La Comisión Europea ha publicado el estudio ‘Mapeo de requisitos de estándares de la Ley de Ciberresiliencia’ donde se identifican los estándares de ciberseguridad existentes más relevantes para cada requisito de la propuesta de la Ley de Ciberresiliencia (CRA, por sus siglas en inglés). En el documento también se analiza la cobertura ya ofrecida en el alcance del requisito y destaca las posibles brechas que deben abordarse.
Desarrollado conjuntamente por el Centro Común de Investigación (JRC) y la Agencia de Ciberseguridad de la Unión Europea (ENISA), el documento presenta un mapeo de los estándares de ciberseguridad existentes contra los requisitos esenciales enumerados en el Anexo I de la propuesta de CRA: requisitos de ciberseguridad de los productos y requisitos del proceso de manejo de vulnerabilidades.
También se incluye un análisis de brechas entre los estándares mapeados y los requisitos. En vista del desarrollo de normas armonizadas, este análisis ofrece una posible visión general sobre la cobertura actual de los requisitos según las especificaciones existentes, destacando posibles carencias que pueden compensarse con más trabajo de estandarización.
Además, el informe detalla los resultados de estandarización disponibles sobre la ciberseguridad de los productos (como de hardware y software, incluidos componentes de hardware y software de productos más complejos) llevados a cabo principalmente por ESO y organizaciones internacionales de desarrollo de estándares (ODS).
Marco legislativo para la ciberseguridad de los dispositivos
A través de la Ley de Ciberresiliencia, la Comisión Europea ha definido el marco legislativo de requisitos esenciales de ciberseguridad que deben cumplir los fabricantes a la hora de comercializar cualquier producto con elementos digitales en el mercado interior. Para facilitar la adopción de las disposiciones de la CRA, estos requisitos deben traducirse en normas armonizadas que los fabricantes puedan cumplir.
Los requisitos obligatorios de ciberseguridad que se recogen en la propuesta de la ley cubren todos los productos con elementos digitales comercializados que pueden ser conectados a un dispositivo o una red, incluidos sus componentes básicos (es decir, hardware y software) y abarca también soluciones proporcionadas en forma de software como servicio (SaaS), si se califican como soluciones de procesamiento de datos a distancia.