El Consejo Europeo y el Parlamento han alcanzado un acuerdo provisional sobre la Ley de Ciberresiliencia, relativa a los requisitos de ciberseguridad para los productos con elementos digitales, cuyo objetivo es garantizar que los dispositivos digitales y conectados sean seguros antes de que se introduzcan en el mercado.
La Ley de Ciberresiliencia introduce requisitos de ciberseguridad a escala de la Unión Europea para el diseño, desarrollo, fabricación e introducción en el mercado de productos de hardware y software, a fin de evitar el solapamiento de requisitos establecidos en diferentes actos legislativos de los Estados miembros.
El texto acordado provisionalmente mantiene los aspectos generales de la propuesta de la Comisión Europea, en particular en relación con las normas para reequilibrar la responsabilidad del cumplimiento hacia los fabricantes, que tienen determinadas obligaciones como la realización de evaluaciones de riesgos de ciberseguridad, la emisión de declaraciones de conformidad y la cooperación con las autoridades competentes.
También se mantienen los procesos de gestión de las vulnerabilidades a fin de que los fabricantes garanticen la ciberseguridad de los productos digitales y las obligaciones para los operadores económicos (como los importadores o los distribuidores) respecto de estos procesos, las medidas para mejorar la transparencia en relación con la seguridad de los productos de hardware y software para los consumidores y los usuarios profesionales, y un marco de vigilancia del mercado para hacer cumplir las normas.
Modificaciones acordadas
Los colegisladores han acordado hacer ajustes a varias partes de la propuesta de la Comisión Europea, en particular en relación con el ámbito de aplicación del acto legislativo propuesto, con una metodología más sencilla para la clasificación de productos digitales sujetos al nuevo reglamento.
Se modificará la determinación por los fabricantes de la vida útil prevista del producto. Si bien el principio sigue siendo que el periodo de soporte de un producto digital se corresponda a la vida útil prevista, se contempla un periodo indicativo de soporte de al menos 5 años, excepto en el caso de los productos cuya utilización prevista sea más corta.
Por otro lado, se abordan las obligaciones de notificación de vulnerabilidades aprovechadas activamente o de incidentes. En este punto, las autoridades nacionales competentes serán las destinatarias iniciales de esas notificaciones, pero se reforzará el papel de la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
Los colegisladores han establecido que las nuevas normas se aplicarán tres años después de la entrada en vigor del acto legislativo, lo que debería dar a los fabricantes tiempo suficiente para adaptarse a los nuevos requisitos; y han acordado medidas de apoyo adicionales para las pequeñas empresas y las microempresas, entre ellas actividades específicas de sensibilización y formación, así como apoyo a los procedimientos de ensayo y de evaluación de la conformidad.
Productos conectados directa o indirectamente
La Ley de Ciberresiliencia se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o a una red. Se introducen algunas excepciones en el caso de los productos para los que ya se establecen requisitos de ciberseguridad en otras normas vigentes de la Unión Europea, por ejemplo, los productos sanitarios, aeronáuticos y automovilísticos.
La propuesta tiene por objeto cubrir las carencias de la legislación vigente en materia de ciberseguridad, aclarar los vínculos con dicha legislación y lograr que sea más coherente, garantizando que los productos con componentes digitales, como los productos IoT, sean seguros a lo largo de la cadena de suministro y durante su ciclo de vida.
Por último, el reglamento permitirá que los consumidores tengan en cuenta la ciberseguridad a la hora de escoger y utilizar productos que contienen elementos digitales, lo que les facilita determinar los productos de hardware y software que reúnen las características de ciberseguridad adecuadas.
Tras el acuerdo provisional alcanzado entre el Consejo y el Parlamento Europeo, en las próximas semanas proseguirán los trabajos técnicos para ultimar los detalles de la nueva legislación. La Presidencia española del Consejo someterá el texto transaccional al refrendo a los representantes de los Estados miembros (Coreper) una vez finalizados estos trabajos. Las dos instituciones deberán confirmar el texto íntegro, que se someterá a una formalización jurídico-lingüística antes de que los colegisladores lo adopten formalmente.