Solo en EE. UU. se han publicado 14.286 CVE en el sitio web del Instituto Nacional de Estándares y Tecnología en lo que va de 2024. Estas "Vulnerabilidades y Exposiciones Comunes (CVE)" designan vulnerabilidades de seguridad y otras debilidades en sistemas informáticos que pueden permitir a un hacker lanzar un ataque. Según la próxima legislación de la UE, la Ley de Resiliencia Cibernética (CRA), los dispositivos pronto no podrán distribuirse con vulnerabilidades explotables conocidas. Si aun así surgen vulnerabilidades conocidas y explotables, los fabricantes, vendedores o importadores, como empresas, y toda la dirección de la empresa serán responsables. En cuanto a la ciberresiliencia, en el futuro, bajo la legislación de la Ley de Resiliencia Cibernética, está claro que los clientes, tanto en el ámbito privado como en el industrial, tienen un derecho efectivo a un software seguro. Sin embargo, la carrera por descubrir primero las vulnerabilidades continúa: por lo tanto, las empresas están bien aconsejadas de implementar ahora tanto una detección eficiente de CVE como una evaluación de impacto para examinar mejor sus propios productos y protegerse contra las graves consecuencias de los escenarios de vulnerabilidad. "La CRA exige a todos los fabricantes pruebas, supervisión y documentación obligatorias de la ciberseguridad del producto, lo que también incluye la comprobación de vulnerabilidades desconocidas, las llamadas 'Zero-Days'", afirma Jan Wendenburg, CEO de ONEKEY, empresa especializada en ciberseguridad con sede en Düsseldorf.
El término Zero-Day se refiere a vulnerabilidades de seguridad recién descubiertas a través de las cuales los hackers pueden atacar, y se refiere a "cero días" que un fabricante o desarrollador tiene para corregir el error. Muchos fabricantes o comercializadores conocen insuficientemente las posibles vulnerabilidades de sus propios productos, que, por ejemplo, en los controles industriales, también pueden ocultarse en componentes con firmware propio de los proveedores. En general, el hardware y el firmware, así como todos los dispositivos del Internet de las Cosas (IoT), pueden verse afectados por tales vulnerabilidades. Con el ONEKEY Compliance Wizard, los expertos en ciberseguridad de ONEKEY ofrecen una evaluación integral de ciberseguridad de productos con elementos digitales. Al combinar la detección automática de vulnerabilidades, la priorización y filtrado de CVE con un cuestionario de cumplimiento interactivo y holístico, se reducen significativamente el esfuerzo y los costos de los procesos de cumplimiento de ciberseguridad y se minimiza el riesgo de multas inminentes. "Quien no quiera estar a la cabeza de los pagadores de multas a tiempo para el inicio de la CRA, debe crear ahora procesos para analizar y parchear sus propios riesgos", aconseja Jan Wendenburg de ONEKEY.
