Defender sus servicios digitales: una mirada al interior de la Ley europea de ciberresiliencia

Todos los Artículos

Exitoso Ciberataques contra productos de hardware y software. se están volviendo inquietantemente frecuentes. Según Cybersecurity Ventures, el cibercrimen le costará al mundo unos 7 billones de dólares en 2022. Con un precio tan alto, no es de extrañar que tanto las empresas como los gobiernos se estén dando cuenta. Estados Unidos abrió el camino con la orden ejecutiva presidencial sobre la mejora de la ciberseguridad de la nación emitida el 12 de mayo de 2021. Esto fue seguido por el marco de desarrollo de software seguro (SSDF) del NIST Esto se está convirtiendo poco a poco en una nueva mejor práctica establecida, necesaria como algo natural en cualquier producto de software. La Unión Europea no se queda de brazos cruzados... La Ley Europea de Ciberresiliencia es una propuesta de ley diseñada para fortalecer la ciberseguridad de las infraestructuras críticas en toda la UE. 

La fase de recopilación de comentarios para el proyecto de ley comenzó en diciembre de 2020, pero el primer borrador del proyecto de ley no se publicó hasta el 14 de septiembre de 2022. Dado que cualquier legislación de este tipo a gran escala podría tener implicaciones de gran alcance, pensamos en tomar la Sumérgete y trata de explicar de qué se trata este proyecto de ley y quién se verá afectado por él. Comencemos con una breve descripción de la legislación propuesta.

Desglosando la factura: lo que necesita saber

La ECRA tiene como objetivo fortalecer la ciberseguridad de las infraestructuras críticas en toda la Unión Europea (UE). La ley afecta principalmente a los operadores de servicios esenciales y a los proveedores de servicios digitales. Estos se definen en la Directiva existente de la UE sobre la seguridad de las redes y los sistemas de información (Directiva NIS) e incluyen, entre otros, los sectores de energía, transporte, banca, salud e infraestructura digital.

La ley propuesta también se aplicaría a los proveedores de servicios digitales que no están cubiertos por la Directiva NIS, pero que ofrecen servicios en línea a los consumidores en la UE. Estos incluyen mercados en línea, servicios de computación en la nube y motores de búsqueda.

Dado que su objetivo es cubrir cualquier dispositivo conectado que aún no esté cubierto por otra legislación de la UE, es probable que afecte a IoT y otros dispositivos conectados, particularmente aquellos que ya están en el mercado.

La ley propuesta incluye una serie de medidas, tales como:

  • El establecimiento de un esquema de certificación de ciberseguridad para operadores de servicios esenciales y proveedores de servicios digitales.
  • La creación de una plataforma de intercambio de información sobre ciberseguridad para ayudar a las organizaciones a compartir información sobre incidentes y amenazas cibernéticas. El proyecto de ley propuesto incluye la obligación de informar cualquier evento de ciberseguridad dentro de las 24 horas siguientes a la Agencia de Ciberseguridad de la Unión Europea (ENISA). 
  • La adopción de una metodología común para evaluar los riesgos de ciberseguridad y el desarrollo de directrices para la gestión de riesgos.
  • El establecimiento de un Centro Europeo de Ciberresiliencia para brindar apoyo a los estados miembros en caso de un ciberataque.

Es importante destacar que la legislación propuesta incluye un esquema de certificación para productos, servicios y procesos de TIC. El proceso de certificación implica una evaluación de la conformidad realizada por un organismo de evaluación de la conformidad (CAB) designado para determinar si el producto, servicio o proceso cumple con los requisitos especificados en la Ley. La Ley establece un Consejo Europeo de Certificación de Ciberresiliencia, que es responsable de mantener el esquema de certificación y garantizar su coherencia en toda la UE. Las pruebas y auditorías periódicas deben continuar incluso una vez que la nueva junta haya emitido un certificado de conformidad al proveedor del producto, servicio o proceso en cuestión. El monitoreo continuo garantizaría que el cumplimiento de los requisitos del proyecto de ley no decaiga una vez que se otorga el certificado; el mantenimiento del cumplimiento debe ser continuo.

Además, la ECRA propone una serie de medidas para mejorar la cooperación y el intercambio de información entre los estados miembros de la UE y fortalecer las capacidades de ciberseguridad de la UE. Estos incluyen el establecimiento de un Centro Europeo de Competencia en Ciberseguridad y una red de centros nacionales de coordinación de ciberseguridad, así como el desarrollo de un marco común para la notificación y respuesta a incidentes de ciberseguridad. El proyecto de ley también propone la creación de una base de datos europea sobre vulnerabilidades para no depender únicamente de la información de EE.UU. NVD.

El proyecto de ley también cubre la vigilancia y aplicación del mercado para garantizar que los nuevos estándares se cumplan adecuadamente en todos los estados miembros y para cualquier dispositivo y servicio cubierto ofrecido dentro del mercado de la UE, sin importar dónde se hayan fabricado.

¿Cómo se relaciona con las mejores prácticas recientes de Estados Unidos?

Como se mencionó anteriormente, tanto Estados Unidos como la UE se han propuesto mejorar las protecciones de ciberseguridad de sus respectivos mercados. Como tal, tiene sentido ver si alguna de las nuevas mejores prácticas estadounidenses ha llegado a la ECRA.

Para aquellos familiarizados con el SSDF (NIST 800-218) parte del lenguaje de la ECRA puede parecer familiar. El proyecto de ley exige que la seguridad se incluya en los productos desde su creación y no se "añada" más adelante. La ECRA incluye requisitos para la identificación y gestión de riesgos de la cadena de suministro, y el Sistema Europeo de Certificación de Ciberseguridad propuesto, aunque aún no está definido adecuadamente, probablemente requeriría el uso de Lista de materiales de software (SBOM) y prácticas seguras de desarrollo de software.

La propuesta también exige la implementación de medidas técnicas y organizativas para proteger los sistemas de información y los datos, incluido el uso de autenticación y cifrado sólidos, capacidades de monitoreo y detección, planificación de respuesta a incidentes y pruebas y auditorías periódicas de seguridad, todos elementos claramente definidos en el SSDF.

Una de las nuevas mejores prácticas promovidas en EE. UU. es el uso de SBOM para rastrear dependencias, vulnerabilidades y licencias de software. Su objetivo es aumentar la transparencia del producto y permitir a los fabricantes y usuarios una visión más clara de qué podría estar oculto exactamente dentro del producto. Si bien la ECRA no menciona explícitamente los SBOM, vale la pena señalar que la cuestión de la transparencia del software, que incluye el concepto de SBOM, ha sido durante mucho tiempo un tema de discusión en el contexto de la estrategia de ciberseguridad de la Unión Europea. En junio de 2021, la Comisión Europea publicó una propuesta para un Reglamento sobre resiliencia operativa digital para el sector financiero, que incluye el requisito de que las entidades financieras utilicen y mantengan un “inventario completo y actualizado de sus sistemas y activos de TIC”. Este inventario debe incluir “un mapa actualizado de las interconexiones e interdependencias de los sistemas y activos de TIC y, cuando sea relevante, de los respectivos componentes de software y hardware”.

Si bien este requisito es específico del sector financiero, sugiere que la Unión Europea está considerando la importancia de la transparencia del software para garantizar la resiliencia de la ciberseguridad. Queda por ver si la Ley Europea de Ciberresiliencia u otras iniciativas legislativas incluirán requisitos más explícitos para las SBOM en el futuro. 

¿Cómo le afectará este proyecto de ley? 

Como la ECRA aún no es definitiva, es difícil ser definitivo en este punto. Lo que podemos hacer es establecer paralelismos con otra legislación integral de la UE: el RGPD. 

El Reglamento General de Protección de Datos (GDPR) es un reglamento integral de privacidad y protección de datos que adoptó la Unión Europea (UE) en abril de 2016 y entró en vigor el 25 de mayo de 2018. El proyecto de ley se aplica a todas las organizaciones que recopilan, procesan o almacenan los datos personales de personas físicas ubicadas en la UE, independientemente de la ubicación de la organización o de la ubicación de los datos almacenados. Impone obligaciones a las organizaciones para garantizar la seguridad y privacidad de los datos personales, incluidos requisitos para la notificación de violaciones de datos, evaluaciones de impacto de la protección de datos y privacidad por diseño y por defecto. Las organizaciones que no cumplan con el RGPD pueden enfrentarse a importantes multas y otras sanciones.

En los años transcurridos desde que vimos la entrada en vigor del proyecto de ley GDPR, notamos un efecto de "goteo" de esta regulación. Inicialmente, sólo las organizaciones que hacían negocios en la UE sentían que debían cumplir. Las empresas estadounidenses se enfrentaron a varias multas elevadas por ignorar los requisitos del proyecto de ley. Hoy en día, incluso las empresas que no tienen nada que ver con ciudadanos de la UE siguen el reglamento. Sólo tiene sentido cumplir de modo que, si se quiere vender a Europa, no haya necesidad de luchar para lograr el cumplimiento.  

En general, la ECRA opina más o menos lo mismo. Mientras gran parte del mundo todavía lucha por responder al aumento de los incidentes de ciberseguridad, cualquier legislación integral y clara diseñada para mitigar las deficiencias de seguridad de los productores de software tiene buenas posibilidades de ser adoptada. Nuevamente, tiene sentido cumplir con anticipación para que, cuando esté listo para vender a la UE, ya esté cubierto. 

Eso significa que la respuesta a la pregunta '¿Me va a afectar este proyecto de ley?' Es un sí rotundo si tienes algo que ver con la fabricación de software. Puede que no le afecte desde el principio, pero en algún momento tendrá que cumplir, incluso si simplemente se reconoce como una nueva mejor práctica común.

Afortunadamente, un centro de seguridad basado en evidencia puede ayudar

Para superar los cambiantes desafíos de seguridad, actualmente estamos presenciando la evolución de la seguridad de aplicaciones a la seguridad de la cadena de suministro de software. Incluye una nueva generación de tecnologías y herramientas novedosas que intentan abordar estos desafíos. Las herramientas y soluciones automatizadas ayudan a las organizaciones a alcanzar un nuevo nivel de seguridad al proporcionar una plataforma de garantía continua de seguridad del código basada en evidencia que puede dar fe de la confiabilidad del ciclo de vida del desarrollo de software y de los componentes de software.

Escriba es un centro de seguridad de la cadena de suministro de software. Recopila evidencia y la presenta para cada compilación ejecutada a través de su proceso de CI/CD. La solución de Scribe se creó para facilitar el cumplimiento de las regulaciones y mejores prácticas de EE. UU. y la UE en términos de aumentar la transparencia del software y la confianza entre proveedores y usuarios de software. La plataforma permite la creación y el intercambio de SBOM detallados, así como otros conocimientos de seguridad. Además, la plataforma puede verificar que la compilación que está viendo cumple con el nivel 3 de SLSA y con el marco SSDF del NIST. Teniendo en cuenta las relaciones y similitudes obvias entre la ECRA y la SSDF, poder dar fe de que su software cumple con la SSDF podría ser de gran ayuda para establecer también el cumplimiento de la ECRA.

Banner

Una última palabra: no se deje pillar desprevenido

La Ley Europea de Ciberresiliencia es actualmente solo una propuesta y aún no ha sido adoptada por la UE. El acto propuesto se encuentra actualmente en el proceso legislativo, siendo revisado por el Parlamento Europeo y el Consejo de la UE. Se espera que el proyecto de ley pase por varias rondas de negociaciones y revisiones antes de que se adopte como ley. Existe una buena posibilidad de que la versión final de la ley cambie, incluidas las disposiciones relacionadas con la seguridad del producto, la certificación y los productos y sectores que cubre el proyecto de ley. 

Vale la pena señalar que los detalles de cómo la ley propone verificar que los productos cumplan con los estándares de ciberseguridad aún no se han cubierto completamente en el borrador publicado. La versión final de la ley puede incluir requisitos más específicos para la certificación y verificación de productos, entre muchas otras áreas que requieren aclaración. Dado que la legislación aún no se ha implementado completamente, las partes interesadas de la industria sugirieron que la legislación debería incluir definiciones más precisas, teniendo en cuenta las variaciones en la creación, funcionalidad y uso de productos digitales. Dejaron claro que unos requisitos de ciberseguridad demasiado estrictos corren el riesgo de mantener a las pymes fuera del mercado. Para mostrar exactamente cuán inciertas son las cosas, un nuevo actualización desde diciembre de 2022 ya ha colocado los productos SAAS claramente fuera del ámbito de aplicación del reglamento. 

Para dar tiempo a los estados de la UE y a los desarrolladores de productos relevantes para adaptarse, el reglamento propuesto entrará en vigor 24 meses después de su entrada en vigor, con la excepción del requisito de presentación de informes para los fabricantes, que entrará en vigor 12 meses después de la fecha de la proyecto de ley que se convierte en ley. Dos años pueden parecer mucho tiempo, pero si dirige una pequeña o mediana empresa y de repente tiene que seguir una gran cantidad de nuevas regulaciones de ciberseguridad, ese período de tiempo puede parecer demasiado corto.

Independientemente de los detalles exactos, la ECRA representa un importante paso adelante en los esfuerzos de la UE para mejorar la ciberseguridad y proteger la infraestructura crítica y todos podemos esperar un mundo en el que la mayoría de las empresas cumplan con la ECRA con tanta naturalidad como informan a los clientes sobre su colección de cookies. política.  

Este contenido es presentado por Scribe Security, un proveedor líder de soluciones de seguridad de la cadena de suministro de software de extremo a extremo, que ofrece seguridad de última generación para artefactos de código y procesos de desarrollo y entrega de código en todas las cadenas de suministro de software. Más información.