Legislaciones recientes en la Protección de los consumidores de IoT contra las ciberamenazas
Durante los últimos años, a escala global, se han estado tramitando importantes legislaciones que pretenden hacer más ciberseguros los productos de IoT de consumo.
UE: Acto delegado de la Directiva sobre Equipos Radioeléctricos[1]
El 29. octubre de 2021, la Comisión Europea adoptó el Acto Delegado sobre Ciberseguridad de la Directiva de Equipos Radioeléctricos (RED), cuyo objetivo es mejorar la ciberseguridad de los dispositivos inalámbricos disponibles en el mercado europeo. Para defender a los consumidores de las ciberamenazas y proteger su privacidad y sus datos personales, el acto establece nuevos requisitos legales en materia de salvaguardias de ciberseguridad, que los fabricantes deberán tener en cuenta en el diseño y la producción de los productos afectados. El acto es un paso hacia el establecimiento de un conjunto completo de normas europeas de ciberseguridad para los productos (incluidos los objetos conectados) y servicios inalámbricos.
Las medidas propuestas abarcan dispositivos inalámbricos como teléfonos móviles, tabletas y otros productos capaces de comunicarse a través de Internet; juguetes y equipos de puericultura como monitores de bebés; así como una serie de equipos vestibles como smartwatches o rastreadores de fitness.
El acto delegado se complementará con una Ley de Ciberresiliencia, que pretende abarcar más productos, contemplando todo su ciclo de vida. Ambos actos forman parte de la nueva Estrategia de Ciberseguridad de la UE que se presentó en diciembre de 2020.
El pasado 12 de enero de este año, el acto delegado entró en vigor. Los fabricantes disponen de un período transitorio de 30 meses para adaptar sus productos y cumplir con los nuevos requisitos legales de ciberseguridad, privacidad de los ciudadanos y reducción del riesgo de fraudes económicos, es decir, no serán aplicables antes de mediados de 2024, a fin de respetar el calendario de los procesos industriales. El acto delegado será aplicable a cualquier fabricante que pretenda comercializar un producto en la UE.
Los nuevos requisitos legales pueden implicar cambios en el diseño y la producción de los equipos y productos radioeléctricos. Con el fin de ayudar a los fabricantes a cumplir los nuevos requisitos, la Comisión Europea ha lanzado una Solicitud de Normalización (“Standardisation Request” (SReq)) dirigida a las organizaciones europeas de normalización para que elaboren normas al respecto.
El Comité Técnico nacional de Normalización CTN 320 de UNE está participando en el desarrollo del programa de trabajo del Comité Técnico europeo de Normalización CEN/CLC JTC 13 “Cybersecurity and Data Protection”[2]. El cual se colabora con el CLC/TC 65X, con el ETSI y los Comités Técnicos verticales (todos ellos representados en la SRAHG ‘RED Cyber’) para abordar el desarrollo de normas armonizadas en previsión de la futura Solicitud de Normalización.
Antes de introducir sus productos en el mercado de la UE, los fabricantes tendrán que realizar una autoevaluación de la conformidad, si su producto se ha diseñado de acuerdo con las normas armonizadas, o bien tendrán que obtener una evaluación por parte de un organismo de inspección independiente, independientemente de que se haya utilizado o no una norma armonizada.
El acto delegado sólo establece los requisitos esenciales. Los fabricantes son libres de elegir las especificaciones técnicas para cumplir los requisitos legales. Las autoridades nacionales de vigilancia del mercado serán responsables de garantizar que sólo se comercialicen productos seguros y conformes.
Como la ley no se aplicará a los dispositivos que salgan al mercado antes de su entrada en vigor a mediados de 2024, pasará bastante tiempo antes de que los consumidores europeos estén ampliamente protegidos contra las ciberamenazas.
Esfuerzos políticos de China para fomentar el despliegue de IoT
En los últimos años, el gobierno de China ha realizado grandes esfuerzos para fomentar y promover el desarrollo del IoT. Ya en el año 2013, el Consejo de Estado de China emitió las Opiniones orientativas sobre la promoción del desarrollo ordenado del Internet de las Cosas (IoT), que reconoce IoT como una tecnología de la información de nueva generación que alterará fundamentalmente la forma de vivir y trabajar de las personas. El gobierno chino respalda el IoT mediante
- La creación de una atmósfera de desarrollo sólida, como la mejora de las leyes y reglamentos clave para el desarrollo de IoT, incluidas las leyes y reglamentos relativos a la seguridad de la información, la protección de datos y la protección de los derechos de propiedad intelectual;
- Reforzando el apoyo financiero a IoT, como la aprobación de más proyectos tecnológicos nacionales y proyectos tecnológicos materiales para investigar el desarrollo de IoT, la creación de fondos especializados para promover el despliegue de IoT y la concesión de tratamientos fiscales preferentes para las empresas de IoT que se centran en el desarrollo de software y circuitos integrados. Al mismo tiempo, el gobierno chino también acoge el apoyo del capital financiero y el capital de riesgo, y establece fondos de inversión específicamente para invertir proyectos de IoT; y
- Promover la cooperación internacional y el intercambio técnico. El gobierno chino anima a las empresas extranjeras a establecer centros de investigación y desarrollo de IoT en China y a cooperar con las empresas chinas en el campo de la tecnología y los productos críticos de IoT. También se anima a las empresas chinas de IoT a dar un paso adelante para competir con otras empresas procedentes de todo el mundo.
Desde el punto de vista del panorama legal de IoT, actualmente China no cuenta con un régimen de regulación integral para IoT. Las normas del sector chino de telecomunicaciones consiguen captar una amplia gama de actividades en el sector de IoT, aunque de forma dispersa y de alto nivel. Sin embargo, el hecho de que las normas de telecomunicaciones actuales sean aplicables a IoT está sujeto a los escenarios de aplicación específicos de IoT.
EE.UU.: Instituto Nacional de Normas y Tecnología (NIST) – Etiquetado de ciberseguridad para los consumidores: Dispositivos y software del Internet de las cosas (IoT)
El 12 de mayo de 2021, el presidente Biden firmó una orden ejecutiva para modernizar y aplicar normas de ciberseguridad más estrictas, mejorar la seguridad de la cadena de suministro de software y proteger las redes del gobierno federal.
La sección 4 de la orden ejecutiva ordena al Instituto Nacional de Normas y Tecnología (NIST) que inicie dos programas de etiquetado: uno que tenga en cuenta los programas de etiquetado existentes sobre las capacidades de ciberseguridad de los dispositivos de consumo del Internet de las Cosas (IoT) y otro sobre las prácticas de desarrollo de software. El NIST también va a estudiar formas de incentivar a los fabricantes y desarrolladores para que participen en estos programas. (La agencia también recibió varias otras directivas para mejorar la seguridad de la cadena de suministro de software).
En agosto, el NIST publicó un libro blanco para comentarios públicos en el que se recomendaba un borrador de posibles criterios de seguridad de referencia para los dispositivos de IoT. El 2 de diciembre de 2021, teniendo en cuenta los comentarios del público, el NIST publicó un nuevo documento de debate «Etiquetado de ciberseguridad del consumidor para productos IoT: Borrador de discusión sobre el camino a seguir«. En él se identifican tres elementos clave que podrían sentar las bases de un enfoque para una etiqueta de ciberseguridad para los dispositivos IoT de consumo:
- Qué capacidades de ciberseguridad debe demostrar el producto (Criterios del producto)
- Cómo se proporciona la información (Recomendaciones de etiquetado)
- Cómo se puede confiar en la etiqueta (evaluación de la conformidad)
Estos tres elementos combinados forman un enfoque de etiquetado que proporciona información a los consumidores con las debidas garantías.
El NIST publicará los detalles sobre los criterios de ciberseguridad del IoT para un programa de etiquetado para consumidores (y las prácticas de desarrollo de software seguro). IoTAC evaluará los requisitos definidos en estos documentos y adoptará soluciones y tecnologías que permitan a los módulos de IoTAC cumplir la nueva normativa.
[1] https://ec.europa.eu/growth/system/files/2021-10/C_2021_7672_F1_COMMISSION_DELEGATED_REGULATION_EN_V10_P1_1428769.PDF
[2] CEN-CLC/JTC 13 «Ciberseguridad y protección de datos» es el comité técnico horizontal de CEN y CENELEC que se ocupa de estas necesidades. Su objetivo principal es transportar las normas internacionales pertinentes (especialmente de ISO/IEC JTC 1 SC 27) como normas europeas (EN) en el ámbito de las tecnologías de la información (TI). También desarrolla ENs «de cosecha propia», cuando existen brechas, en apoyo de las regulaciones de la UE (RED, eIDAS, GDPR, NIS, etc.). Estas dos corrientes de actividades tienen como objetivo crear una cartera estratégica de normas en Europa, que se ajuste a las necesidades europeas. El CEN-CLC/JTC 13 trabaja estrechamente con ENISA (Agencia de la Unión Europea para la Ciberseguridad) en el contexto de los esquemas de certificación europeos, y con la Comisión Europea, en el marco de la solicitud de normalización relacionada con la ciberseguridad bajo la Directiva de Equipos de Radio (RED).
Team Leader del Grupo de Expertos ITSM4IoT
Comité de Estándares de itSMF España