Carlos B Fernández. El pasado día 1 de diciembre, el Consejo y el Parlamento europeos han alcanzado un acuerdo político sobre la propuesta de Reglamento (Ley, en la terminología europea) del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (LA LEY 11044/2019) (Ley de Ciberresiliencia), propuesta por la Comisión en septiembre de 2022.
El acuerdo alcanzado pasará ahora a la aprobación formal del Parlamento Europeo y del Consejo. Una vez adoptada, la Ley de Ciberresiliencia entrará en vigor a los veinte días de su publicación en el Diario Oficial.
En el momento de la entrada en vigor, los fabricantes, importadores y distribuidores de productos de hardware y software dispondrán de 36 meses para adaptarse a los nuevos requisitos, con la excepción de un período de gracia más limitado de 21 meses en relación con la obligación de notificación de los fabricantes en caso de incidentes y vulnerabilidades.
Esta norma complementará el marco de ciberseguridad de la UE, compuesto por: la Directiva relativa a la seguridad de las redes y sistemas de información (Directiva SRI), la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI 2) y el Reglamento de Ciberresiliencia de la UE.
Objetivos de la propuesta
La Ley de Ciberresiliencia es la primera legislación destinada a proteger a los productos y servicios prestados en la Unión Europea frente a la creciente amenaza de los ciberdelincuentes y otros agentes malintencionados.
La propuesta tiene por objeto cubrir las carencias de la legislación vigente en materia de ciberseguridad, aclarar los vínculos con dicha legislación y lograr que sea más coherente, evitando el solapamiento de requisitos establecidos en diferentes actos legislativos de los Estados miembros de la UE, garantizando que los productos con componentes digitales, por ejemplo los productos del internet de las cosas, sean seguros a lo largo de toda la cadena de suministro y durante todo su ciclo de vida.
El Reglamento propuesto se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red. Se introducen algunas excepciones en el caso de los productos para los que ya se establecen requisitos de ciberseguridad en otras normas vigentes de la UE, por ejemplo, los productos sanitarios, la aviación o los automóviles.
Para ello introduce requisitos de ciberseguridad obligatorios para todos los equipos y programas informáticos, desde monitores para bebés, relojes inteligentes y juegos de ordenador hasta cortafuegos (firewalls) y routers, para los que se establecen diferentes requisitos de seguridad en función de sus diferentes niveles de riesgo asociados a lo largo de todo el ciclo de vida del producto, desde el diseño y el desarrollo, para mantener la seguridad después de la introducción del producto en el mercado.
Los productos de software y hardware llevarán el marcado CE para indicar que cumplen los requisitos del Reglamento y, por tanto, pueden venderse en la UE.
La Ley también introducirá la obligación legal de que los fabricantes proporcionen a los consumidores actualizaciones de seguridad oportunas durante varios años después de la compra. Este período debe reflejar el tiempo que se espera que se utilicen los productos.
Por último, la propuesta de Reglamento también permite a los consumidores tener en cuenta la ciberseguridad a la hora de escoger y utilizar productos que contienen elementos digitales, pues ofrece a los usuarios la oportunidad de elegir con conocimiento de causa los productos de hardware y software que reúnen las características de ciberseguridad adecuadas.
Estructura de la norma
La propuesta de Reglamento consta de 57 artículos, estructurados en ocho capítulos, precedidos de 71 considerandos, y seis anexos.
Según se explica en el expediente justificativo de la propuesta, en el Capítulo I (Disposiciones generales), se establecen: a) normas para la introducción en el mercado de productos con elementos digitales destinadas a garantizar la ciberseguridad de dichos productos; b) requisitos esenciales para el diseño, el desarrollo y la fabricación de productos con elementos digitales y las obligaciones de los operadores económicos en relación con dichos productos respecto de la ciberseguridad; c) requisitos esenciales para los procesos de gestión de las vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales a lo largo de todo el ciclo de vida y las obligaciones de los operadores económicos en relación con dichos procesos; d) normas relativas a la vigilancia del mercado y a la aplicación de los requisitos y las normas antes mencionados.
Por su ámbito de aplicación, el Reglamento se aplicará a todos los productos con elementos digitales cuyo uso previsto y razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red.
Se excluyen de su ámbito de aplicación, los productos con elementos digitales que entren en el ámbito de aplicación del Reglamento (UE) 2017/745 (LA LEY 6668/2017) [productos sanitarios para uso humano y accesorios de dichos productos] y del Reglamento (UE) 2017/746 (LA LEY 6667/2017) [productos sanitarios para diagnóstico in vitro de uso humano y accesorios de dichos productos], ya que ambos Reglamentos contienen requisitos relativos a los productos, incluidos los programas informáticos y las obligaciones generales de los fabricantes, que abarcan todo el ciclo de vida de los productos, así como procedimientos de evaluación de la conformidad.
Tampoco se aplicará a los productos con elementos digitales que hayan sido certificados de conformidad con el Reglamento 2018/1139 [nivel elevado y uniforme de seguridad de la aviación civil], ni a los productos regulados por el Reglamento (UE) 2019/2144 (LA LEY 19176/2019) [relativo a los requisitos de homologación de tipo de los vehículos de motor y de sus remolques, así como de los sistemas, componentes y unidades técnicas independientes destinados a esos vehículos].
Por otra parte, los productos críticos con elementos digitales estarán sujetos a procedimientos específicos de evaluación de la conformidad y se dividirán en las clases I y II según lo establecido en el anexo III, dependiendo de su nivel de riesgo de ciberseguridad, conforme al que la clase II presenta un riesgo más elevado. Un producto con elementos digitales se considera crítico y, por tanto, se incluye en el anexo III considerando las repercusiones de las posibles vulnerabilidades de ciberseguridad presentes en el producto con elementos digitales. A la hora de determinar el riesgo de ciberseguridad se tienen en cuenta la funcionalidad del producto con elementos digitales relacionada con la ciberseguridad y el uso previsto del producto en entornos sensibles, como, entre otros, el industrial.
Para determinar estas categorías de productos altamente críticos con elementos digitales, la Comisión tendrá en cuenta el nivel de riesgo de ciberseguridad vinculado a cada categoría de productos con elementos digitales, a la luz de uno o varios de los criterios tomados en consideración para la inclusión de productos críticos con elementos digitales en el anexo III.
Obligaciones de los operadores económicos (capítulo II)
Los requisitos y obligaciones esenciales de ciberseguridad exigen que los productos con elementos digitales solo se comercialicen si, habiendo sido suministrados debidamente, instalados de manera adecuada, mantenidos y utilizados para los fines previstos, o en condiciones de uso que se puedan prever razonablemente, cumplen los requisitos esenciales de ciberseguridad establecidos en este Reglamento.
Estos requisitos y obligaciones esenciales obligarán a los fabricantes a tener en cuenta la ciberseguridad en el diseño, el desarrollo y la producción de los productos con elementos digitales, a actuar con la diligencia debida en lo que respecta a la seguridad al diseñar y desarrollar sus productos, a ser transparentes con respecto a los aspectos relativos a la ciberseguridad que deban ponerse en conocimiento de los clientes, a garantizar el apoyo en materia de seguridad (actualizaciones) de manera proporcionada y a cumplir los requisitos relacionados con la gestión de las vulnerabilidades.
También se establecen obligaciones para los operadores económicos, desde los fabricantes hasta los distribuidores y los importadores, relativas a la introducción en el mercado de productos con elementos digitales, conformemente a su papel y sus responsabilidades en la cadena de suministro.
Conformidad del producto con elementos digitales (capítulo III)
Se presumirá que los productos con elementos digitales que sean conformes con normas armonizadas o partes de estas cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea son conformes con los requisitos esenciales del Reglamento propuesto. Cuando no existan normas armonizadas o sean insuficientes, cuando se produzcan retrasos indebidos en el procedimiento de normalización o cuando la solicitud de la Comisión no haya sido aceptada por los organismos europeos de normalización, la Comisión podrá, mediante actos de ejecución, adoptar especificaciones comunes.
Además, se presumirá que los productos con elementos digitales que hayan sido certificados o para los que se haya expedido una declaración de conformidad de la UE o un certificado en el marco de un esquema europeo de certificación de la ciberseguridad establecido en virtud del Reglamento (UE) 2019/881 (LA LEY 10057/2019) y para los cuales la Comisión haya especificado, mediante acto de ejecución, que puede otorgar la presunción de conformidad con el Reglamento propuesto son conformes con los requisitos esenciales establecidos en este Reglamento o partes de estos, en la medida en que la declaración de conformidad de la UE o el certificado de ciberseguridad, o partes de estos, contemplen dichos requisitos.
Además, con el fin de evitar cargas administrativas excesivas para los fabricantes, la Comisión deberá, cuando proceda, especificar si un certificado de ciberseguridad expedido en el marco de uno de estos esquemas europeos de certificación de la ciberseguridad elimina la obligación para los fabricantes de llevar a cabo una evaluación de la conformidad por parte de terceros, tal como dispone este Reglamento para los requisitos correspondientes.
El fabricante llevará a cabo una evaluación de la conformidad del producto con elementos digitales y los procesos de gestión de las vulnerabilidades que haya establecido para demostrar la conformidad con los requisitos esenciales establecidos en el anexo I por medio de uno de los procedimientos establecidos en el anexo VI. Los fabricantes de productos críticos de las clases I y II utilizarán los módulos respectivos necesarios para su cumplimiento. Los fabricantes de productos críticos de la clase II deberán recurrir a un tercero para su evaluación de la conformidad.
Notificación de los organismos de evaluación de la conformidad (capítulo IV)
La propuesta establece los requisitos aplicables a las autoridades nacionales responsables de los organismos de evaluación de la conformidad (organismos notificados). Deja en manos de los Estados miembros la responsabilidad final de la designación y la supervisión de los organismos notificados. Los Estados miembros designarán a una autoridad notificante que será responsable de establecer y aplicar los procedimientos necesarios para la evaluación y notificación de los organismos de evaluación de la conformidad y para la supervisión de los organismos notificados.
Vigilancia del mercado y aplicación de la legislación (capítulo V)
Los Estados miembros podrán optar por designar a cualquier autoridad existente o nueva para que actúe en calidad de autoridad de vigilancia del mercado, y las autoridades nacionales de certificación de la ciberseguridad designadas a que se refiere el artículo 58 del Reglamento (UE) 2019/881 (LA LEY 10057/2019). Los operadores económicos deberán cooperar plenamente con las autoridades de vigilancia del mercado y otras autoridades competentes.
Poderes delegados y procedimientos de comité (capítulo VI)
A fin de garantizar que el marco regulador pueda adaptarse cuando sea necesario, se delegan en la Comisión los poderes para adoptar actos con arreglo a lo dispuesto en el artículo 290 del TFUE (LA LEY 6/1957) a efectos de actualizar la lista de productos críticos de las clases I y II y especificar las definiciones de dichos productos, especificar si es necesario limitar o excluir los productos con elementos digitales regulados por otras normas de la Unión que establecen requisitos con el mismo nivel de protección que el previsto en este Reglamento, exigir la certificación de determinados productos altamente críticos con elementos digitales sobre la base de los criterios establecidos en este Reglamento, especificar el contenido mínimo de la declaración de conformidad de la UE y completar los elementos que deban incluirse en la documentación técnica.
La Comisión también estará facultada para adoptar actos de ejecución con el fin de: especificar el formato o los elementos de los informes obligatorios y la nomenclatura de materiales de los programas informáticos, especificar los esquemas europeos de certificación de la ciberseguridad que puedan utilizarse para demostrar la conformidad con los requisitos esenciales o partes de estos establecidos en este Reglamento, adoptar especificaciones comunes, establecer especificaciones técnicas para la colocación del marcado CE y adoptar medidas correctoras o restrictivas a escala de la Unión en circunstancias excepcionales que justifiquen una intervención inmediata destinada a preservar el buen funcionamiento del mercado interior.
Confidencialidad y sanciones (capítulo VII)
Todas las partes que apliquen este Reglamento respetarán la confidencialidad de la información y los datos que obtengan en el ejercicio de sus funciones y actividades.
A fin de garantizar el cumplimiento efectivo de las obligaciones establecidas en este Reglamento, las autoridades de vigilancia del mercado deben estar facultadas para imponer multas administrativas o solicitar su imposición. Para ello, el Reglamento establece los niveles máximos para las multas administrativas que deben recoger las legislaciones nacionales para casos de incumplimiento de las obligaciones establecidas en este Reglamento.
Disposiciones transitorias y finales (capítulo VIII)
El Reglamento propuesto será aplicable [veinticuatro meses] después de su entrada en vigor, a excepción de la obligación de información de los fabricantes, que se aplicaría [doce meses] después de la fecha de entrada en vigor.
Anexos
Anexo I - Requisitos esenciales de ciberseguridad (Incluye: 1. requisitos de seguridad relativos a las propiedades de los productos con elementos digitales, y 2. requisitos de gestión de las vulnerabilidades)
Anexo II - Información e instrucciones para el usuario
Anexo III - Productos críticos con elementos digitales
Anexo IV - Declaración UE de conformidad
Anexo V - Contenido de la documentación técnica
Anexo VI - Procedimientos de evaluación de la conformidad