Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities.jpg)
Ley de ciberresiliencia y entornos industriales: ¿un reglamento a tiempo?
Aunque llega en medio de una gran tormenta internacional, nunca es tarde si la dicha es buena. El día 1 de diciembre se publicó el reglamento de aplicación sobre la Ley de Ciberresiliencia, primer paso para su aprobación final (por el Parlamento Europeo) y publicación en el Diario Oficial de la unión.
Una vez entre en vigor los fabricantes, importadores y distribuidores de productos software y hardware tendrán 36 meses para adaptarse a su aplicación. Parece suficiente tiempo, pero muchos se van a tener que adaptar y van a tener mucho que cambiar.
No ha sido un camino fácil, como cualquier tipo de norma o reglamento que involucra a tantos países, pero el camino que se inició en 2020 ha concluido justo 3 años más tarde con este reglamento que vamos a repasar a continuación. Concretamente revisaremos algunos puntos importantes para su aplicación orientada al ámbito OT.
Aspectos fundamentales de la ley: ámbito, responsabilidad, gestión y notificación
Como toda ley, los aspectos fundamentales de ésta están relacionados con los conceptos indicados en el título de este apartado, pero ¿en qué medida?
- Ámbito: además de establecer el tipo de producto sobre el que aplica este reglamento (literalmente: “todos los productos conectables consistentes en equipos y programas informáticos” o “los productos con elementos digitales”), se establecen varios niveles a la hora de clasificar los productos en función de su criticidad y el riesgo de ciberseguridad asociado. Mientras que para determinar la criticidad se toman en consideración las repercusiones de las posibles vulnerabilidades presente en el producto; para determinar el riesgo de ciberseguridad se tienen en cuenta la funcionalidad del producto relacionada con la ciberseguridad y el uso previsto de éste en entornos sensibles, como, por ejemplo, el industrial (mencionado explícitamente en el documento).
También, dentro de los productos críticos, se establecen dos clases a las que pertenecerían: “Clase I” y “Clase II”. La diferencia entre ambos es que dentro la Clase II se introducen aquellos productos críticos que presentan un riesgo más elevado respecto al impacto de una vulnerabilidad en servicios esenciales e infraestructuras críticas. Por lo tanto, esto implica que un mismo producto puede encontrarse dentro de ambas clases, lo que puede llevar a confusión y que implica directamente a quien da el uso a esos productos (el cliente). Un ejemplo en referencia al ámbito industrial es el siguiente:
Clase I
“Sistemas de control de la automatización industrial no incluidos en la clase II, como controladores lógicos programables, sistemas de control distribuidos, controladores numéricos computerizados para máquinas-herramienta (CNC) y sistemas de control de supervisión y adquisición de datos (SCADA)."Clase II
Como comentábamos, al final el destino y el uso de este tipo de sistemas será dependiente del cliente, por lo que este aspecto será de gran importancia para ellos.
“Sistemas de control de la automatización industrial destinados a ser utilizados por entidades esenciales del tipo contemplado en el [anexo I de la Directiva 2022/2555 (NIS2)], como controladores lógicos programables, sistemas de control distribuidos, controladores numéricos computerizados para máquinas-herramienta (CNC) y sistemas de control de supervisión y adquisición de datos (SCADA).”
- Responsabilidad: se establecen normas para reequilibrar la responsabilidad del cumplimiento hacia los fabricantes, que deben evaluar el estado de su producto (software o hardware). Ejemplos de esto son las evaluaciones de riesgos, las declaraciones de conformidad y los procedimientos de colaboración con las autoridades en el caso de ser requeridos. Además, se menciona expresamente a la cadena de suministro y se considera responsables a los implicados en ella.
También respecto a la responsabilidad, esta ley complementa la directiva 85/374 de la CEE. En esta directiva se establecen normas en materia de responsabilidad por los daños causados por productos defectuosos. Al relacionarlas directamente, se está considerando que el fabricante de un producto es responsable de los daños causados por la falta de seguridad de su producto, lo que es un salto notable respecto al paradigma actual.
⚠️ Además, podría aplicarse la responsabilidad del fabricante si se considera que la falta de seguridad está relacionada con la falta de actualizaciones. Si este tipo de responsabilidades y penalizaciones se aterrizan adecuadamente, estamos hablando de un antes y un después en esta materia.
Todo esto es especialmente relevante cuanto más críticos son los sistemas a tratar, ya que son más apetecibles para un posible atacante y el daño causado por uno de estos sistemas sería mayor (lo que equivale a un mayor coste). Por lo tanto,
El ámbito industrial parece uno de los más afectados por las nuevas exigencias respecto a las responsabilidades.
Aunque los dispositivos industriales suelen ser robustos, no debemos olvidar que son cada día más atacados y su manipulación, parada o deterioro lleva a contabilizar grandes pérdidas en pocos minutos.
- Gestión y procedimientos: asumir responsabilidades de lo que pase en los productos requiere de procedimientos y gestión que sirvan para adjudicar esas responsabilidades y posibles penalizaciones en el caso de que algo no sea acorde a la norma. En este ámbito, se señalan varios conceptos que indicamos a continuación:
- Se establecen límites inferiores a la vida útil (prevista) del producto. Concretamente, hablamos de 5 años de manera genérica. La llegada de dispositivos IT e IoT a los entornos industriales hace que este tipo de medidas refuercen a todo el ecosistema, ya que los dispositivos industriales suelen tener vidas útiles mayores y se busca siempre un soporte acorde.
- Se exige la existencia de procesos de gestión de las vulnerabilidades que se detecten. Esto también afecta a los importadores y distribuidores, aunque los fabricantes se lleven la mayor parte de esta exigencia. En este sentido, cada vez más fabricantes de dispositivos industriales tienen sus propios equipos hacer esta gestión. No obstante, dejar de darlo por hecho y que pase a ser “norma” es una buena noticia.
- Se regulan medidas que mejoren la transparencia respecto a la Ciberseguridad de los productos de cara a los consumidores, lo que supone un gran avance en todos los ámbitos, pero especialmente en el del IoT y su gemelo industrial “Industrial IoT”.
- Notificaciones: en este aspecto, la ley abunda en la necesidad de notificar fallos de ciberseguridad que ya resaltó la Directiva NIS (y sus versiones posteriores). Lo que se indica en este apartado es el procedimiento y necesidad de notificación, así como el establecimiento de puntos de contacto a nivel nacional y supranacional. Todo esto refuerza a toda la estructura cibernética europea, lo que nos beneficia a todos.
También el hecho de exigir notificaciones permite actuar antes en materia de protección de infraestructuras críticas, donde, como todos podemos intuir, los entornos industriales suelen estar presentes.
Otros conceptos: la importancia de los detalles
Además de todo esto, la ley hace referencia constante a otros términos como piedras angulares de la legislación europea en materia de Ciberseguridad.
Una de esas piedras son las referencias a otras normativas de la UE, que sirven para vincular esta ley con el resto del marco europeo. La ley, por lo tanto, no es un todo, sino que es una columna dentro de un edificio con muchos vecinos (la UE). Más columnas, más sólido será el edificio. Muchas o pocas columnas, problemas a la vista.
También los servicios esenciales y las infraestructuras críticas de los países de la Unión Europea son mencionados en todo el documento, dejando claro el ámbito más restrictivo de esta normativa y la relevancia que adquiere en el espacio de la Unión.
Otros términos y conceptos como “operadores digitales”, “proveedores de infraestructuras digitales”, “cadena de suministro” o “computación en la nube” también dejan claro que se pretende introducir bajo el paraguas de esta ley el acceso a internet y sus servicios de manera general.
También se encuentran en el documento las referencias a la seguridad desde el diseño, reconociendo la importancia fundamental de este concepto como elemento de seguridad frente al avance del tiempo.
Además, la ley establece también la necesidad de que existan organismos nacionales y supranacionales que puedan velar por que se cumplan los conceptos mencionados en la ley. Estos organismos tendrán que poseer sus propios procedimientos de operación y coordinación interna para que haya una estandarización a la hora de evaluar dispositivos y su conveniencia en cada ámbito de los indicados en la ley. También a la hora de notificar una vulnerabilidad o amenaza, ya que la notificación debería ser sólo el primer paso dentro de la gestión de este tipo de incidencias.
En suma, los documentos recorren el estado actual del arte, dando una dimensión amplia a la ley y dotándola de mecanismos para regular y transformarse a las nuevas realidades del futuro.
Vísteme despacio, que tengo prisa
La Unión Europea lleva años trabajando en la regulación en materia de ciberseguridad. Aunque nos pueda parecer que van lentos y tarde, la realidad es que no es sencillo redactar normas de este calado y que afecten positivamente a países tan distintos como los que formamos parte de la Unión. El trabajo ha sido arduo y va a seguir siéndolo durante años, porque la tecnología avanza, los malos y los buenos compiten en una eterna carrera (¿de qué me suena eso?).
Sin embargo, es fundamental establecer las bases de un marco legal en el que los reglamentos se relacionen de manera que permitan en mínimo número de agujeros por los que se pueda colar cualquier cosa. Al establecer un marco general, lo que se busca es proteger no solo a aquello que es fundamental para el funcionamiento de un país (o varios), sino proteger también a los que hacen uso de todo, que es la ciudadanía en términos generales.
Las nuevas normas se aplicarán tres años después de la entrada en vigor del acto legislativo, lo que debería dar a los fabricantes tiempo suficiente para adaptarse a los nuevos requisitos. No obstante, se prevé un periodo de gracia de 21 meses extra en lo referente a la obligación de notificación de incidentes y vulnerabilidades por parte de los fabricantes.
◾ Los documentos de la ley, y más información, se pueden consultar aquí: EU Cyber Resilience Act.
Parece que ya está todo hecho y sólo acabamos de empezar.
⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse
