Amb l’objectiu de garantir que els productes amb components digitals, com ara càmeres domèstiques connectades, neveres intel·ligents, televisors i joguines, siguin segurs abans d’entrar al mercat, els representants dels estats membres (Coreper) van arribar a una posició comuna sobre la proposta de legislació sobre la ciberseguretat horitzontal.

L’acord avança en el compromís de la Unió Europea cap a un mercat únic digital segur. Els diferents objectes connectats a la xarxa han d’aportar un nivell bàsic de ciberseguretat quan es venguin dintre de les fronteres de la Unió. Així mateix, cal garantir que les empreses i els consumidors estiguin eficaçment protegits contra les amenaces cibernètiques.

L’esborrany de reglament introdueix requisits obligatoris de ciberseguretat per al disseny, desenvolupament, producció i posada a disposició del mercat de productes de maquinari i programari per evitar la superposició de requisits derivats de diferents legislacions dels estats membres de la UE.

El reglament proposat s’aplicarà a tots els productes connectats directament o indirecta a un altre dispositiu o a la xarxa. Hi ha algunes excepcions per als productes per als quals els requisits de ciberseguretat ja estan establerts a les normes de la UE existents, per exemple, en dispositius mèdics, aviació o vehicles.

La proposta pretén omplir els buits, aclarir els enllaços i fer que la legislació de ciberseguretat existent sigui més coherent assegurant que els productes amb components digitals, per exemple, els productes inclosos en l’anomenat Internet de les coses, siguin segurs al llarg de tota la cadena de subministrament i al llarg del seu cicle de vida sencer.

Finalment, el reglament proposat també permet als consumidors tenir en compte la ciberseguretat a l’hora de seleccionar i utilitzar productes que contenen elements digitals, oferint als usuaris l’oportunitat de prendre decisions informades de productes de maquinari i programari amb les característiques de ciberseguretat adequades.

La posició comuna del Consell Europeu manté l’eix general de la proposta de la Comissió, a saber:

• Normes per reequilibrar la responsabilitat del compliment envers els fabricants, que han de garantir la conformitat amb els requisits de seguretat dels productes amb elements digitals que es posen a disposició al mercat de la UE, incloses obligacions com ara l’avaluació del risc de ciberseguretat, la declaració de conformitat i la cooperació amb les autoritats competents.

• Requisits essencials per als processos de gestió de vulnerabilitats per als fabricants per garantir la ciberseguretat dels productes digitals, i obligacions per als operadors econòmics, com ara importadors o distribuïdors, en relació amb aquests processos.

• Mesures per millorar la transparència en la seguretat dels productes de maquinari i programari per als consumidors i usuaris empresarials i un marc de vigilància del mercat per fer complir aquestes normes.

No obstant això, el text del Consell Europeu modifica diverses parts de la proposta de la Comissió, incloent-hi els aspectes següents:

• L’abast de la legislació proposada, inclòs pel que fa a les categories específiques de productes que haurien de complir els requisits del reglament.

• Obligacions d’informar de vulnerabilitats o incidents explotats activament les autoritats nacionals competents (Equips de resposta a incidents de seguretat informàtica – CSIRT) en lloc de l’agència de la UE per a la ciberseguretat (ENISA), amb aquesta última que estableix una plataforma única de notificació.

• Elements per a la determinació de la vida útil del producte prevista pels fabricants.

• Mesures de suport a les companyies petites i les microempreses.

• Una declaració de conformitat simplificada.  

_____

Esta entrada en español / This post in English / Post en français