Ley de Ciberresiliencia de la UE
La idea general de la Ley de Ciberresiliencia de la UE (CRA), que fue aprobada por el Parlamento Europeo en marzo de 2024, es proteger a consumidores y empresas que compren o usen productos con un componente digital.
A través de una serie de normas armonizadas, determina un conjunto de requisitos de ciberseguridad para regular la planificación, el diseño, el desarrollo y el mantenimiento de dichos productos, y las obligaciones que contiene deben cumplirse en todas las etapas de la cadena de valor.
El objetivo es mejorar la ciberseguridad de los productos digitales en toda la UE y exigir responsabilidades al fabricante durante todo el ciclo de vida del producto. Para los ingenieros, esto implica integrar medidas potentes e integrales de seguridad, desde la fase de diseño hasta el fin de vida útil del producto.
El cumplimiento de la CRA ayuda a los ingenieros a diseñar sistemas capaces de soportar ataques sofisticados, protegiendo así a los usuarios y a las infraestructuras más importantes.
La certificación CRA de la UE abarca los productos comercialmente disponibles.
Normalmente, el desarrollador lleva a cabo una evaluación de los riesgos en la que tiene en cuenta otras normativas importantes y directrices para establecer en qué categoría está un producto: Estándar (el nivel menor de riesgo de ciberseguridad), Clase I (riesgo de ciberseguridad elevado) o Clase II (el nivel mayor de riesgo de ciberseguridad).
La categoría Estándar suele abarcar productos como altavoces inteligentes y termostatos domésticos. La Clase I puede comprender productos como dispositivos del internet industrial de las cosas (IIdCC) o dispositivos de electrónica de consumo con un acceso limitado a datos confidenciales o funciones críticas. La Clase II incluye productos de mayor riesgo, como sistemas de control industriales, servidores y criptoprocesadores.
Cuanto mayor sea la clase, más estrictos serán los requisitos de cumplimiento. En el nivel Estándar, los fabricantes pueden evaluar sus productos sin colaboración externa. En la Clase I, el fabricante debe evaluar el producto mediante una evaluación de conformidad de un tercero o mediante un estándar equivalente. Los productos de la Clase II deben someterse a una evaluación de conformidad a cargo de un tercero; no hay posibilidad de remitirse al uso de un estándar equivalente.
Normativas ISO/IEC
Los estándares internacionales, como ISO/IEC 27001, aportan un marco integral en la administración de riesgos para la seguridad de la información. Estos estándares ayudan a los ingenieros de diseño a implementar procedimientos recomendados en la seguridad basada en hardware, como la evaluación de riesgos, la implementación de controles y la supervisión constante.
Si cumplen con los estándares ISO/IEC, los ingenieros pueden estar seguros de que sus diseños de hardware siguen los mejores procedimientos recomendados e incorporan características de seguridad esenciales, como el cifrado, el control de acceso o los procesos de arranque seguros. Todo esto contribuye a incluir los elementos de seguridad en la fase de diseño, lo que reduce la probabilidad de que haya vulnerabilidades que se puedan aprovechar tras la implementación.
Reglamento General de Protección de Datos
El Reglamento General de Protección de Datos (RGPD) de la UE se concentra en los derechos del consumidor sobre los datos y los procedimientos de gestión de estos, y su idea principal es la protección de datos personales. Para los ingenieros de hardware, esto significa diseñar sistemas que incorporen la seguridad y la privacidad de los datos de forma predeterminada. Esto incluye el cifrado de datos, un almacenamiento seguro para estos y potentes controles de acceso.
El RGPD es de obligado cumplimiento para aplicaciones y servicios. Sin embargo, es esencial tenerlo en cuenta durante la fase de diseño: la inclusión de componentes de seguridad fundamentales en productos de hardware puede mitigar los riesgos de una posible filtración de datos.
La incorporación de los principios del RGPD en el diseño del hardware puede mejorar la confianza del usuario, ya que le da la tranquilidad de saber que sus datos se gestionan con el mayor nivel posible de privacidad y seguridad. Esta medida proactiva también facilita las auditorías y las revisiones y reduce el tiempo empleado en problemas de cumplimiento.
