La Comisión Europea ha propuesto que los dispositivos móviles, aplicaciones online y otros elementos del 'Internet de las cosas' -como electrodomésticos o juguetes inteligentes- puedan ser retirados del mercado de la UE o sus fabricantes sancionados si no cumplen con nuevas normas de seguridad que los protejan del riesgo de ciberataques.
Para ello, el Ejecutivo comunitario pide la adopción de la que será la primera ley europea para la "ciber-resiliencia" para cubrir un "gran vacío legal" en la Unión Europea y que prevé, entre otras medidas, que los fabricantes y desarrolladores sean responsables de actualizar la protección de sus productos durante toda la vida útil de éstos.
La 'Ley de Ciber-resiliencia' ampliará así la responsabilidad de los fabricantes al fijar estándares de seguridad durante todo el proceso de producción, desde el diseño hasta su manufactura, pero también una vez el dispositivo llega al consumidor, ya que deberán garantizar actualizaciones para cubrir "puntos vulnerables" de ciberseguridad que se detecten más tarde.
Además, los fabricantes también tendrán que notificar los puntos vulnerables e incidentes y habrá normas sobre el control y la vigilancia del mercado, han explicado en una rueda de prensa en Bruselas ofrecida por el vicepresidente responsable de Seguridad, Margaritis Schinas, y por el comisario de Industria y Mercado Interior, Thierry Breton.
Las autoridades nacionales responsables de vigilar que se aplican los nuevos estándares podrán exigir a los operadores que corrijan la no conformidad de sus productos y eliminen el riesgo y también imponer la prohibición o restricción del acceso al mercado comunitario u ordenar la retirada de dispositivos o programas inseguros.
Estas autoridades podrán también imponer "multas" a las empresas que no respeten las nuevas reglas europeas en base a los umbrales fijados para sanciones administrativas en la normativa nacional.
Según Bruselas, los costes anuales por ataques a la seguridad de los datos ascienden como mínimo a 10.000 millones de euros y los costes anuales de los intentos malintencionados de perturbar el tráfico en internet, al menos a 65.000 millones de euros.