El Consejo Europeo ha anunciado que los representantes de los Estados miembros han alcanzado una posición común sobre los requisitos de seguridad para los productos digitales de la Ley de Ciberresiliencia. Este acuerdo permitirá garantizar que los productos con componentes digitales, como cámaras domésticas conectadas, refrigeradores inteligentes, televisores y juguetes, sean seguros antes de ingresar al mercado.
El proyecto de reglamento introduce requisitos obligatorios de ciberseguridad para el diseño, desarrollo, producción y puesta a disposición en el mercado de productos de hardware y software para evitar la superposición de requisitos derivados de diferentes leyes en los Estados miembros de la UE.
El reglamento propuesto se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red. Hay algunas excepciones para los productos, para los cuales los requisitos de ciberseguridad ya están establecidos en las normas de la UE existentes, por ejemplo, en dispositivos médicos, aviación o automóviles.
Ciberseguridad en toda la cadena de valor de los dispositivos IoT
Esta propuesta tiene el objetivo de hacer que la legislación sobre ciberseguridad existente sea más coherente al garantizar que los productos con componentes digitales sean seguros a lo largo de toda la cadena de suministro y a lo largo de su ciclo de vida completo. Asimismo, permite a los consumidores tener en cuenta la ciberseguridad al seleccionar y utilizar productos que contengan elementos digitales, proporcionándoles la oportunidad de tomar decisiones informadas sobre productos de hardware y software con las características adecuadas de ciberseguridad.
El Consejo Europeo ha mantenido una posición común en varios elementos de la propuesta de la Comisión Europea. Es el caso de las reglas para reequilibrar la responsabilidad de cumplimiento hacia los fabricantes, quienes deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que están disponibles en el mercado de la UE, incluidas obligaciones como la evaluación del riesgo de ciberseguridad, la declaración de conformidad y la cooperación con las autoridades competentes.
Asimismo, se han mantenido los requisitos esenciales para los procesos de manejo de vulnerabilidades para que los fabricantes garanticen la ciberseguridad de los productos digitales, y obligaciones para los operadores económicos, como importadores o distribuidores, en relación con estos procesos. Además de las medidas para mejorar la transparencia sobre la seguridad de los productos de hardware y software para consumidores y usuarios comerciales, y un marco de vigilancia del mercado para hacer cumplir estas reglas.
Modificaciones de la Ley de Ciberresiliencia
Respecto a las modificaciones que ha llevado a cabo el Consejo Europeo, han sido los aspectos relacionados con el alcance de la legislación propuesta, incluso con respecto a las categorías específicas de productos que deben cumplir con los requisitos del reglamento, con las obligaciones de notificación de vulnerabilidades o incidentes explotados activamente a las autoridades nacionales competentes en lugar de a la Agencia de la UE para la ciberseguridad (ENISA), estableciendo esta última una plataforma de notificación única.
También se han modificado los elementos para la determinación de la vida útil esperada del producto por parte de los fabricantes, las medidas de apoyo a las pequeñas y microempresas, y se ha realizado una declaración simplificada de conformidad.
El acuerdo alcanzado sobre la posición común del Consejo Europeo permitirá a la presidencia española entablar negociaciones con el Parlamento Europeo sobre la versión final de la legislación propuesta.