Administrador

Ciberresilencia: Los Estados miembros acuerdan una posición común sobre los requisitos de seguridad para los productos digitales (19 julio 2023)

Con vistas a garantizar que los productos con componentes digitales (como las cámaras domésticas, los frigoríficos inteligentes, los televisores y los juguetes conectados) sean seguros antes de entrar en el mercado, los representantes de los Estados miembros (Coreper) han alcanzado el 19 de julio de 2023 una posición común sobre la propuesta legislativa relativa a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia).

Antecedentes

En sus Conclusiones, de 2 de diciembre de 2020, sobre la ciberseguridad de los dispositivos conectados, el Consejo subrayó que es importante evaluar si se precisa una legislación horizontal para abordar a largo plazo todas las cuestiones pertinentes de la ciberseguridad de los dispositivos conectados, como la disponibilidad, la integridad y la confidencialidad, y en la que se especifiquen las condiciones necesarias para la comercialización.

La idea en que se basa esta propuesta, anunciada por primera vez por la presidenta de la Comisión, Ursula von der Leyen, en su discurso sobre el estado de la Unión de septiembre de 2021, se reflejó en las Conclusiones del Consejo, de 23 de mayo de 2022, sobre la elaboración de la posición de la Unión Europea en materia cibernética, en las que se instaba a la Comisión a que, antes de finales de 2022, propusiera requisitos comunes de ciberseguridad para los dispositivos conectados.

El 15 de septiembre de 2022, la Comisión aprobó la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 («Reglamento de Ciberresiliencia»), que complementará el marco de ciberseguridad de la UE, compuesto por: la Directiva relativa a la seguridad de las redes y sistemas de información (Directiva SRI), la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI 2) y el Reglamento de Ciberresiliencia de la UE.

Objetivos de la propuesta

El proyecto de Reglamento introduce requisitos de ciberseguridad obligatorios para el diseño, el desarrollo, la fabricación y la introducción en el mercado de productos de hardware y software, a fin de evitar el solapamiento de requisitos establecidos en diferentes actos legislativos de los Estados miembros de la UE.

El Reglamento propuesto se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red. Se introducen algunas excepciones en el caso de los productos para los que ya se establecen requisitos de ciberseguridad en otras normas vigentes de la UE, por ejemplo los productos sanitarios, la aviación o los automóviles.

La propuesta tiene por objeto cubrir las carencias de la legislación vigente en materia de ciberseguridad, aclarar los vínculos con dicha legislación y lograr que sea más coherente, garantizando que los productos con componentes digitales, por ejemplo los productos del internet de las cosas, sean seguros a lo largo de toda la cadena de suministro y durante todo su ciclo de vida.

Por último, la propuesta de Reglamento también permite a los consumidores tener en cuenta la ciberseguridad a la hora de escoger y utilizar productos que contienen elementos digitales, pues ofrece a los usuarios la oportunidad de elegir con conocimiento de causa los productos de hardware y software que reúnen las características de ciberseguridad adecuadas.

Principales elementos de la propuesta de la Comisión que se han mantenido

La posición común del Consejo mantiene las líneas generales de la propuesta de la Comisión, en particular en relación con:

 

  • las normas para reequilibrar la responsabilidad del cumplimiento hacia los fabricantes, que deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que se comercializan en la UE, incluidas obligaciones como la evaluación de riesgos de ciberseguridad, la declaración de conformidad y la cooperación con las autoridades competentes;
  • los requisitos esenciales para los procesos de gestión de las vulnerabilidades a fin de que los fabricantes garanticen la ciberseguridad de los productos digitales, y las obligaciones para los operadores económicos (como los importadores o los distribuidores) respecto de estos procesos;
  • las medidas para mejorar la transparencia en relación con la seguridad de los productos de hardware y software para los consumidores y los usuarios profesionales, y un marco de vigilancia del mercado para hacer cumplir estas normas.

Modificaciones del Consejo

No obstante, el texto del Consejo modifica varias partes de la propuesta de la Comisión, en particular en relación con los siguientes aspectos:

  • el ámbito de aplicación del acto legislativo propuesto, también en lo que se refiere a las categorías específicas de productos que deben cumplir los requisitos establecidos en el Reglamento;
  • las obligaciones de notificación de vulnerabilidades aprovechadas activamente o de incidentes a las autoridades nacionales competentes («equipos de respuesta a incidentes de seguridad informática») en lugar de a la Agencia de la UE para la Ciberseguridad (ENISA), que establece una plataforma de notificación única;
  • los elementos para determinar la vida útil prevista del producto por parte de los fabricantes;
  • las medidas de apoyo a las pequeñas empresas y a las microempresas;
  • una declaración de conformidad simplificada.

Actuaciones futuras

El acuerdo alcanzado el 19 de julio de 2023 sobre la posición común del Consejo («mandato de negociación») permitirá a la Presidencia española entablar negociaciones con el Parlamento Europeo («diálogos tripartitos») sobre la versión definitiva del acto legislativo propuesto.

Deja un comentarioCancelar respuesta