Antecedentes
La ciberseguridad es una de las principales prioridades de la Comisión y una piedra angular de la Europa digital y conectada. El aumento de los ciberataques durante la crisis del coronavirus ha demostrado la importancia de proteger hospitales, centros de investigación y otras infraestructuras. Se necesita una acción enérgica en este ámbito para preparar la economía y la sociedad de la UE para el futuro. Se calcula que los costes anuales de las filtraciones de datos ascienden al menos a 10 000 millones EUR y los costes anuales de los intentos malintencionados de interrumpir el tráfico en Internet se estiman en al menos 65 000 millones EUR (informe de evaluación de impacto que acompaña al Reglamento Delegado de la Comisión por el que se complementan los equipos radioeléctricos).
La estrategia de ciberseguridad, presentada en diciembre de 2020, ha propuesto integrar la ciberseguridad en todos los elementos de la cadena de suministro y aunar aún más las actividades y los recursos de la UE en las cuatro comunidades de la ciberseguridad: mercado interior, aplicación de la ley, diplomacia y defensa. Se basa en Shaping Europe's Digital Future y EU Security Union Strategy de la UE , y se apoya en una serie de actos legislativos, acciones e iniciativas que la UE ha implementado para fortalecer las capacidades de ciberseguridad y garantizar una Europa más resistente a la cibernética.
El futuro Reglamento de resiliencia cibernética complementará el marco de ciberseguridad de la UE: la Directiva sobre la seguridad de las redes y los sistemas de información, la Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión.
Objetivos
El objetivo del futuro Reglamento es garantizar que los productos digitales, como los productos inalámbricos y por cable y software, son más seguros para los consumidores de toda la UE: además de aumentar la responsabilidad de los fabricantes al obligarles a proporcionar soporte de seguridad y actualizaciones de software para abordar las vulnerabilidades identificadas, permitirá a los consumidores tener suficiente información sobre la ciberseguridad de los productos que compran. comprar y usar.
Las medidas propuestas se basan en el Nuevo Marco Legislativo para la legislación de productos de la UE y establecerán:
- a) para la puesta en el mercado de productos con elementos digitales para garantizar su ciberseguridad;
- b) requisitos esenciales para el diseño, desarrollo y producción de productos con elementos digitales, y obligaciones para los operadores económicos en relación con estos productos;
- c) los requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y las obligaciones de los operadores económicos en relación con estos procesos. Los fabricantes también deberán informar las vulnerabilidades e incidentes explotados activamente;
- d) normas sobre vigilancia del mercado y ejecución.
Las nuevas normas reequilibrarán la responsabilidad hacia los fabricantes, que deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que se ponen a disposición en el mercado de la UE. Como resultado, beneficiarán a los consumidores y ciudadanos, así como a las empresas que utilizan productos digitales, al mejorar la transparencia de las propiedades de seguridad y promover la confianza en los productos con elementos digitales, así como al garantizar una mejor protección de sus derechos fundamentales, como privacidad y protección de datos.
Mientras que otras jurisdicciones de todo el mundo buscan abordar estos problemas, es probable que el Reglamento de Resiliencia Cibernética se convierta en un punto de referencia internacional, más allá del mercado interno de la UE. Los estándares de la UE basados este reglamento facilitarán su implementación y serán un activo para la industria de la ciberseguridad de la UE en los mercados globales.
El reglamento propuesto se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red. Hay algunas excepciones para los productos, para los cuales los requisitos de ciberseguridad ya están establecidos en las normas de la UE existentes, por ejemplo, en dispositivos médicos, aviación o automóviles.
Actuaciones futuras
Corresponde ahora al Parlamento Europeo y al Consejo examinar el proyecto de Reglamento de Resiliencia Cibernética. Una vez adoptados, los operadores económicos y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos. Una excepción a esta regla es la obligación de informar a los fabricantes sobre vulnerabilidades e incidentes explotados activamente, que se aplicaría ya un año después de la fecha de entrada en vigor, ya que requieren menos ajustes organizativos que las otras nuevas obligaciones. La Comisión revisará periódicamente la Ley de Resiliencia Cibernética e informará sobre su funcionamiento.