Garantizar que los productos con competencias digitales sean seguros antes de su entrada en el mercado. Este es el objetivo del acuerdo alcanzado por los Estados miembros a través del Reglamento de Ciberresiliencia. El reglamento establece una posición común por parte de la Unión Europea sobre la propuesta legislativa a los requisitos de ciberseguridad para dichos productos.
“Se trata de un acuerdo que impulsa el respaldo de la UE a un mercado único digital protegido y seguro”, ha asegurado Carme Artigas, secretaria de Estado de Digitalización e Inteligencia Artificial. Tal y como ha explicado, “el IoT y otros objetivos conectados deben incluir un nivel básico de ciberseguridad cuando se venden en el UE con el fin de garantizar que las empresas y los consumidores estén protegidos contra las ciberamenazas de forma eficaz”.
Artigas ha celebrado el acuerdo afirmando que “se trata de un hito importante para la Presidencia españolas y esperamos avanzar todo lo posible en las negociaciones con el Parlamento”.
Objetivos y líneas generales
La propuesta de Reglamento, la cual se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red, a excepción de los productos para los que ya se establecen requisitos en otras normativas vigentes, tiene como objetivo introducir requisitos de ciberseguridad obligatorios para el diseño, desarrollo, fabricación e introducción de productos de hardware y software en el mercado.
Además, la propuesta pretende cubrir las carencias de la legislación vigente en materia de ciberseguridad, así como aclarar los vínculos con dicha legislación y lograr que sea más coherente. Por último, el Reglamento de Ciberresiliencia propuesto permite a los consumidores tener en cuenta la ciberseguridad a la hora de escoger y utilizar productos con componentes digitales.
En cuanto a las líneas generales, la posición común aprobada en el Consejo sigue las líneas marcadas por la Comisión. Enfoque que estable, por un lado, las normas para reequilibrar la responsabilidad del cumplimiento hacia los fabricantes. Por otro lado, los requisitos esenciales para los procesos de gestión de las vulnerabilidades y, por último, las medidas para mejorar la transparencia en la relación con la seguridad de dichos productos.
Modificaciones
Sin embargo, los Estados miembros realizaron algunas modificaciones durante el Consejo. Los aspectos que sufrieron variaciones están relacionados con diferentes aspectos como el ámbito de aplicación del acto legislativo propuesto o las obligaciones de notificación de vulnerabilidades aprovechadas activamente o de incidentes a las autoridades nacionales competentes en lugar de a la Agencia de la UE para la Ciberseguridad (ENISA).
También se han modificado aspectos como los elementos que determinan la vida útil prevista del producto por parte de los fabricantes, las medidas de apoyo a las pequeñas empresas, así como microempresas, y la declaración de conformidad simplificada.
A partir de ahora será obligación de la Presidencia española entablar negociaciones con el Parlamento Europeo con el objetivo de diseñar y desarrollar la versión definitiva del acto legislativo propuesto.
