Cargando. Por favor, espere

El Reglamento Europeo de Ciberresiliencia y su impacto en los productos digitales

Moisés Barrio Andrés

Letrado del Consejo de Estado. Asesor de diversos Estados y de la Unión Europea en materia de regulación digital

Profesor de Derecho digital. Director del posgrado en Legal Tech y transformación digital (DAELT) de la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid

Diario LA LEY, Nº 10646, Sección Tribuna, 17 de Enero de 2025, LA LEY

LA LEY 219/2025

Normativa comentada
Ir a Norma Regl. (UE) 2024/2847, de 23 Oct. (requisitos horizontales de ciberseguridad para los productos con elementos digitales -Reglamento de Ciberresiliencia-)
Ir a Norma Regl. 2019/1020 UE, de 20 Jun. (vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Regl. (CE) n.º 765/2008 y (UE) n.º 305/2011)
Ir a Norma Regl. 2019/881 UE, de 17 Abr. (relativo a ENISA y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Regl. (UE) n.º 526/2013 -«Reglamento sobre la Ciberseguridad»-)
Ir a Norma Regl. 526/2013 UE, de 21 May. (relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea -ENISA- y por el que se deroga el Regl. 460/2004)
Ir a Norma Regl. 168/2013 UE, de 15 Ene. (homologación de los vehículos de dos o tres ruedas y los cuatriciclos, y a la vigilancia del mercado de dichos vehículos)
Ir a Norma Directiva 2024/2853 UE, de 23 Oct. (responsabilidad por los daños causados por productos defectuosos y por la que se deroga la Directiva 85/374/CEE)
Ir a Norma Directiva 2022/2555 UE, de 14 Dic. (medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reg. 910/2014 y la Directiva 2018/1972 y deroga la Directiva 2016/1148 Directiva SRI 2)
Ir a Norma Directiva 2020/1828 UE de 25 Nov. (relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores y por la que se deroga la Directiva 2009/22/CE)
Ir a Norma Directiva 2018/1972 UE de 11 Dic. 2018 (código europeo de las comunicaciones electrónicas)
Ir a Norma Directiva 2016/1148 UE, de 6 Jul. (medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión)
Ir a Norma Directiva 85/374 CEE del Consejo, de 25 Jul. 1985 (aproximación de disposiciones legales, reglamentarias y administrativas de los Estados Miembros en materia de responsabilidad por daños causados por productos defectuosos).
Comentarios
Resumen

El Derecho digital europeo cuenta con una relevante nueva norma en materia de ciberseguridad, el Reglamento Europeo de Ciberresiliencia, que forma parte de la Estrategia Digital de la UE, tiene por objeto proteger a los consumidores y las empresas de los productos conectados a Internet y los programas informáticos con características de ciberseguridad insuficientes e introduce una serie de nuevos requisitos de cumplimiento para las empresas que comercializan estos productos en el mercado de la Unión Europea. Este análisis resume las principales obligaciones para los fabricantes, importadores y distribuidores de estos productos digitales que impone la norma, las fechas en que se requerirá el cumplimiento y apunta algunos consejos prácticos sobre su cumplimiento.

Portada

I. Introducción

El Derecho digital europeo (1) cuenta con una relevante nueva norma en materia de ciberseguridad (2) . Se trata del Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024 (LA LEY 25994/2024), relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168/2013 (LA LEY 2704/2013) y el Reglamento (UE) 2019/1020 (LA LEY 11044/2019) y la Directiva (UE) 2020/1828 (LA LEY 23718/2020) (Reglamento de Ciberresiliencia o Reglamento CRA, por sus siglas inglesas de Cyber Resilience Act), que entró en vigor el pasado 10 de diciembre de 2024.

Esta nueva norma, que forma parte de la Estrategia Digital de la UE, tiene por objeto proteger a los consumidores y las empresas de los productos conectados a Internet y los programas informáticos con características de ciberseguridad insuficientes e introduce una serie de nuevos requisitos de cumplimiento para las empresas que comercializan estos productos en el mercado de la Unión Europea.

Con anterioridad al Reglamento de Ciberresiliencia, varias normas estatales y del Derecho digital europeo abordaban algunos de los desafíos de ciberseguridad de manera fragmentada y, en ocasiones, descoordinada. Y si bien la nueva Directiva NIS2 (3) y el Reglamento de Ciberseguridad (4) ya regulaban ciertos aspectos de la ciberseguridad, no habían establecido requisitos de seguridad obligatorios específicamente para productos con elementos digitales, que lleva a cabo esta nueva norma.

Este análisis resume las principales obligaciones para los fabricantes, importadores y distribuidores de estos productos digitales que impone la norma, las fechas en que se requerirá el cumplimiento y apunta algunos consejos prácticos sobre su cumplimiento.

II. Productos incluidos

El Reglamento de Ciberresiliencia se aplica a los «productos con elementos digitales». Se trata de todo producto «consistente en programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado».

La definición incluye productos que están conectados directa o indirectamente a otro dispositivo o a una red, como frigoríficos conectados, juguetes o dispositivos domésticos inteligentes del Internet de las Cosas (IoT) (5) . El término «producto» puede inducir a error, ya que no se refiere únicamente a productos físicos, sino que también comprende programas informáticos que proporcionan un componente almacenado localmente (por ejemplo, una App) y se conectan a Internet. Así, resulta más esclarecedora la denominación de «producto conectado», que utilizaremos como sinónimo de «producto con elementos digitales».

Por tanto, el ámbito de aplicación de la norma es bastante amplio. Y la mayoría de los señalados productos también entran en el ámbito de aplicación de la nueva Directiva (UE) 2024/2853 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024 (LA LEY 25793/2024), sobre responsabilidad por los daños causados por productos defectuosos y por la que se deroga la Directiva 85/374/CEE (LA LEY 1943/1985) del Consejo.

III. Sujetos obligados

En la práctica, todas los actores participantes en la cadena de valor entran en el ámbito de aplicación, si bien las principales obligaciones recaen en el fabricante.

El Reglamento de Ciberresiliencia abarca todo el ciclo de vida de los productos conectados. Los fabricantes, importadores y distribuidores de estos productos quedan sujetos al nuevo régimen regulador. Los requisitos difieren entre fabricantes e importadores o distribuidores, y dependiendo de si los productos con elementos digitales se definen como productos «importantes» (anexo III) o productos «críticos» (anexo IV).

El fabricante de los productos conectados deberá cumplir las principales obligaciones que impone la norma. Entre ellas, figuran las siguientes:

  • a) Evaluación de los riesgos de ciberseguridad. Los fabricantes de productos con elementos digitales deben realizar una evaluación de los riesgos de ciberseguridad asociados al producto y tener en cuenta el resultado de dicha evaluación durante las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento del producto.
  • b) Requisitos esenciales de ciberseguridad. El fabricante debe garantizar que el producto conectado ha sido diseñado, desarrollado y producido de acuerdo con los requisitos esenciales establecidos por la norma (incluyendo, por ejemplo, una configuración segura por defecto y la protección contra el acceso no autorizado).
  • c) Evaluación de la conformidad. Los fabricantes tienen que evaluar la conformidad de los productos conectados y los procesos implantados para determinar si cumplen los requisitos esenciales. En general, puede llevarse a cabo mediante una autoevaluación, mientras que para los productos considerados «importantes» (por ejemplo, determinados dispositivos domésticos inteligentes o gestores de contraseñas) o «críticos» (por ejemplo, pasarelas de contadores inteligentes o tarjetas inteligentes) se aplican normas más estrictas y puede ser obligatoria una evaluación por terceros.
  • d) Proceso de gestión de vulnerabilidades. El fabricante debe supervisar sus productos conectados durante todo su tiempo de uso previsto, pero en general al menos durante cinco años, y documentar los aspectos de ciberseguridad pertinentes. Cuando se detecta una vulnerabilidad, el fabricante tiene que abordar y corregir las vulnerabilidades sin demora, incluso proporcionando actualizaciones de seguridad (que se suministrarán por separado de las actualizaciones de funcionalidad).
  • e) Obligaciones de información y transparencia. El fabricante tiene que redactar la documentación técnica y proporcionar instrucciones de uso de forma clara e inteligible en una lengua que puedan comprender fácilmente los usuarios y las autoridades de vigilancia del mercado.

Además, el reglamento establece determinadas obligaciones de diligencia debida para los importadores y distribuidores de productos conexos:

  • a) Los importadores deben garantizar que los productos conectados cumplen los requisitos esenciales de ciberseguridad y llevan el marcado CE.
  • b) Los distribuidores deben verificar el marcado CE y asegurarse de que los fabricantes e importadores han cumplido sus obligaciones en materia de etiquetado e instrucciones de uso.

El Reglamento de Ciberresiliencia positiviza un conjunto de medidas de ciberseguridad que deben ser aplicadas por los fabricantes y verificadas por los importadores y distribuidores, incluyendo la seguridad por diseño, la especial protección de productos críticos, disponer de un plan para gestionar las vulnerabilidades durante todo el ciclo de vida del producto y la seguridad en la cadena de suministro.

IV. Obligaciones de información y notificación de los fabricantes

El Reglamento de Ciberresiliencia establece una obligación de notificación escalonada para los fabricantes en caso de que se haya detectado una vulnerabilidad explotada activamente y en incidentes de ciberseguridad graves (art. 14). Los importadores y distribuidores deben notificar al fabricante la vulnerabilidad explotada activamente sin demora indebida.

El sistema de notificación obligatorio consta de tres etapas diferentes: (1) una alerta temprana en las 24 horas siguientes a tener conocimiento de ella (2) una notificación de la vulnerabilidad en las 72 horas siguientes, y (3) un informe final en los 14 días siguientes a disponer de una medida correctora o paliativa. Los usuarios deben ser informados oportunamente.

Estos requisitos de notificación tienen como objetivo garantizar la transparencia, la respuesta rápida y los esfuerzos colaborativos entre los fabricantes, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) del respectivo Estado (en España, es el INCIBE).

V. Régimen sancionador

Los Estados miembros establecerán el régimen de sanciones aplicables a las infracciones del reglamento y adoptarán todas las medidas necesarias para garantizar su aplicación. Tales sanciones serán efectivas, proporcionadas y disuasorias (art. 64.1).

La respectiva autoridad nacional de vigilancia del mercado ostenta amplias competencias para mitigar los riesgos derivados del incumplimiento del reglamento, incluida la posibilidad de retirar productos del mercado. La autoridad también estará facultada para imponer multas de hasta 15.000.000 de euros o, si el infractor es una empresa, de hasta el 2,5 % del volumen de negocio total anual mundial del ejercicio financiero anterior, si esta cuantía fuese superior.

VI. Conclusiones

La mayor parte del trabajo para garantizar el cumplimiento del Reglamento de Ciberresiliencia corresponde a los fabricantes.

Aunque la norma se aplicará a partir del 11 de diciembre de 2027, es conveniente tenerla presente desde ahora cuando se empiece a desarrollar un producto que entre en su ámbito de aplicación y que se prevea comercializar después del 11 de diciembre de 2027 para garantizar su conformidad con el reglamento. En el caso de los productos que se comercialicen antes de esa fecha, la norma solo se aplicará si se modifican sustancialmente con posterioridad.

Sin embargo, los fabricantes tendrán que cumplir las obligaciones de notificación de vulnerabilidades explotadas a partir del 11 de septiembre de 2026, independientemente de cuándo se haya comercializado el producto.

De este modo, resulta urgente que los fabricantes revisen su catálogo de productos en relación con el ámbito de aplicación de la norma y lleven a cabo una evaluación de los productos cuyo lanzamiento esté previsto a partir del 11 de diciembre de 2027 y que entren en el ámbito de aplicación del Reglamento de Ciberresiliencia.

También a mi juicio deben establecer con prontitud un proceso de gestión de vulnerabilidades y de notificación a los usuarios, fijando los periodos de asistencia pertinentes para cada producto y contemplando procedimientos para garantizar que las vulnerabilidades de cada producto se traten eficazmente, así como que se notifiquen adecuadamente en el futuro.

(1)

Acerca de sus nuevos contornos, puede verse Barrio Andrés, Moisés: «Las nuevas coordenadas del Derecho digital europeo», en Diálogos jurídicos. Anuario de la Facultad de Derecho de la Universidad de Oviedo, vol. 9, 2024 y disponible en https://reunido.uniovi.es/index.php/dj/article/view/22096

Ver Texto
(2)

Sobre el marco general, me remito a Barrio Andrés, Moisés: «La ciberseguridad en el Derecho digital europeo: novedades de la Directiva NIS2», en InDret, núm. 1, 2024, pp. 504-531 y disponible en https://indret.com/la-ciberseguridad-en-el-derecho-digital-europeo-novedades-de-la-directiva-nis2/

Ver Texto
(3)

Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 (LA LEY 26820/2022), relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 (LA LEY 20019/2018) y por la que se deroga la Directiva (UE) 2016/1148 (LA LEY 11863/2016) (Directiva SRI 2 o NIS2).

Ver Texto
(4)

Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019 (LA LEY 10057/2019), relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (LA LEY 9643/2013) (Reglamento sobre la Ciberseguridad).

Ver Texto
(5)

Sobre ello, vid. Barrio Andrés, Moisés: Internet de las Cosas. Editorial Reus, Madrid, 2022, 3.ª edición.

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll