuales globales en el último año fiscal: el número mayor cuenta. "Esto lo deja inequívocamente claro: si no se implementan las especificaciones, los fabricantes enfrentan sanciones severas", continuó Wendenburg.
Los fabricantes, distribuidores e importadores deben notificar a ENISA, la Agencia de Ciberseguridad de la Unión Europea, dentro de las 24 horas si se aprovecha una vulnerabilidad en cualquiera de sus productos. Se penaliza la superación de los plazos de notificación.
Los fabricantes deben responder a la Ley de Resiliencia Cibernética
La propuesta de la Comisión prevé que los nuevos requisitos se apliquen 24 meses después de la entrada en vigor del Reglamento. Los elementos individuales, como la obligación de informar los incidentes de seguridad, deben aplicarse después de 12 meses. “El horizonte de tiempo es ajustado considerando que los pedidos de productos de TI de los fabricantes OEM ya se están realizando este año para los próximos 12 a 18 meses. Por lo tanto, la situación de tiempo debe ser considerada y resuelta ahora antes de que un producto no pueda salir al mercado debido a defectos o se retrase el lanzamiento al mercado", explica Jan Wendenburg de ONEKEY.
La empresa opera una plataforma de análisis de firmware para encontrar vulnerabilidades de seguridad en dispositivos inteligentes y en red, desde robots aspiradores hasta controles industriales por valor de millones. Con una Evaluación de Preparación para la Resiliencia Cibernética, ONEKEY ofrece la posibilidad de que los fabricantes, distribuidores e importadores ya verifiquen sus productos para los requisitos esenciales de la Ley de Resiliencia Cibernética y también para examinar las brechas de seguridad y también la SBOM (Software Bill of Materials) se puede llenar con contenido.
Más en ONEKEY.com
Acerca de ONEKEY ONEKEY (anteriormente IoT Inspector) es la plataforma europea líder en análisis automáticos de seguridad y cumplimiento para dispositivos en la industria (IIoT), producción (OT) e Internet de las cosas (IoT). Utilizando "Digital Twins" y "Software Bill of Materials (SBOM)" creados automáticamente de los dispositivos, ONEKEY analiza de forma independiente el firmware en busca de brechas de seguridad críticas y violaciones de cumplimiento, sin ningún código fuente, dispositivo o acceso a la red.