La nueva instalación de Incibe permitirá comprobar que los productos digitales cumplen con los estándares fijados por el reglamento europeo

Incibe ha inaugurado el Laboratorio de Ciberseguridad, que tiene como objetivo elevar la ciberprotección y la resiliencia, además de aumentar la confianza digital en las tecnologías emergentes. Se trata del primer laboratorio nacional de estas características y permitirá al Ministerio de Transformación Digital y de la Función Pública contar con un servicio de análisis de riesgos en tecnologías, particularmente dispositivos al alcance de los colectivos más vulnerables como los menores de edad o las personas con dependencia. La nueva instalación, ubicada en León, fue inaugurada oficialmente por el ministro José Luis Escrivá el pasado 8 de julio en el marco del Cybersecurity Summer Bootcamp.

El laboratorio tiene como misión principal incrementar la confianza digital y potenciar la ciberseguridad y la resiliencia en la industria (en colaboración con fabricantes e investigadores) a través de rigurosos ensayos en tecnologías emergentes como el 5G, los sistemas de control industrial, el Internet de las Cosas (IoT), la inteligencia artificial o los vehículos conectados.

Con una inversión superior a los 7,5 millones de euros, cuenta con las tecnologías más avanzadas en materia de medición de los niveles de ciberseguridad de productos o soluciones digitales. Los centros de investigación, empresas y agentes del sector de la ciberseguridad podrán ensayar diferentes soluciones que estén desarrollando, reduciendo así el coste y el tiempo necesarios para incorporar al mercado nuevos productos.

El pasado 12 de marzo de 2024 el Parlamento Europeo aprobó la CRA, siglas en inglés de Cyber Resilience Act, destinada a establecer normas más estrictas en materia de ciberseguridad que permitan crear un sistema fiable para los operadores económicos y garantizar que la ciudadanía de la UE pueda utilizar los productos del mercado de forma segura. Esta norma cubre la práctica totalidad de los productos digitales que se usan por ciudadanos y empresas, requiriendo un complejo y considerable trabajo de verificación y control. De ahí la necesidad de reforzar las herramientas de seguimiento y verificación.

La CRA persigue esencialmente cuatro objetivos: garantizar que los fabricantes mejoren la seguridad de los productos que tienen elementos digitales en la fase de diseño y desarrollo y a lo largo de todo su ciclo de vida; garantizar un marco coherente de normas de ciberseguridad, facilitando su cumplimiento por parte de los fabricantes de hardware y software; mejorar la transparencia de las características de seguridad de los productos con elementos digitales; y permitir que las empresas y los consumidores utilicen estos productos de manera segura. Solo se excluyen los productos de carácter médico y los relacionados con la aviación civil, los vehículos y los productos militares. La propuesta tampoco cubre los servicios SaaS (en la nube), a menos que estos sirvan para la elaboración de productos con elementos digitales.

En esencia, la propuesta introduce un marcado CE sobre ciberseguridad que ha de colocarse en todos los productos con componentes digitales, el 90% de los productos, que incluyen desde electrodomésticos a juguetes, pasando por telefonía, equipos de audio/video y un largo etcétera. Todos deberán cumplir con estándares de ciberseguridad en la categoría Básica, que prevé un sistema de autodeclaración por los fabricantes.

El Laboratorio de Incibe comprobará que estos equipos cumplen realmente con la autodeclaración y se convierte en un instrumento clave en la vigilancia y control de la ciberseguridad en el creciente mercado de productos con componentes digitales.

“Este laboratorio va a servir, entre otras cosas, para comprobar de manera experimental cómo todo tipo de dispositivos que utilizamos en la vida diaria, que tienen conexión a Internet, es decir el Internet de las Cosas, van a cumplir con los estándares que fija el reglamento europeo”, descató José Luis Escrivá, ministro de Transformación Digital y de la Función Pública, durante el acto de inauguración.

Por otro lado, el director general de Incibe, Félix Barrio, y los expertos del laboratorio, presentaron diversos ejemplos de pruebas de evaluación de la ciberseguridad de redes 5G y dispositivos conectados, tales como teléfonos móviles, drones o sistemas de control industrial, así como las capacidades tecnológicas, herramientas y bancos de pruebas de los que se ha dotado el laboratorio, gracias a la financiación de los fondos Next Generation EU y del plan de recuperación transformación y resiliencia del gobierno de España. 

El primer fabricante en recurrir a pruebas de medición sobre la ciberseguridad de sus productos ha sido Cecotec, empresa valenciana que desarrolla soluciones y productos para el gran mercado, para lo cual su presidente César Orts estuvo presente en la inauguración.

Por otra parte, el laboratorio también será un referente para la ciberseguridad de las redes 5G. Así, se trata del primer laboratorio público dotado de redes 5G para experimentación y análisis de dispositivos conectados mediante herramientas de software y hardware y otras de ciberseguridad. Este banco de pruebas reforzará la capacidad técnica y tecnológica del Ministerio para adoptar las medidas contempladas en el Esquema Nacional de Seguridad de redes y servicios 5G (Real Decreto 443/2024, de 30 de abril), recreando entornos de redes y servicios 5G reales e independientes para el análisis y gestión de riesgos de seguridad y para el aseguramiento del cumplimiento de los requisitos del ENS5G.

Fabricantes, usuarios y empresas que desarrollen entornos 5G podrán acceder al laboratorio para contrastar los requisitos de ciberseguridad de la tecnología, mientras que los laboratorios privados y entidades de auditoría podrán acudir a Incibe para obtener indicaciones sobre estándares y metodologías de investigación.