El Consejo de la Unión Europea ha alcanzado un importante acuerdo sobre el Reglamento de Ciberresiliencia, una propuesta legislativa que busca garantizar la seguridad de los productos con componentes digitales antes de su entrada al mercado.
Los representantes de los estados miembros han alcanzado una posición común sobre la propuesta legislativa relativa a los requisitos horizontales de ciberseguridad para los productos con elementos digitales.
El internet de las cosas (IoT) ha revolucionado la forma en que interactuamos con la tecnología en nuestra vida cotidiana. Desde electrodomésticos inteligentes hasta dispositivos de monitoreo, el IoT ha mejorado nuestra comodidad y eficiencia. Sin embargo, esta creciente interconexión también ha dado lugar a nuevas vulnerabilidades cibernéticas, lo que ha planteado preocupaciones significativas sobre la seguridad y la privacidad de los usuarios.
La propuesta de Reglamento de Ciberresiliencia surge como una respuesta a estos desafíos, y su objetivo principal es establecer requisitos de ciberseguridad obligatorios para todos los productos de hardware y software conectados a otros dispositivos o redes, a fin de evitar el solapamiento de requisitos establecidos en diferentes actos legislativos de los Estados miembros de la UE.
Te interesa: |
La propuesta de Reglamento tiene un alcance amplio y se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red. Sin embargo, también se han establecido excepciones para aquellos productos que ya están sujetos a requisitos de ciberseguridad en otras normas de la UE, como los productos sanitarios, la aviación o los automóviles. Estas excepciones buscan evitar la duplicación innecesaria de regulaciones y garantizar que los productos esenciales continúen cumpliendo con los estándares de seguridad existentes.
La propuesta de Reglamento no solo se enfoca en los fabricantes, sino que también aborda la responsabilidad del cumplimiento en toda la cadena de suministro. Los fabricantes tendrán la obligación de garantizar la conformidad con los requisitos de seguridad establecidos en el Reglamento para los productos que se comercializan en la UE. Esto incluirá la evaluación de riesgos de ciberseguridad, la declaración de conformidad y la cooperación con las autoridades competentes. Asimismo, se establecen requisitos esenciales para los procesos de gestión de vulnerabilidades, asegurando que los fabricantes aborden activamente las cuestiones de seguridad en el diseño, desarrollo y fabricación de productos digitales.
Uno de los aspectos más destacados de la propuesta es la promoción de la transparencia y el empoderamiento del consumidor en cuanto a la ciberseguridad. La legislación propuesta permitirá a los consumidores tomar decisiones más informadas al seleccionar y utilizar productos que contienen elementos digitales. Los productos de hardware y software que cumplan con los requisitos de ciberseguridad adecuados recibirán una declaración de conformidad, lo que permitirá a los usuarios identificar fácilmente los productos más seguros.
Principales elementos de la propuesta
La posición común del Consejo mantiene las líneas generales de la propuesta de la Comisión, en particular en relación con:
- las normas para reequilibrar la responsabilidad del cumplimiento hacia los fabricantes, que deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que se comercializan en la UE, incluidas obligaciones como la evaluación de riesgos de ciberseguridad, la declaración de conformidad y la cooperación con las autoridades competentes;
- los requisitos esenciales para los procesos de gestión de las vulnerabilidades a fin de que los fabricantes garanticen la ciberseguridad de los productos digitales, y las obligaciones para los operadores económicos (como los importadores o los distribuidores) respecto de estos procesos;
- las medidas para mejorar la transparencia en relación con la seguridad de los productos de hardware y software para los consumidores y los usuarios profesionales, y un marco de vigilancia del mercado para hacer cumplir estas normas.
Modificaciones del Consejo
No obstante, el texto del Consejo modifica varias partes de la propuesta de la Comisión, en particular en relación con los siguientes aspectos:
- el ámbito de aplicación del acto legislativo propuesto, también en lo que se refiere a las categorías específicas de productos que deben cumplir los requisitos establecidos en el Reglamento;
- las obligaciones de notificación de vulnerabilidades aprovechadas activamente o de incidentes a las autoridades nacionales competentes («equipos de respuesta a incidentes de seguridad informática») en lugar de a la Agencia de la UE para la Ciberseguridad (ENISA), que establece una plataforma de notificación única;
- los elementos para determinar la vida útil prevista del producto por parte de los fabricantes;
- las medidas de apoyo a las pequeñas empresas y a las microempresas;
- una declaración de conformidad simplificada
Siguientes etapas
El acuerdo alcanzado sobre la posición común del Consejo («mandato de negociación») permitirá a la Presidencia española entablar negociaciones con el Parlamento Europeo («diálogos tripartitos») sobre la versión definitiva del acto legislativo propuesto.
Imágenes: Freepik