Con el objetivo de garantizar qué dispositivos digitales y conectados sean seguros antes de que se introduzcan en el mercado, el Consejo y el Parlamento Europeo han alcanzado un acuerdo provisional sobre la legislación propuesta relativa a los requisitos de ciberseguridad para los productos con elementos digitales de la Ley de Ciberresiliencia.
El nuevo acto legislativo introduce requisitos de ciberseguridad a escala de la UE para el diseño, el desarrollo, la fabricación y la introducción en el mercado de productos de hardware y software, a fin de evitar el solapamiento de requisitos establecidos en diferentes actos legislativos de los Estados miembros de la UE.
El texto acordado provisionalmente mantiene los aspectos generales de la propuesta de la Comisión Europea, en particular en relación con las normas para reequilibrar la responsabilidad del cumplimiento hacia los fabricantes, que deben cumplir determinadas obligaciones, como la realización de evaluaciones de riesgos de ciberseguridad, la emisión de declaraciones de conformidad y la cooperación con las autoridades competentes.
También se mantiene los procesos de gestión de las vulnerabilidades a fin de que los fabricantes garanticen la ciberseguridad de los productos digitales, y las obligaciones para los operadores económicos (como los importadores o los distribuidores) respecto de estos procesos; las medidas para mejorar la transparencia en relación con la seguridad de los productos de hardware y software para los consumidores y los usuarios profesionales; y un marco de vigilancia del mercado para hacer cumplir las normas.
Modificaciones de los colegisladores
Los colegisladores han acordado hacer ajustes a varias partes de la propuesta de la Comisión Europea, en particular en relación con el ámbito de aplicación del acto legislativo propuesto, con una metodología más sencilla para la clasificación de productos digitales sujetos al nuevo reglamento.
Se modificará la determinación por los fabricantes de la vida útil prevista del producto. Si bien el principio sigue siendo que el período de soporte de un producto digital se corresponde a la vida útil prevista, se prevé un período indicativo de soporte de al menos 5 años, excepto en el caso de los productos cuya utilización prevista sea más corta.
Por otro lado, se abordan las obligaciones de notificación de vulnerabilidades aprovechadas activamente o de incidentes. En este punto, las autoridades nacionales competentes serán las destinatarias iniciales de esas notificaciones, pero se reforzará el papel de la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
Los colegisladores han establecido que las nuevas normas se aplicarán 3 años después de la entrada en vigor del acto legislativo, lo que debería dar a los fabricantes tiempo suficiente para adaptarse a los nuevos requisitos; y han acordado medidas de apoyo adicionales para las pequeñas empresas y las microempresas, entre ellas actividades específicas de sensibilización y formación, así como apoyo a los procedimientos de ensayo y de evaluación de la conformidad.
Aplicación de la Ley de Ciberresiliencia
El reglamento se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o a una red. Se introducen algunas excepciones en el caso de los productos para los que ya se establecen requisitos de ciberseguridad en otras normas vigentes de la UE, por ejemplo, los productos sanitarios, aeronáuticos y automovilísticos.
La propuesta tiene por objeto cubrir las carencias de la legislación vigente en materia de ciberseguridad, aclarar los vínculos con dicha legislación y lograr que sea más coherente, garantizando que los productos con componentes digitales, como los productos del IoT, sean seguros a lo largo de la cadena de suministro y durante su ciclo de vida.
Por último, el reglamento permitirá que los consumidores tengan en cuenta la ciberseguridad a la hora de escoger y utilizar productos que contienen elementos digitales, lo que les facilita determinar los productos de hardware y software que reúnen las características de ciberseguridad adecuadas.
Próximos pasos
Tras el acuerdo provisional alcanzado entre el Consejo y el Parlamento Europeo, en las próximas semanas proseguirán los trabajos técnicos para ultimar los detalles del nuevo reglamento. La Presidencia española someterá el texto transaccional al refrendo a los representantes de los Estados miembros (Coreper) una vez finalizados estos trabajos.
Las dos instituciones deberán confirmar el texto íntegro, que se someterá a una formalización jurídico-lingüística antes de que los colegisladores lo adopten formalmente.