Con el objetivo de garantizar que los productos con componentes digitales, como cámaras domésticas conectadas, neveras inteligentes, televisores y juguetes, sean seguros antes de entrar en el mercado, los representantes de los estados miembros (Coreper) llegaron a una posición común sobre la propuesta de legislación sobre la ciberseguridad horizontal.

El acuerdo avanza en el compromiso de la UE hacia un mercado único digital seguro. Los diferentes objetos conectados a la red deben aportar un nivel básico de ciberseguridad cuando se vendan dentro de las fronteras de la Unión. Asimismo, es necesario garantizar que las empresas y los consumidores estén eficazmente protegidos contra las amenazas cibernéticas.

El borrador de reglamento introduce requisitos obligatorios de ciberseguridad para el diseño, desarrollo, producción y puesta a disposición del mercado de productos de hardware y software para evitar la superposición de requisitos derivados de distintas legislaciones de los estados miembros de la UE.

El reglamento propuesto se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o a la red. Existen algunas excepciones para los productos para los que los requisitos de ciberseguridad ya están establecidos en las normas de la UE existentes, por ejemplo, en dispositivos médicos, aviación o vehículos.

La propuesta pretende llenar los vacíos, esclarecer los enlaces y hacer que la legislación de ciberseguridad existente sea más coherente asegurando que los productos con componentes digitales, por ejemplo, los productos incluidos en el llamado Internet de las cosas, sean seguros a lo largo de toda la cadena de suministro y a lo largo de su ciclo de vida entero.

Por último, el reglamento propuesto también permite a los consumidores tener en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos que contienen elementos digitales, ofreciendo a los usuarios la oportunidad de tomar decisiones informadas de productos de hardware y software con las características de ciberseguridad adecuadas.

La posición común del Consejo Europeo mantiene el eje general de la propuesta de la Comisión, a saber:

• Normas para reequilibrar la responsabilidad del cumplimiento hacia los fabricantes, que deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que se ponen a disposición en el mercado de la UE, incluidas obligaciones tales como la evaluación del riesgo de ciberseguridad, la declaración de conformidad y la cooperación con las autoridades competentes.

• Requisitos esenciales para los procesos de gestión de vulnerabilidades para los fabricantes para garantizar la ciberseguridad de los productos digitales, y obligaciones para los operadores económicos, como importadores o distribuidores, en relación con estos procesos.

• Medidas para mejorar la transparencia en la seguridad de los productos de hardware y software para los consumidores y usuarios empresariales y un marco de vigilancia del mercado para hacer cumplir estas normas.

No obstante, el texto del Consejo Europeo modifica varias partes de la propuesta de la Comisión, incluyendo los siguientes aspectos:

• El alcance de la legislación propuesta, incluido en lo que respecta a las categorías específicas de productos que deberían cumplir los requisitos del reglamento.

• Obligaciones de informar de vulnerabilidades o incidentes explotados activamente a las autoridades nacionales competentes (Equipos de respuesta a incidentes de seguridad informática – CSIRT) en lugar de la agencia de la UE para la ciberseguridad (ENISA), con esta última que establece una plataforma única de notificación.

• Elementos para la determinación de la vida útil del producto prevista por los fabricantes.

• Medidas de apoyo a las compañías pequeñas y microempresas.

• Una declaración de conformidad simplificada.  

_____

Aquest apunt en català / This post in English / Post en français