Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
En los últimos meses, Europa se ha convertido en el núcleo de la creación de políticas de ciberseguridad. Con un ataque de ransomware ocurriendo cada once segundos, según datos de la Comisión Europea (CE), esta entidad se ha visto en la necesidad de crear regulaciones que obliguen a los fabricantes a crear productos y ofrecer servicios más seguros.
Por eso, en septiembre del 2022 presentaron un proyecto de ley de ciberresiliencia. A continuación, te explicamos cómo esta ley puede afectar a tu empresa y cómo puedes darle cumplimiento.
La economía mundial cada vez es más dependiente del entorno digital, y los ciberataques a organizaciones e infraestructuras, que son indispensables para su funcionamiento, son cada vez más frecuentes. Según datos de la Comisión Europea (CE), el costo que generan los intentos de perturbar el tráfico en Internet, y las violaciones de seguridad de los datos, suman en total 75 mil millones de euros al año.
Por otro lado, el aumento de los ciberataques en los últimos años, especialmente durante la pandemia de COVID-19, han hecho evidente la importancia de proteger la infraestructura cibernética de hospitales, centros de investigación, productores de energía e instituciones gubernamentales, entre otras.
Como respuesta, muchas empresas privadas deciden funcionar bajo un modelo de ciberseguridad «confianza cero» (zero trust en inglés). Este modelo implica la realización de verificaciones periódicas de seguridad, pues asume que los productos y servicios digitales no son fiables.
A esto se suma la guerra entre Rusia y Ucrania que, según el Washington Post, se ha relacionado con múltiples ciberataques (principalmente ataques de denegación distribuida de servicios, ransomware y phishing) que han impulsado a la Comisión Europea a ajustar sus políticas de ciberseguridad.
La CE presentó un proyecto de ley de ciberresiliencia o resiliencia cibernética en septiembre del 2022, la cual establece nuevos requisitos de ciberseguridad para productos digitales en todo su ciclo de vida útil. Es la primera ley de esta escala que se propone en la Unión Europea (UE) y está basada en la Estrategia de Ciberseguridad de la UE de 2020 y en la Estrategia de la UE para una Unión de la Seguridad, también de 2020.
Esta nueva ley busca dar solución a dos situaciones, principalmente. En primer lugar, muchas empresas fabrican productos digitales con un bajo nivel de ciberseguridad, y no ofrecen actualizaciones para solucionar las vulnerabilidades. Y, en segundo lugar, la incapacidad de los consumidores de elegir productos más seguros por no poseer información veraz sobre los mismos.
Tomando estas situaciones como base, la nueva ley establece que los fabricantes de productos digitales deben eliminar las vulnerabilidades y facilitar a los consumidores servicios de ayuda técnica, e información actualizada y fidedigna sobre las especificaciones de sus productos. Esto abarca tanto hardware como software de productos cableados e inalámbricos.
Algunas de las principales especificaciones de la ley de ciberresiliencia se basan en el nuevo marco para la legislación de productos de la UE, y son las siguientes:
La ley aplicará para las empresas que fabrican productos digitales, así como para los distribuidores e importadores. Esto incluye empresas que, aunque no estén establecidas en suelo europeo, mantengan relaciones comerciales con empresas o instituciones europeas.
Están exentos de cumplirla, aquellos fabricantes para los cuales ya existen requisitos de ciberseguridad en los reglamentos de la UE. Algunos ejemplos de ello son los fabricantes de vehículos, la aviación y los fabricantes de dispositivos médicos. Tampoco afectará a instituciones de seguridad nacional, agencias policiales y semejantes.
En caso de no cumplir esta nueva ley, las autoridades de seguridad pueden solicitar que se elimine la vulnerabilidad existente, pueden impedir la salida de un producto al mercado o solicitar que sea retirado del mismo, aplicando multas en cada caso.
La nueva ley de ciberresiliencia es, por ahora, un proyecto de ley que aún debe ser aprobado por el Parlamento Europeo. Una vez aprobado, las empresas y países tendrán un período de dos años, para hacer las modificaciones necesarias para darle cumplimiento.
Una excepción, es la obligación de notificar cualquier incidente o vulnerabilidad a las autoridades de seguridad, la cual debe ser cumplida después del primer año de su entrada en vigencia, pues requiere menos ajustes organizacionales para ser adoptada.
Adicionalmente, los fabricantes de productos digitales deberán pasar un proceso de evaluación, ya sea interna o mediante un tercero, para garantizar la conformidad con los requisitos. Si estos son cumplidos, la empresa fabricante obtendrá una declaración de conformidad de la UE que les permitirá colocar una marca de aprobación de la Comisión Europea en sus productos, que les permitirá comercializarlos libremente.
Puedes descargar la nueva propuesta de ley aquí.
Si te quedan dudas sobre el contenido de la nueva ley, puedes revisar la página oficial de preguntas y respuestas de la Comisión Europea.
La mejor forma de dar cumplimiento a esta nueva ley, y a otras legislaciones en materia de ciberseguridad, es contactando a expertos en la materia que ayuden a tu empresa a trazar estrategias costo-eficientes y realistas que le permitan mantener un ritmo de trabajo adecuado, a la vez que se cumplen las nuevas exigencias.
El equipo de Delta Protect está formado por especialistas en distintas áreas que trabajan en conjunto para entender las necesidades de múltiples tipos de negocios y ofrecerles soluciones personalizadas a cada uno. Estamos en constante actualización para ofrecer a nuestros clientes asesoramiento y soporte que les permita adaptarse a los nuevos requisitos de sus clientes y proveedores europeos.
Con más de 25 años de experiencia en ciberseguridad y certificaciones de la industria, nuestro servicio de CISO es ideal para ayudar a pymes y startups a dar cumplimiento a estas nuevas normativas y evitar sanciones que pueden incrementar sus costos de producción.
En Delta Protect simplificamos la ciberseguridad y el cumplimiento de tu empresa. Si quieres saber más sobre cómo afectará esta nueva ley a tu empresa y cómo puedes darle cumplimiento, contacta a nuestros expertos.
Santiago Fuentes es cofundador de Delta Protect y del Mexico & Israel Tech Hub. En 2021 fue seleccionado como Mentor de ciberseguridad en Endeavor México. Ha tenido la oportunidad de vivir y entender mercados de tecnología emergentes como Shanghai, Tel Aviv, y Corea del Sur, donde desarrolló conocimientos sobre Ciencia de Datos y Finanzas Corporativas.
