|
Con el fin de garantizar que los productos con componentes digitales, como cámaras domésticas conectadas, refrigeradores inteligentes, televisores y juguetes, sean seguros antes de ingresar al mercado, los representantes de los estados miembros (Coreper) llegaron a una posición común sobre la propuesta de legislación relativa a los requisitos de ciberseguridad horizontal para productos con elementos digitales ( ciberresiliencia ).
«Vamos a celebrar el acuerdo alcanzado hoy en el Consejo. Un acuerdo que promueve el compromiso de la UE hacia un mercado único digital seguro y protegido. IoT y otros objetos conectados deben tener un nivel básico de ciberseguridad cuando se venden en la UE, lo que garantiza que las empresas y los consumidores estén protegidos de manera efectiva contra las ciberamenazas. Este es un hito importante para la presidencia española, y esperamos adelantar las negociaciones con el Parlamento tanto como sea posible».
Carme Artigas Brugal, Secretaria de Estado de Digitalización e Inteligencia Artificial
Objetivos de la propuesta
El proyecto de reglamento introduce requisitos obligatorios de ciberseguridad para el diseño, desarrollo, producción y puesta a disposición en el mercado de productos de hardware y software para evitar la superposición de requisitos derivados de diferentes leyes en los estados miembros de la UE.
El reglamento propuesto se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red. Hay algunas excepciones para los productos, para los cuales los requisitos de ciberseguridad ya están establecidos en las normas de la UE existentes, por ejemplo, en dispositivos médicos, aviación o automóviles.
La propuesta tiene como objetivo llenar los vacíos, aclarar los vínculos y hacer que la legislación de ciberseguridad existente sea más coherente al garantizar que los productos con componentes digitales, por ejemplo, los productos de ‘Internet de las cosas’ (IoT) , sean seguros a lo largo de toda la cadena de suministro y durante todo su ciclo de vida.
Por último, el reglamento propuesto también permite a los consumidores tener en cuenta la ciberseguridad al seleccionar y utilizar productos que contengan elementos digitales, brindándoles la oportunidad de tomar decisiones informadas sobre productos de hardware y software con las características adecuadas de ciberseguridad.
Principales elementos conservados de la propuesta de la Comisión
La posición común del Consejo mantiene la idea general de la propuesta de la Comisión, a saber, en lo que respecta a:
- normas para reequilibrar la responsabilidad de cumplimiento hacia los fabricantes, que deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que se comercializan en el mercado de la UE, incluidas obligaciones como la evaluación del riesgo de ciberseguridad, la declaración de conformidad y la cooperación con las autoridades competentes
- requisitos esenciales para los procesos de tratamiento de vulnerabilidades de los fabricantes para garantizar la ciberseguridad de los productos digitales, y obligaciones de los operadores económicos, como importadores o distribuidores, en relación con estos procesos
- medidas para mejorar la transparencia sobre la seguridad de los productos de hardware y software para consumidores y usuarios comerciales, y un marco de vigilancia del mercado para hacer cumplir estas reglas
Las enmiendas del Consejo
Sin embargo, el texto del Consejo modifica varias partes de la propuesta de la Comisión, incluso en los siguientes aspectos:
- el alcance de la legislación propuesta, incluso con respecto a las categorías específicas de productos que deben cumplir con los requisitos del reglamento
- obligaciones de notificación de vulnerabilidades o incidentes explotados activamente a las autoridades nacionales competentes (‘equipos de respuesta a incidentes de seguridad informática’ – CSIRT) en lugar de a la agencia de la UE para la ciberseguridad (ENISA), y esta última establece una plataforma única de notificación
- elementos para la determinación de la vida útil esperada del producto por parte de los fabricantes
- medidas de apoyo a las pequeñas y microempresas
- una declaración simplificada de conformidad
|