La Comisión Europea ha publicado el informe final ‘Estudio sobre la necesidad de requisitos de ciberseguridad para productos TIC’, donde se analiza el estado actual de la ciberseguridad en los productos de tecnología de la información y la comunicación (TIC), al tiempo que se exploran las opciones de política para mejorar la ciberseguridad de estos dispositivos.
Para el desarrollo de este informe, el equipo del proyecto encargado de su elaboración ha llevado a cabo diversas actividades de consultas específicas, 52 entrevistas, nueve grupos focales y encuestas online a las partes interesadas de los Estados miembros sobre la ciberseguridad de los productos TIC, además de tres talleres para presentar y discutir los hallazgos del estudio.
Dentro de la metodología del estudio, se ha realizado una investigación documental, donde se han revisado las leyes de la Unión Europea, las publicaciones de la UE, los documentos de posicionamiento tanto de asociaciones de consumidores e industrias, así como las publicaciones académicas. Además, se generó un panel Delphi para el análisis de posibles impactos de las opciones de política, con el que el equipo del proyecto consiguió recopilar comentarios de 34 partes interesadas.
Identificación de problemas
El informe ha podido identificar dos problemas fundamentales. El primer problema que han destacado los encuestados y entrevistados es una falta de productos TIC seguros en toda la Unión Europea, ya que muchos dispositivos inteligentes no siempre están protegidos y pueden conectarse a las redes sin que nadie sea consciente.
El 31% de los encuestados afirman que el nivel de seguridad de los productos TIC es al menos bueno, mientras que una cuarta parte la considera mala y más del 40% cree que el nivel de ciberseguridad es regular.
Los datos recopilados por el equipo del proyecto muestran que algunas partes interesadas han destacado que ciertos sectores están más protegidos contra los ciberataques. Esto se debe a que existe una regulación sectorial más completa que establece los requisitos de seguridad que se deben cumplir, así como la existencia de una mayor atención y concienciación por parte de los operadores del mercado que tienen hacia los aspectos de ciberseguridad para los productos TIC conectados a la red.
Por su parte, las asociaciones de consumidores opinan que varios sectores están en mayor riesgo debido a la presencia de productos TIC producidos a bajo costo, los cuales carecen de un diseño seguro.
En este contexto, evaluar el nivel de ciberseguridad de estos dispositivos TIC comercializados en la UE es difícil para el 26% de los encuestados, frente a los cuatro de cada diez participantes que consideran que el nivel general de ciberseguridad es justa. De hecho, el 33% de las respuestas ‘justas’ afirmaron que era difícil o imposible evaluar el nivel general de los productos TIC debido a las marcadas diferencias a nivel de industria.
Respecto al segundo problema, el informe señala la insuficiente compresión entre los usuarios, tanto de ciudadanos como de empresas, sobre el nivel de ciberseguridad de los dispositivos TIC.
Varios Estados miembros, como Croacia, Finlandia y Países Bajos, entre otros, han señalado que no existe una comunicación regular con los usuarios sobre las amenazas que pueden traer las nuevas tecnologías, mientras que la ciberseguridad no está bien abordada a nivel universidades.
Casi siete de cada diez empresas carecen de conocimientos básicos o sobre la exposición a las ciberamenazas. Esta situación afecta a las decisiones de compra. Los datos reflejan que las funcionalidades y la ergonomía de un producto TIC son los principales impulsores de las decisiones de compra de los consumidores, los cuales no disponen de incentivos para basar sus decisiones teniendo en cuenta los aspectos de ciberseguridad.
Respecto a la percepción de los encuestados sobre el nivel de comprensión de los usuarios sobre la ciberseguridad de los productos TIC, las partes interesadas consideran que el nivel varía dependiendo de los usuarios. El 3% de los encuestados definieron el nivel de comprensión de los usuarios regulares como ‘bueno’ o ‘muy bueno’ y el 54% afirma que los usuarios profesionales poseen un nivel ‘bueno’ o ‘muy bueno’.
En el lado opuesto está el 11% de las partes interesadas que creen que los usuarios profesionales tienen un bajo nivel de comprensión de la ciberseguridad de los productos TIC, y siete de cada diez respuestas indican un bajo nivel de comprensión para los usuarios regulares. Un hecho que se resalta es que ningún encuestado consideró el nivel de compresión ‘excelente’ para ningún tipo de usuario.
Legislación de los productos TIC en la UE
Para abordar estos problemas, el equipo del proyecto identificó los factores subyacentes que impulsan los problemas anteriores. Los factores se clasificaron en cuatro subgrupos: falla regulatoria, falla del mercado, equidad y comportamientos sesgados. El subgrupo de falla regulatoria es uno de los que más preocupa a las partes interesadas, debido a la falta de una base legal común.
La investigación documental, los comentarios recopilados durante la reunión con las partes interesadas, las actividades de participación y el análisis de carencias realizados han puesto de relieve que el marco legislativo de la UE existente parece estar fragmentado, imponiendo requisitos superpuestos y contradictorios a los fabricantes de productos TIC.
El equipo del proyecto ha desarrollado opciones de políticas potenciales que mejorarían la ciberseguridad de los dispositivos TIC, como las medidas voluntarias para aumentar la transparencia y promover las evaluaciones de la conformidad; la legislación horizontal, que armonizaría el panorama normativo de la UE; la legislación específica del sector, que implica la implementación de un enfoque regulatorio común aplicable a productos TIC específicos/niveles de riesgo de sectores; y el enfoque mixto, que involucra la implementación de una combinación de medidas regulatorias y voluntarias.
El informe ha llegado a la conclusión de que la mejor política para garantizar la ciberseguridad de los productos TIC es la legislación horizontal, ya que implica la implementación de un enfoque regulatorio común aplicable a todas las categorías y perfiles de riesgo de los productos TIC. Esta legislación evitaría la superposición de los requisitos derivados de diferentes leyes, creando así una mayor seguridad en el mercado global, al tiempo que se consigue una mejor armonización del mercado único europeo, creando condiciones más viables para los operadores que deseen entrar en el mercado de la UE.
Posibles soluciones
Para solventar los problemas de ciberseguridad de los productos TIC, se han identificado seis objetivos específicos. El primer objetivo es establecer una base legal común que defina los requisitos obligatorios, los procesos de evaluación de la conformidad, el riesgo modelos de evaluación y mecanismos de vigilancia posterior a la comercialización.
El segundo objetivo se centra en definir un mecanismo que incentive a los fabricantes a producir productos TIC más seguros, mientras que el tercero aborda la ciberseguridad en las primeras etapas del desarrollo del producto.
Respecto al cuarto objetivo, el informe señala la necesidad de definir los requisitos integrales de ciberseguridad para productos TIC en todos los dominios de aplicación. El quinto objetivo es impulsar programas curriculares de ciberseguridad para usuarios profesionales. Por último, sería establecer un método para informar a los consumidores sobre el nivel de seguridad de los productos TIC.
De esta forma, se podrían resolver los dos problemas principales. Por un lado, el aumento del nivel de ciberseguridad de los productos TIC (primer problema) vendría marcado por la definición de una base legal común y requisitos integrales para abordar directamente la falta de productos TIC seguros en toda la Unión Europea.
Por otro lado, sería necesario una intervención destinada a fomentar un mayor nivel de la ciberseguridad de los dispositivos TIC en la UE a través de una comunicación con los usuarios habituales (segundo problema) para proporcionarles más conocimiento para comprender mejor los riesgos de la ciberseguridad de los productos TIC y promover programas curriculares de ciberseguridad entre los usuarios profesionales.