Cabe retener que los dispositivos inalámbricos se han convertido en una parte fundamental de la vida de los ciudadanos. Acceden a nuestra información personal y hacen uso de las redes de comunicación. La pandemia de Covid-19 ha aumentado drásticamente el uso de equipos radioeléctricos para fines profesionales o personales.
En los últimos años, los estudios de la Comisión y de varias autoridades nacionales han detectado un número cada vez mayor de dispositivos inalámbricos que plantean riesgos para la ciberseguridad. Estos estudios han señalado, por ejemplo, el riesgo que suponen los juguetes que espían las actividades de los niños o sus conversaciones; los datos personales no cifrados almacenados en nuestros dispositivos, incluidos los relacionados con los pagos, a los que se pueden acceder fácilmente; e incluso los equipos que pueden hacer un mal uso de los recursos de la red y reducir así su capacidad.
Orientaciones de las medidas
Las medidas propuestas serán aplicables a dispositivos inalámbricos como teléfonos móviles, tabletas y otros productos capaces de comunicarse por internet; juguetes y artículos de puericultura como monitores para bebés; así como una serie de artículos ponibles, como relojes inteligentes o monitores de actividad. Dichas medidas contribuirán a
-
— Mejorar la resiliencia de la red : Los dispositivos y productos inalámbricos tendrán que incorporar funciones para impedir que dañen las redes de comunicación y para evitar la posibilidad de que se utilicen para perturbar la funcionalidad de los sitios web u otros servicios.
-
— Proteger mejor la privacidad de los consumidores : Los dispositivos y productos inalámbricos tendrán que tener funciones para garantizar la protección de los datos personales. La protección de los derechos del niño será un elemento esencial de esta legislación. Por ejemplo, los tendrían que aplicar nuevas medidas para impedir el acceso no autorizado a datos personales o su transmisión sin autorización.
-
— Reducir el riesgo de fraudes económicos: Los dispositivos y productos inalámbricos tendrán que incluir funciones que minimicen el riesgo de fraude al realizar pagos electrónicos. Por ejemplo, tendrán que garantizar un mejor control de autenticación del usuario para evitar pagos fraudulentos.
Con los requisitos adoptados, los fabricantes de dispositivos inalámbricos tendrán que incluir características técnicas para mejorar el nivel de ciberseguridad de dichos dispositivos antes de comercializarlos en el mercado europeo.
Medidas específicas
La legislación propuesta establece obligaciones para los fabricantes de aumentar el nivel de ciberseguridad de los productos comercializados en la UE. Estas obligaciones son en beneficio de los consumidores. También permitirá a los Estados miembros tomar medidas correctoras en caso de que se encuentren en el mercado productos inseguros.
La iniciativa de la Comisión tiene como objetivo alcanzar los siguientes objetivos:
-
— Hacer las redes más resistentes : Los equipos deberán incorporar características para evitar que su mal uso dañe las redes de comunicación.
-
— Mejorar la protección de los datos personales y la privacidad de los consumidores : El equipo incorporará características para garantizar la protección de los datos personales y la privacidad.
-
— Reducir el riesgo de fraude monetario: el equipo deberá incluir características para minimizar el riesgo de fraude cuando el equipo se utilice para realizar pagos electrónicos.
Dispositivos afectados
En la actualidad los equipos inalámbricos son el objetivo de más del 80% de los ataques de ciberseguridad, en comparación con los dispositivos cableados.
Por tanto, esta iniciativa cubre determinadas categorías de dispositivos inalámbricos que utilizan tecnología de radio. La decisión sobre qué dispositivos están cubiertos se ha tomado con un enfoque basado en el riesgo y de acuerdo con los resultados de un análisis de costo-beneficio.
En particular, la legislación es aplicable a los siguientes equipos:
-
— Dispositivos capaces de comunicarse a través de Internet: ejemplos de tales equipos incluyen dispositivos electrónicos como teléfonos inteligentes, tabletas, electrónicos, cámaras; equipos de telecomunicaciones, así como equipos que constituyen el «Internet de las cosas». Debido a la falta de seguridad, dichos dispositivos presentan el riesgo de que terceros puedan acceder y compartir datos personales de manera inadecuada, incluso con fines de fraude, o que dicho equipo se utilice indebidamente para dañar la red.
-
— Juguetes y equipos de cuidado infantil: los juguetes y los monitores para bebés pueden ser vulnerables a las amenazas de ciberseguridad que monitorean o recopilan información sobre los niños. Por tanto, la protección de los derechos del niño constituye un elemento esencial de esta legislación.
-
— Wearables: dispositivos como relojes inteligentes y rastreadores de actividad están cada vez más presentes en nuestras vidas y recopilan datos biométricos.
Exenciones
El acto legislativo enumera categorías de productos que están excluidos de la aplicación de algunos o todos los requisitos esenciales.
Los vehículos de motor, los sistemas electrónicos de peaje de carreteras, los equipos para el control remoto de aeronaves no tripuladas, así como los equipos de radio específicos no aerotransportados que puedan instalarse en aeronaves, están exentos de los requisitos de protección de datos personales y protección contra el fraude. Además, ninguno de los requisitos se aplica a los productos sanitarios e in vitro.
Periodo transitorio
Tras la entrada en vigor, los fabricantes dispondrán de un período transitorio de treinta meses para empezar a cumplir los nuevos requisitos legales. De este modo, la industria dispondrá de tiempo suficiente para adaptar los productos correspondientes antes de que entren en vigor los nuevos requisitos, hacia mediados de 2024 si se cumplen las previsiones.
La Comisión también ayudará a los fabricantes a cumplir los nuevos requisitos pidiendo a las organizaciones europeas de normalización que elaboren normas al respecto. Como alternativa, los fabricantes también podrán demostrar la conformidad de sus productos sometiéndolos a una evaluación llevada a cabo por los organismos notificados correspondientes.
Futura Ley de Ciberresiliencia
La ciberseguridad de estas categorías de productos está garantizada por las leyes específicas de la UE existentes.
El acto delegado se completará con una Ley de Ciberresiliencia, anunciada recientemente por la presidenta Von der Leyen en el discurso sobre el estado de la Unión , que debería por objetivo incluir más productos, analizando todo su ciclo de vida. Tanto la propuesta de hoy como la próxima Ley de Ciberresiliencia dan seguimiento a las actuaciones anunciadas en la nueva Estrategia de Ciberseguridad de la UE, presentada en diciembre de 2020.