La Comisión Europea acoge con satisfacción el acuerdo político sobre la Ley de Ciberresiliencia

  • NORMATIVAS

cyber-security

La Presidencia del Consejo y los negociadores del Parlamento Europeo han alcanzado un acuerdo provisional sobre la legislación relativa a los requisitos de ciberseguridad para los productos con elementos digitales y garantizar así que sean seguros antes de que se introduzcan en el mercado (Ley de Ciberresiliencia).

La Ley de Resiliencia Cibernética es la primera legislación de este tipo en el mundo. Mejorará el nivel de ciberseguridad de los productos digitales en beneficio de los consumidores y las empresas de toda la UE, ya que introducirá requisitos de ciberseguridad obligatorios proporcionados para todo el hardware y el software, desde los monitores para bebés, los relojes inteligentes y los juegos de ordenador hasta los cortafuegos y los routers. Los productos con diferentes niveles de riesgo asociados tendrán diferentes requisitos de seguridad. Menos del 10% de los productos estarán sujetos a evaluaciones de terceros.

Con este nuevo Reglamento, todos los productos introducidos en el mercado de la UE deberán ser ciberseguros. Este es un paso crucial en la lucha contra la creciente amenaza de los ciberdelincuentes y otros actores maliciosos.

Una vez que la Ley de Resiliencia Cibernética esté en vigor, los fabricantes de hardware y software tendrán que implementar medidas de ciberseguridad a lo largo de todo el ciclo de vida del producto, desde el diseño y el desarrollo, hasta después de que el producto se introduzca en el mercado. Los productos de software y hardware llevarán el marcado CE para indicar que cumplen con los requisitos del Reglamento y, por lo tanto, pueden venderse en la UE.

La Ley también introducirá la obligación legal de que los fabricantes proporcionen a los consumidores actualizaciones de seguridad oportunas durante varios años después de la compra. Este período debe reflejar el tiempo en que se espera que se utilicen los productos.

A través de estas medidas, la nueva Ley permitirá a los usuarios tomar decisiones mejor informadas y más seguras, ya que los fabricantes tendrán que ser más transparentes y responsables con respecto a la seguridad de sus productos.

Principales modificaciones de los colegisladores

No obstante, los colegisladores han acordado hacer ajustes a varias partes de la propuesta de la Comisión, en particular en relación con:

- El ámbito de aplicación del acto legislativo propuesto, con una metodología más sencilla para la clasificación de productos digitales sujetos al nuevo Reglamento.
- La determinación por los fabricantes de la vida útil prevista del producto: si bien el principio sigue siendo que el período de soporte de un producto digital se corresponde a la vida útil prevista, se prevé un período indicativo de soporte de al menos cinco años, excepto en el caso de los productos cuya utilización prevista sea más corta.
- Las obligaciones de notificación de vulnerabilidades aprovechadas activamente o de incidentes: las autoridades nacionales competentes serán las destinatarias iniciales de esas notificaciones pero se reforzará el papel de la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
- Las nuevas normas se aplicarán tres años después de la entrada en vigor del acto legislativo, lo que debería dar a los fabricantes tiempo suficiente para adaptarse a los nuevos requisitos.
- Se han acordado medidas de apoyo adicionales para las pequeñas empresas y las microempresas, entre ellas actividades específicas de sensibilización y formación, así como apoyo a los procedimientos de ensayo y de evaluación de la conformidad.

Próximos pasos

El acuerdo alcanzado ahora está sujeto a la aprobación formal tanto del Parlamento Europeo como del Consejo. Una vez adoptada, la Ley de Ciberresiliencia entrará en vigor a los 20 días de su publicación en el Diario Oficial.

A partir de la entrada en vigor, los fabricantes, importadores y distribuidores de productos de hardware y software dispondrán de 36 meses para adaptarse a los nuevos requisitos, con la excepción de un periodo de gracia más limitado de 21 meses en relación con la obligación de notificación de incidentes y vulnerabilidades por parte de los fabricantes.