Con el propósito de garantizar que los productos con componentes digitales son seguros antes de ingresar al mercado, los representantes de los Estados miembros de la Unión Europea han acordado una posición común sobre los requisitos de seguridad para los productos digitales de la Ley de Ciberresiliencia.
El proyecto de Reglamento europeo sobre productos digitales introduce requisitos obligatorios de ciberseguridad para el diseño, desarrollo, producción y puesta a disposición en el mercado de productos de hardware y software para evitar la superposición de criterios derivados de diferentes leyes en los Estados miembros de la UE.
Se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red. Hay algunas excepciones para los productos cuyos requisitos de ciberseguridad ya están establecidos en las normas de la UE existentes, por ejemplo, en dispositivos médicos, aviación o automóviles.
Ciberseguridad de los productos digitales
Esta propuesta tiene el objetivo de hacer que la legislación sobre ciberseguridad existente sea más coherente al garantizar que los productos con componentes digitales sean seguros a lo largo de toda la cadena de suministro y a lo largo de su ciclo de vida completo. Asimismo, permite a los consumidores tener en cuenta la ciberseguridad al seleccionar y utilizar productos que contengan elementos digitales, proporcionándoles la oportunidad de tomar decisiones informadas sobre productos de hardware y software con las características adecuadas de ciberseguridad.
La posición común del Consejo Europeo mantiene varios elementos de la propuesta de la Comisión. Es el caso de las reglas para reequilibrar la responsabilidad de cumplimiento hacia los fabricantes, quienes deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que están disponibles en el mercado de la UE, incluidas obligaciones como la evaluación del riesgo de ciberseguridad, la declaración de conformidad y la cooperación con las autoridades competentes.
Asimismo, se han mantenido los requisitos esenciales para los procesos de manejo de vulnerabilidades para que los fabricantes garanticen la ciberseguridad de los productos digitales, y obligaciones para los operadores económicos, como importadores o distribuidores, en relación con estos procesos. Además de las medidas para mejorar la transparencia sobre la seguridad de los productos de hardware y software para consumidores y usuarios comerciales, y un marco de vigilancia del mercado para hacer cumplir estas reglas.
Enmiendas del Consejo Europeo
Respecto a las enmiendas del Consejo Europeo, figura el alcance de la legislación propuesta, incluidas las categorías específicas de productos que deben cumplir con los requisitos del Reglamento. Así, sugiere ampliar la lista con productos como software de sistemas de gestión de identidad, administradores de contraseñas, lectores biométricos y cámaras de seguridad, entre otros.
También se han modificado las obligaciones de notificación de vulnerabilidades o incidentes explotados activamente a las autoridades nacionales competentes en lugar de a la Agencia de la Unión Europea para la Ciberseguridad (ENISA), estableciendo esta última una plataforma de notificación única; los elementos para la determinación de la vida útil esperada del producto por parte de los fabricantes y las medidas de apoyo a las pequeñas y microempresas. Asimismo, se ha realizado una declaración simplificada de conformidad.
El acuerdo alcanzado sobre la posición común del Consejo Europeo permitirá a la Presidencia española entablar negociaciones con el Parlamento Europeo sobre la versión final de la legislación propuesta.