La Comisión Europea presentó el pasado jueves una propuesta para una nueva Ley de Ciberresiliencia con el propósito de proteger a los consumidores y a las empresas de productos con características de ciberseguridad inadecuadas. La normativa introduce requisitos de seguridad obligatorios para productos con elementos digitales durante todo su ciclo de vida.
En un contexto de aumento del número de productos inteligentes y conectados, y de crecientes ataques de ransomware, es imprescindible garantizar un alto nivel de ciberseguridad y la reducción de vulnerabilidades.
En este sentido, la futura Ley de Ciberresiliencia de la Unión Europea aumentará la responsabilidad de los fabricantes, que tendrán la obligación de proporcionar soporte de seguridad y actualizaciones de software para abordar las vulnerabilidades identificadas, además de permitir a los consumidores tener suficiente información sobre la ciberseguridad de los productos que adquieren y usan.
Medidas propuestas
Las medidas propuestas por la Comisión Europea se basan en el nuevo marco para la legislación de productos de la UE y establecen normas de ciberseguridad para el lanzamiento al mercado de productos con elementos digitales, requisitos para su diseño, desarrollo y producción; obligaciones para los operadores económicos y normas sobre vigilancia del mercado y ejecución.
También determinan los requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos digitales durante todo el ciclo de vida, así como las obligaciones de los operadores económicos en relación con estos procesos. Además, los fabricantes deberán informar sobre las vulnerabilidades e incidentes.
Estas nuevas medidas beneficiarán a los ciudadanos y a las empresas que utilizan productos digitales, al mejorar la transparencia de las propiedades de seguridad, promover la confianza y garantizar una mejor protección de los datos y la privacidad.
Adopción de la Ley de Ciberresiliencia
La propuesta se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red, con algunas excepciones para aquellos cuyos requisitos de ciberseguridad ya están establecidos en la normativa europea.
Ahora, el Parlamento y el Consejo Europeo examinarán la Ley de Ciberresiliencia y, una vez adoptada, los operadores económicos y los Estados miembros tendrán dos años para adaptarse a la nueva normativa. En cuanto a la obligación de los fabricantes de informar sobre vulnerabilidades e incidentes, se aplicará un año después de la entrada en vigor.