Recentment, s’ha aprovat a nivell europeu la CRA (European Cyber Resilience Act, Llei de Ciberresiliència Europea)
07/12/2023

La Llei de Ciberresiliència Europea és un marc legal que descriu els requisits de ciberseguretat per a productes de maquinari i programari ubicats al mercat de la Unió Europea.
Abans de la Llei de Ciberresiliència Europea, les diverses actuacions i iniciatives arribades a nivells nacionals i comunitaris només abordaven parcialment problemes i riscos relacionats amb la ciberseguretat, i creaven un mosaic legislatiu dins del mercat interior.
La incertesa legal va augmentar tant per a fabricants com per als usuaris de tots els productes, i alhora s’afegia una càrrega en fer complir a les empreses un nombre de requisits per a productes similars.
S’aborden dos problemes principals:
- El baix nivell de ciberseguretat dels productes amb elements digitals, reflectit per les vulnerabilitats generalitzades i la prestació insuficient i inconsistent d’actualitzacions de seguretat per abordar-les.
- La insuficient comprensió i accés a la informació per part dels usuaris, que els impedeix triar productes amb propietats de ciberseguretat adequades o utilitzar-los de manera segura.
En determinades condicions, tots els productes amb elements digitals integrats o connectats a un sistema d’informació electrònic més gran poden servir com a vector d’atac per a actors maliciosos.
Com a resultat, fins i tot el maquinari i el programari considerats com a menys crítics poden facilitar el compromís inicial d’un dispositiu o xarxa, tot permetent als actors maliciosos obtenir accés privilegiat a un sistema o moure’s lateralment entre els sistemes.
La Llei de Ciberresiliència és un marc legal proposat per la Comissió Europea que busca establir requisits de ciberseguretat estàndard per als productes amb elements digitals que es comercialitzen a la Unió Europea. Formulat inicialment el setembre de 2022, aquesta llei es concep com una resposta a la necessitat crítica d’assegurar que els productes digitals siguin segurs al llarg de tot el seu cicle de vida.
Context i necessitat abans de la Llei de Ciberresiliència
La Unió Europea ja tenia un conjunt d’accions i mesures a nivell tant de la Unió com nacional, però aquestes només abordaven parcialment els problemes i riscos relacionats amb la ciberseguretat. Això va crear una espècie de “vànova de retalls” legislativa, que no només generava incertesa legal per a fabricants i usuaris de productes digitals, sinó que també suposava una càrrega per a les empreses que havien de complir amb diferents requisits per a productes similars.
La importància de la ciberseguretat d’aquests productes no només és crucial, sinó que també té una dimensió transfronterera, ja que els productes fabricats en un país freqüentment són utilitzats per organitzacions i consumidors a tota la UE.
Principals problemes abordats
- Baix nivell de ciberseguretat: es reflecteix en les nombroses vulnerabilitats i la provisió insuficient i inconsistent d’actualitzacions de seguretat.
- Comprensió i accés a informació insuficient per part dels usuaris: això impedeix que els usuaris triïn productes amb propietats adequades de ciberseguretat o els utilitzin de manera segura.
Política acordada i procés legislatiu
L’1 de desembre de 2023, es va assolir un acord polític sobre la Llei de Ciberresiliència, a l’espera de l’aprovació formal per part del Parlament Europeu i del Consell. Un cop adoptada, la llei entrarà en vigor 20 dies després de la seva publicació al Diari Oficial. Posteriorment, els fabricants, importadors i distribuïdors tindran 36 mesos per adaptar-se als nous requisits.
Elements principals:
- Responsabilitat dels fabricants: han de garantir la conformitat amb els requisits de seguretat dels productes digitals en el mercat de la UE, i complir amb obligacions com ara l’avaluació de riscos de ciberseguretat i la declaració de conformitat.
- Gestió de vulnerabilitats: s’exigeixen requisits essencials per als processos de gestió de vulnerabilitats per tal d’assegurar la ciberseguretat dels productes digitals.
- Transparència: es millorarà la transparència sobre la seguretat dels productes de maquinari i programari per als usuaris i consumidors.
- Vigilància del mercat: s’estableix un marc per vigilar i fer complir aquestes normatives.
Articles i propostes principals
El projecte de legislació també imposa principis de ciberseguretat des del disseny i per defecte, cosa que obliga els fabricants a garantir la seguretat al llarg del cicle de vida del producte, i no només dependre dels usuaris i voluntaris per establir un nivell bàsic de seguretat.
Implementació i mecanismes
Un cop passada la llei, els fabricants tindran un període de gràcia de dos anys per adaptar-se als nous requeriments, i un any per informar sobre vulnerabilitats i incidents. L’incompliment podria comportar multes de fins a 15 milions d’euros o el 2,5 % del volum de negocis anual global de l’infractor.
Classificació de productes i auditories
Els productes es classificaran en dues classes de risc, i aquells considerats com a ‘crítics’ hauran de ser sotmeses a auditories externes. A més, els productes que portin la certificació CE compliran amb un nivell mínim de controls de ciberseguretat.
Impacte i consideracions
Amb la Llei de Ciberresiliència, la UE aspira a convertir-se en un líder global en ciberseguretat i podria canviar les regles de joc a nivell internacional. A més, la regulació podria tenir efectes en el desenvolupament de programari lliure, ja que diverses organitzacions han expressat la seva preocupació per un possible “efecte inhibidor” en aquest àmbit.