AKME / Noticias / Reglamento europeo de Ciberresiliencia y Software Libre

Reglamento europeo de Ciberresiliencia y Software Libre

Índice de contenidos
​El Reglamento de Ciberresiliencia europeo impone requisitos obligatorios a productos con componentes digitales, incluyendo software libre. Afecta a fabricantes, importadores y distribuidores, exigiendo medidas como evaluación de riesgos, actualizaciones de seguridad y transparencia. El software libre comercializado también debe cumplir, salvo excepciones para pequeñas empresas y proyectos no lucrativos. La normativa entró en vigor el 10 de diciembre de 2024, con un año para adaptarse
Picture of <b>Marelisa Blanco</b>
Marelisa Blanco

CEO de AKME Legal S.L

Este jueves 27 estuve en Santiago, en el centro de Gaias Tech hablando sobre el Reglamento Europeo de Ciberresiliencia y Software Libre, la primera normativa europea que de manera transversal pone requisitos obligatorios para productos con componentes digitales, donde, además, no podía faltar el software libre.

Puedes ver el vídeo de mi intervención sobre ciberresiliencia en youtube, seguida de una estupenda mesa redonda o puedes leer este post donde te explico los puntos claves.

Hay dos tipos de empresas

El software lo ha impregnado todo, aun recuerdo cuando salió la primera nevera que se conectaba a Facebook, aquella Roomba que mapeaba tu casa y se conectaba al wifi, o los juguetes de bebes con cámaras para saber como están yendo los peques de la casa.

Y a veces en algunos productos te preguntabas: això es prècis? (¿Es necesario?)

La gran cantidad de productos conectados implican una puerta de entrada para los delincuentes digitales, o como me gusta llamarles: los “malos”.

No hay software perfecto e inmune a los ciberataques y, haciendo un paralelismo con lo que dicen los motoristas, hay dos tipos de empresas: las que han sufrido una ciber ataque y las que lo sufrirán.

El Reglamento está pensado para que, en caso de que ocurra lo peor, estemos preparados para responder, entonces…

¿Qué es la ciberresilencia?

La ciberresiliencia se refiere a la capacidad de una organización o sistema para anticipar, resistir, recuperarse y adaptarse ante incidentes cibernéticos, garantizando la continuidad y seguridad de sus operaciones. 

Y para eso, el Reglamento Europeo de Ciberresiliencia establece una serie de requisitos que deben tener en cuenta los fabricantes, importadores y distribuidores de productos con elementos digitales.

Los objetivos de la normativa de ciberresiliencia son:

  1. Por un lado, que las empresas, sean del tamaño que sea, diseñen, desarrollen y produzcan productos con altos estándares de ciber seguridad
  2. Por otro, que los consumidos estén debidamente informados sobre los productos digitales que adquieren.

¿Qué es un producto con elementos digitales?

Un producto con elemento digital se refiere a aquellos productos físicos o digitales que estén siendo comercializados.

Pueden ser programas informáticos puros y duros, como los gestores de contraseñas, antivirus, sistemas de gestión de redes, asistentes virtuales, o de gestores de arranque.

O productos físicos que integren software, como los electrodomésticos que te comentaba antes, los juguetes conectados a internet, enrutadores, cerraduras inteligentes o sistemas de cajas fuertes. 

¿Quién debe cumplir con el Reglamento de ciberresiliencia?

  • Las empresas, grandes, pymes o autónomos, deberán cumplir con estas obligaciones, en especial si están desarrollando software o productos digitales.
  • Si tienes una Start Up, lo más seguro es que entres dentro de los sujetos obligados.
  • Este primer grupo pueden ser considerados «fabricantes».
  • Y, como te decía, el Reglamento también afecta al importador de productos con elementos digitales, por lo que si eres importador de productos de, por ejemplo, china, también deberás comprobar que el producto cumple con los estándares europeos.
  • Si eres distribuidor deberás, a su vez, comprobar que los productos que distribuyes cumplen con los estándares marcados por Europa.
  • Sólo si el importador o el distribuidor hacen modificaciones importantes a los productos que comercializan o importan serán considerados Fabricantes y sus obligaciones serán otras.

¿Qué tipo de requisitos tiene el reglamento europeo de ciberresiliencia?

Aunque el reglamento establece requisitos muy específicos para el cumplimiento, podemos englobarlos en estas categorías:

  • Evaluación de riesgos: Identificar y documentar posibles vulnerabilidades.
  • Implementación de medidas de seguridad: Aplicar controles técnicos y organizativos para mitigar riesgos.
  • Actualizaciones y soporte: Proporcionar actualizaciones de seguridad durante el ciclo de vida del producto.
  • Transparencia: Informar sobre la seguridad del producto y cualquier posible riesgo asociado

Aunque estén englobados, lo más importante es la elaboración de documentación, ya que con esta documentación nosotros podremos probar a los organismos de control que hemos tomado todas las medidas posibles para diseñar, desarrollar y producir nuestros productos.

En caso de que el desarrollo cuente con piezas o software creado por terceros, el fabricante deberá cerciorarse de que estos también cumplen con los estándares de ciber seguridad impuestos por la normativa y que puedes conocer a través de los anexos a la misma.

Es decir, que si vas a usar una librería o una dependencia de terceros o pides que fabriquen una pieza de producto a otra empresa, deberás vigilar que se cumplen con la ciberseguridad necesaria y, en su caso, aplicar los parches de seguridad, mejoras o modificaciones que sean requeridas para cumplir con la normativa.

Obligaciones de ciber seguridad

Pero las obligaciones no afectan, sólo, a los fabricantes, sino que las obligaciones se extienden a toda la cadena de suministro, afectando a los importadores y a los distribuidores de estos productos.

Es por eso que la creación y diseño de la documentación que acompañe a nuestro producto para informar de que hemos hecho los deberes y cumplimos con el Reglamento de ciberresilliencia son tan importantes.

Recuerda que nuestros consumidores que tienen el derecho a conocer la información relativa a las medidas adoptadas, así que cuanto más claro escribas: mejor (para ayudarte con esto, te recomiendo que revises mi serie de posts sobre Legal Design).

Si se cumple con los requisitos, el producto deberá tener el sellado CE que muestre su cumplimiento y una hoja informativa sobre «Declaración de cumplimiento» o la versión simplificada que puedes observara en los Anexos.

En estos mismos anexos encontrarás si ponemos el sello CE porque declaramos responsablemente que cumplimos o si tiene que haber un organismo que evalúe si cumplimos con los requisitos del Reglamento de Ciberresiliencia.

¿Qué ocurre si sufro un ciber ataque?

El reglamento europeo de ciberresiliencia establece unos plazos de comunicación y respuesta que debe seguirse, estos varían entre 24 y 72 horas para una primera respuesta.

Luego deberemos realizar unos informes finales donde expliquemos qué ha pasado, como se mitiga el problema o que medidas deben tomar los consumidores afectados, para estos informes contaremos con plazos de 14 días o hasta un mes para completarlos y casi siempre deberás incluir mínimo la siguiente información:

  • una descripción detallada del incidente, que incluya su gravedad y sus repercusiones,
  • el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente,
  • las medidas paliativas aplicadas y en curso.

Todo este proceso será confidencial y será comunicado a su debido tiempo, así, en cuanto a los deberes de información a los consumidores, primero deberemos intentar avisar sólo a los usuarios afectados y en caso de que no sea posible identificarlos, lo haremos con los usuarios en general.

Este aviso debe incluir información sobre cualquier reducción de riesgos y las medidas correctoras que los usuarios puedan adoptar para atenuar las repercusiones de la vulnerabilidad o del incidente.

¿Qué pasa con la ciber resiliencia y el software libre?

El software libre es una pieza clave y central en el desarrollo de software actual y, por eso, el legislador Europeo no podía dejarlo de lado, a pesar de que la Free Software Foundation y otras organizaciones intentaron suavizar la posición.

Esto es así porque muchos proyectos de software libre son proyectos mantenidos por un grupo pequeño de personas y no tienen la capacidad de respuesta y cumplimiento que tienen otras grandes empresas.

Así que para saber si se el Software libre debe cumplir o no con el Reglamento de Ciberresiliencia deberemos, en primer lugar, determinar si se comercializa el software libre o no.

Se considerará que se comercializa si tiene un modelo de negocio directo, como cobrando por él uso (recuerda que Software libre no es gratis), dando soporte técnico, recibiendo donaciones que sobrepasen las necesidades básicas de mantenimiento.

En otras palabras, que si no lo explotas comercialmente y recibes las donaciones justas y necesarias para mantener el proyecto no tienes que cumplir con el Reglamento en el rol de «Fabricante».

Si eres un usuario de software libre y haces una contribución, no hay problema, seguramente estés libre de cualquier problema.

Pero si eres una pequeña empresa emergente recuerda que puede que te toque cumplir con estas obligaciones.

Obligaciones de las comunidades de software libre y la ciberresiliencia

Las obligaciones son básicamente redactar una política de ciberseguridad y de cooperación con las autoridades.

Durante la charla comentan que a lo mejor las comunidades deberán dar relevancia a las Issues que se abran para notificar algún problema de ciberseguridad, yo particularmente espero que puedan contribuir directamente además de notificar de la brecha, fallo o problema.

Multas y sus excepciones.

Las multas pueden alcanzar sumas cuantiosas, pero por suerte hay excepciones. El artículo 64.10 de la Ley de Ciberresiliencia señala dos excepciones a estos regímenes sancionadores: 

  • En primer lugar, los fabricantes considerados microempresas o pequeñas empresas no pueden ser sancionados económicamente por incumplimiento de los plazos de notificación de incidentes graves y vulnerabilidades explotadas activamente.
  • En segundo lugar, los administradores de software de código abierto no pueden ser objeto de sanciones económicas, independientemente de la violación de la Ley de Ciberresiliencia.

¿Cuándo debemos empezar a cumplir?

Teniendo en cuenta que el Reglamento Europeo de Ciberresiliencia entró en vigor el 10 de diciembre de 2024 y que tenemos hasta el 11 de diciembre para que podamos adaptarnos, te recomendaría que cuanto antes mejor.

La implementación de las buenas prácticas y establecer el proceso nos permitirá prepararnos para cumplir con el reglamento y, en caso de que hagamos una modificación sustancial, ya tenemos todos los procesos generados para cumplir con la normativa.

Y hasta aquí lo básico que deberías saber.

Infografía Reglamento de Ciberresiliencia de la Comisión Europea

infografia reglamento europeo de Ciberresiliencia y software libre

Además de esta infografía os paso el PDF con la presentación sobre el reglamento de ciberresiliencia que resume los puntos esenciales:

PD: Si quieres contar con un abogado que te ayude a aplica el Reglamento de ciberresiliencia escríbenos a hola@akme.es o ¡pídenos una cita! las de 15 min son gratis.

abogado propiedad intelectual
¿Necesitas ayuda legal?
Contacta ahora