El Consell ha adoptat, al mes d’octubre, una nova normativa sobre requisits de ciberseguretat per als productes amb elements digitals, amb l’objectiu de garantir que aquests productes, com ara càmeres domèstiques connectades, neveres, televisors o joguines, siguin segurs abans de posar-los al mercat, atenent a l’anomenada llei de resiliència cibernètica.
La nova regulació pretén omplir els buits, aclarir els vincles i fer més coherent el marc legislatiu de ciberseguretat existent, assegurant que els productes amb components digitals, per exemple els productes IdC, d’internet de les coses (IoT, en anglès), es facin segurs al llarg de la cadena de subministrament i al llarg del seu cicle de vida.
La reglamentació introdueix requisits de ciberseguretat a tota la UE per al disseny, desenvolupament, producció i posada a disposició del mercat de productes de maquinari i programari, per evitar la superposició de requisits derivats de diferents legislacions dels estats membres de la Unió. Per exemple, els productes de programari i maquinari portaran el marcatge CE per indicar que compleixen els requisits de la normativa. Les lletres CE apareixen en molts productes comercialitzats al mercat únic atenent a l’Espai Econòmic Europeu (EEE). Significa que els productes venuts a l’EEE s’han avaluat per complir els requisits de seguretat, salut i protecció del medi ambient.
El reglament s’aplicarà a tots els productes connectats directament o indirectament a un altre dispositiu o a una xarxa. Hi ha algunes excepcions per als productes per als quals els requisits de ciberseguretat ja estan establerts a les normes de la UE existents, per exemple, els dispositius mèdics, els productes aeronàutics i els cotxes.
Finalment, la normativa permetrà que els consumidors tinguin en compte la ciberseguretat a l’hora de seleccionar i utilitzar productes que continguin elements digitals, facilitant-los la identificació de productes de maquinari i programari amb les característiques de ciberseguretat adequades.
Després de l’aprovació, l’acte legislatiu serà signat pels presidents del Consell i del Parlament Europeu i publicat al diari oficial de la UE en les properes setmanes. El nou reglament entrarà en vigor al cap de vint dies de la publicació i s’aplicarà 36 mesos després de la seva entrada en vigor, amb algunes disposicions per aplicar en una fase anterior.
Anunciat per primera vegada per la presidenta de la Comissió en el seu discurs sobre l’estat de la Unió el setembre del 2021, l’acte de resiliència cibernètica es va esmentar a les conclusions del Consell de 23 de maig de 2022 sobre el desenvolupament de la posició de la Unió Europea, que demanava a la Comissió que els presentés la seva proposta a finals de 2022.
El 15 de setembre de 2022, la Comissió va presentar la proposta d’un acte de resiliència cibernètica, que complementarà el marc actual de ciberseguretat de la UE: la directiva sobre la seguretat de les xarxes i els sistemes d’informació (directiva NIS), la directiva sobre mesures per a un alt nivell de ciberseguretat a tota la Unió (directiva NIS 2) i la normativa de ciberseguretat de la UE. Després de les negociacions interinstitucionals, es va arribar a un acord provisional entre els colegisladors el 30 de novembre de 2023.
_____
Esta entrada en español / This post in English / Post en français