“Las herramientas del derecho privado nos ofrecen una perspectiva interesante al permitir, por ejemplo, discutir la validez de determinados pactos...
La Ley de Resiliencia Cibernética: un paradigma de seguridad digital obligatoria
«Aunque el CRA promete un futuro más seguro, plantea preguntas importantes. ¿Cómo afectará el costo de cumplimiento a las pequeñas empresas tecnológicas? ¿Qué recursos destinarán los Estados miembros para monitorear y hacer cumplir la ley? Además, el equilibrio entre fomentar la innovación y regularla sigue siendo una línea fina en la que los legisladores deben caminar con cuidado».
Gonzalo Álvarez - 26 noviembre, 2024
En un mundo donde la tecnología gobierna casi cada aspecto de nuestras vidas, la «Ley de Resiliencia Cibernética» (CRA) de la Unión Europea representa un cambio trascendental hacia una era de responsabilidad obligatoria en ciberseguridad. Desde monitores para bebés hasta software de inteligencia artificial de alto riesgo, esta legislación refuerza estándares que transformarán el mercado de productos digitales, enfocándose en la protección de consumidores y empresas ante amenazas cibernéticas.
Gonzalo ÁlvarezEl Reglamento aborda dos fallos críticos en el ecosistema tecnológico actual, por un lado, «las deficiencias de ciberseguridad inherentes a los productos digitales», en este contexto muchos dispositivos y software carecen de actualizaciones adecuadas o siquiera de medidas básicas de seguridad, exponiendo a los usuarios a riesgos significativos. Y, por otro lado, «la falta de trasparencia para los usuarios», lo que se traduce en que tanto los consumidores como las empresas no tienen actualmente una forma clara de identificar qué productos son ciberseguros, ni cómo configurarlos para protegerse.
Estos desafíos no son menores. En un panorama donde los ciberataques se incrementan exponencialmente, la falta de normas uniformes y de responsabilidad por parte de los fabricantes exacerba las vulnerabilidades globales.
¿Qué novedades nos trae la ley? El CRA promete resolver estas carencias a través de estándares armonizados en toda la UE. Sus puntos clave incluyen: Requisitos obligatorios de ciberseguridad en todas las etapas del ciclo de vida de los productos, desde el diseño hasta el mantenimiento, los fabricantes deberán implementar buenas prácticas reconocidas, eliminando la posibilidad de productos "inseguros por diseño". Otro aspecto relevante es el “Marcado CE” para productos digitales. Este símbolo, conocido por su uso en certificaciones de seguridad de otros productos, incluirá ahora estándares de ciberseguridad, empoderando a los usuarios a tomar decisiones informadas.
Por último, la nueva normativa también trae novedades respecto a la “Compatibilidad con la Ley de Inteligencia Artificial (IA)”, los sistemas clasificados como IA de alto riesgo deberán cumplir tanto con los requisitos del CRA como con las disposiciones de ciberseguridad bajo el Reglamento de IA, creando un marco integrado y coherente. El reglamento incluye una aplicación inicial para 2024, con una transición plena para 2027, marcando una ruta clara para su implementación.
Los impactos esperados de la nueva normativa se centran en los fabricantes, ya que, deberán integrar la ciberseguridad como un valor central, ya que incumplir podría bloquearles el acceso al mercado europeo. También en el ámbito de la trasparencia de los usuarios, se exigirá un estándar uniforme, los consumidores ganarán confianza y seguridad al adquirir productos con certificación CE.
En relación con el impacto o repercusión global, la UE establece un modelo replicable, como ocurrió con el RGPD. Otros mercados podrían adoptar regulaciones similares, empujando a la industria hacia un estándar global. Esto es radicalmente relevante para Chile y la región, por cuanto significa que los fabricantes y exportadores de dispositivos y software con componentes digitales, como startups de tecnología o empresas de hardware, deberán adaptar sus productos para cumplir con las exigencias del marcado CE. De lo contrario, podrían perder acceso a uno de los mercados más lucrativos del mundo.
Un aspecto menos explorado, pero igualmente crítico, es cómo el CRA afectará a la IA. Los sistemas de alto riesgo, como aplicaciones en salud o justicia, enfrentarán evaluaciones exhaustivas bajo las normativas combinadas de la CRA y la Ley de IA. Esto garantiza que no solo sean técnicamente robustos, sino también seguros desde una perspectiva cibernética. Además, la evaluación de conformidad mediante procedimientos internos estará sujeta al control más estricto del CRA, reduciendo riesgos derivados de configuraciones defectuosas.
Aunque el CRA promete un futuro más seguro, plantea preguntas importantes. ¿Cómo afectará el costo de cumplimiento a las pequeñas empresas tecnológicas? ¿Qué recursos destinarán los Estados miembros para monitorear y hacer cumplir la ley? Además, el equilibrio entre fomentar la innovación y regularla sigue siendo una línea fina en la que los legisladores deben caminar con cuidado.
La Ley de Resiliencia Cibernética es una declaración de intenciones: la ciberseguridad no es opcional, sino esencial. Esta normativa destaca la interdependencia global en materia de ciberseguridad. Amenazas como el ransomware o los ataques a infraestructuras críticas no reconocen fronteras, y regulaciones como la CRA refuerzan la importancia de un enfoque coordinado y robusto.
Para Chile y Latinoamérica, la ley representa una oportunidad para alinearse con estándares internacionales, fortaleciendo su posición en la economía digital global y ofreciendo mayor seguridad a sus ciudadanos en un entorno cada vez más conectado.
Gonzalo Álvarez Seura es abogado y doctor en Derecho, director ejecutivo de Tech-Law.ai y académico de la Facultad de Derecho y Humanidades de la Universidad Central de Chile.
También te puede interesar:
— En tierra derecha hacia la contratación del futuro
— Deepfakes en Chile: cuando la justicia enfrenta la manipulación digital
— Veni Vidi Vinci y el Examen de GradoGPT para estudiantes de Derecho