Estamos viviendo un nuevo hito en la ciberseguridad europea: la entrada en vigor de la Ley de Ciberresiliencia el próximo 10 de diciembre de 2024 conlleva cambios significativos para las empresas que operan en la Unión Europea, por lo que necesitamos entender qué implicaciones tiene tanto para las empresas como para los usuarios.
Se trata de un sólido marco legislativo, que será de plena aplicación el 11 de diciembre de 2027, y que tiene como objetivo reforzar la ciberseguridad de productos con componentes digitales (tanto hardware como software), abarcando desde dispositivos inteligentes para el hogar hasta sistemas operativos complejos en infraestructuras críticas nacionales.
Esta nueva ley impone estrictos requisitos de ciberseguridad para los productos dentro de su alcance que se comercialicen en la UE, exigiendo a fabricantes, importadores y distribuidores que garanticen una ciberresiliencia integral a lo largo de todo el ciclo de vida de cada producto.
La Ley de Ciberresiliencia supone un avance en la protección del ecosistema digital. Al exigir estrictas medidas de ciberseguridad, garantiza que los productos comercializados en la UE sean más seguros y resilientes, lo que se traduce en menos vulnerabilidades y una reducción de riesgos tanto para las empresas como para sus clientes. No obstante, esta normativa también implica nuevas responsabilidades y obligaciones de diligencia debida para las organizaciones de la UE que utilizan software de código abierto en los productos que entran dentro de su ámbito de aplicación.
La importancia de la Ley de Ciberresiliencia para las empresas
Las empresas deberán asegurarse de que los productos dentro del ámbito de aplicación que se desplieguen en la UE-27 cumplan con los requisitos de la ley y las normas posteriores. Este cambio exige procesos de adquisición más sólidos y la verificación de los estándares de seguridad en hardware, software y servicios de soporte en la nube. Para las organizaciones que dependen del código abierto en los productos que venden en el mercado de la UE-27, la Ley de Ciberresiliencia implica nuevas obligaciones para verificar la seguridad de estos componentes, lo que a menudo requiere una estrecha colaboración con proveedores que puedan ofrecer un mayor apoyo y garantías de cumplimiento.
Hay empresas que, como Red Hat, entienden este cambio y mantienen su compromiso con el código abierto como motor de una innovación resiliente. Su papel frente a la Ley de Ciberresiliencia va más allá del mero cumplimiento normativo —garantizando que sus se ajusten a sus requisitos. También implica una colaboración continua con los legisladores europeos y una participación activa en los organismos de normalización, para reflejar las mejores prácticas del código abierto y seguir defendiendo la exclusión de las comunidades de desarrollo upstream del ámbito de aplicación de esta legislación.
Apoyo a las comunidades de código abierto
El código abierto impulsa el 97% de la infraestructura informática actual, y muchos de sus proyectos son desarrollados por comunidades descentralizadas de voluntarios. Estas comunidades pueden carecer de los recursos necesarios para cumplir con las obligaciones de la Ley de Ciberresiliencia o para mantener los procesos que faciliten el cumplimiento normativo posterior (downstream). Esto podría provocar la fragmentación de estas comunidades e incluso el abandono de proyectos esenciales.
Red Hat se dedica a apoyar este ecosistema. En colaboración con líderes del sector como Open Forum Europe, Linux Foundation, Eclipse Foundation, Open Source Initiative, Apache Software Foundation y otras organizaciones, hemos promovido disposiciones que protejan los proyectos upstream y a la comunidad de código abierto en general del impacto de las exigencias de cumplimiento más rigurosas.
