La Unión Europea ha dado un significativo paso esta semana hacia un mercado único digital, seguro y protegido en el marco de la Ley de Ciberresiliencia Europea.
Los representantes de los estados miembros han alcanzado una posición común sobre la legislación propuesta en materia de ciberseguridad horizontal, con los requisitos que deben cumplir los productos con elementos digitales como las cámaras domésticas conectadas a la red, smart TV, juguetes o neveras inteligentes, entre otros.
Estos dispositivos del ecosistema del IoT deben tener un nivel básico de ciberseguridad cuando se venden en la UE, lo que garantiza que las empresas y los consumidores estén protegidos de manera efectiva contra las ciberamenazas. El objetivo es suplir la carencia a nivel legal que existe en la UE para regular el software no integrado (non-embedded software), lo que favorece el aumento de ciberataques a través de la explotación de vulnerabilidades en productos de hardware y sotfware.
El proyecto de reglamento introduce requisitos obligatorios de ciberseguridad para el diseño, desarrollo, producción y puesta a disposición en el mercado de productos para evitar la superposición de requisitos derivados de las diferentes leyes en los estados miembros de la UE.
Esta normativa se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red, con la excepción de los productos cuyos requisitos de ciberseguridad ya estén fijados por normas vigentes, como es el caso, por ejemplo, de dispositivos médicos, aviación o automóviles.
La posición común del Comité de Representantes Permanentes de los Gobiernos de los Estados miembros de la Unión Europea ha conservado la idea general propuesta por la Comisión Europea en lo que respecta a:
- Reglas para reequilibrar la responsablidad de cumplimiento hacia los fabricantes.
- Requisitos esenciales para los procesos de manejo de vulnerabilidades.
- Medidas para mejorar la transparencia sobre la seguridad de los productos hardware y software para consumidores y usuarios comerciales.
Las novedades introducidas incluyen:
- La obligación de notificar las vulnerabilidades o incidentes a las autoridades nacionales competentes en lugar de a la Agencia de la UE para la Ciberseguridad (ENISA), estableciendo esta última una plataforma única de notificación.
- Los fabricantes deben determinar la vida útil esperada del producto.
- Medidas de apoyo a las pequeñas y microempresas
- Una declaración simplificada de conformidad.