La UE impondrá duras normas a los fabricantes del Internet de las cosas
Las empresas afrontarán multas de 15 millones de euros o el 2,5% de la facturación si no cumplen los requisitos sobre ciberseguridad.
Las empresas tendrán que obtener certificados de requisitos mínimos de ciberseguridad
Los fabricantes de productos del Internet de las cosas (IoT por sus siglas en inglés), como hervidores y frigoríficos inteligentes, y los desarrolladores de software se enfrentarán a fuertes multas si no cumplen las estrictas normas dirigidas a evitar los ciberataques, según el proyecto de legislación de la UE que se dará a conocer la próxima semana.
Las empresas tendrán que obtener certificados obligatorios que demuestren que cumplen los requisitos básicos de ciberseguridad que minimizan el riesgo de ataques, según un documento confidencial visto por Financial Times.
Las que no lo cumplan serán multadas con hasta 15 millones de euros o el 2,5% de la facturación mundial del año anterior, lo que sea mayor.
Las nuevas normas también otorgarán a la Comisión Europea, el brazo ejecutivo de la UE, poderes para retirar y prohibir los productos que no cumplan la normativa.
Un estudio realizado por los organismos regulatorios de la UE puso de manifiesto que sólo la mitad de las empresas pertinentes aplican medidas de protección adecuadas contra los ciberataques. El tamaño del mercado ronda las 23.000 empresas fabricantes de hardware y los 370.000 fabricantes de software, con una facturación anual combinada de 285.000 millones y de 265.000 millones de euros, respectivamente.
La investigación también reveló que dos tercios de los ciberataques proceden de infracciones detectadas previamente que los fabricantes no habían corregido, algo que la nueva normativa exigirá para que los productos puedan acceder al mercado de la UE.
“Los productos de hardware y software son cada vez más objeto de ciberataques exitosos, lo que se traduce en un coste global anual estimado de la ciberdelincuencia de 5,5 billones de euros en 2021”, recogía el documento confidencial calificado de “sensible”.
Según las normas propuestas, que se espera que se conviertan en ley en 2024, los fabricantes del IoT deben informar a las autoridades y a los consumidores sobre los ataques y deben ser capaces de poner en marcha soluciones rápidas.
Los legisladores señalan en el proyecto de propuestas que los productos “inteligentes” adolecen de “un bajo nivel de ciberseguridad” y de “una insuficiente comprensión y acceso a la información por parte de los usuarios, lo que les impide elegir productos con características de ciberseguridad adecuadas”.
La legislación propuesta llega un año después de que el comisario de Mercado Interior, Thierry Breton, dijera que se necesitan nuevas normas para contrarrestar los ciberataques en el creciente mercado del IoT.
En septiembre de 2021, el comisario afirmó en un blog que el riesgo de ciberataques en Europa aumentaba “con la explosión de objetos conectados y el mayor uso de datos industriales”.
“Debemos actuar en el frente normativo para elevar el nivel de seguridad dentro de nuestro mercado único”, añadió.
De aplicarse, las medidas serían las primeras normas de la UE que afectarían a todos los sectores en los que hay un componente digital para contrarrestar la amenaza de los ciberataques, señalaron personas informadas al respecto.