El Consejo ha adoptado hoy una nueva ley sobre requisitos de ciberseguridad para productos con elementos digitales con vistas a garantizar que los productos, como las cámaras domésticas conectadas, los frigoríficos, los televisores y los juguetes, sean seguros antes de su comercialización(ley de ciberresiliencia). La nueva normativa pretende colmar las lagunas, aclarar los vínculos y hacer más coherente el marco legislativo vigente en materia de ciberseguridad, garantizando que los productos con componentes digitales, por ejemplo los productos del «Internet de las cosas » (IoT), sean seguros a lo largo de toda la cadena de suministro y durante todo su ciclo de vida.
Elementos clave del nuevo Reglamento
La nueva ley introduce requisitos de ciberseguridad a escala de la UE para el diseño, desarrollo, producción y comercialización de productos de hardware y software, con el fin de evitar el solapamiento de requisitos derivados de diferentes actos legislativos de los Estados miembros de la UE. Por ejemplo, los productos de software y hardware llevarán el marcado CE para indicar que cumplen los requisitos del reglamento. Las letras «CE» aparecen en muchos productos comercializados en el mercado único ampliado del Espacio Económico Europeo (EEE). Significan que los productos vendidos en el EEE han sido evaluados para cumplir elevados requisitos de seguridad, salud y protección del medio ambiente.
El Reglamento se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o a una red. Hay algunas excepciones para los productos cuyos requisitos de ciberseguridad ya están establecidos en las normas vigentes de la UE, por ejemplo los productos sanitarios, los productos aeronáuticos y los automóviles.
Por último, la nueva ley permitirá a los consumidores tener en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos que contengan elementos digitales, facilitándoles la identificación de productos de hardware y software con las características de ciberseguridad adecuadas.
Próximos pasos
Tras la adopción de hoy, el acto legislativo será firmado por los Presidentes del Consejo y del Parlamento Europeo y se publicará en el Diario Oficial de la UE en las próximas semanas. El nuevo reglamento entrará en vigor veinte días después de esta publicación y se aplicará 36 meses después de su entrada en vigor, con algunas disposiciones que se aplicarán en una fase anterior.
Contexto
Anunciada por primera vez por la Presidenta de la Comisión von der Leyen en su discurso sobre el estado de la Unión en septiembre de 2021, la ley de ciberresiliencia se mencionó en las conclusiones del Consejo de 23 de mayo de 2022 sobre el desarrollo de la ciberpostura de la Unión Europea, en las que se instaba a la Comisión a presentar su propuesta antes de finales de 2022.
El 15 de septiembre de 2022, la Comisión presentó la propuesta de ley de ciberresiliencia, que complementará el actual marco de ciberseguridad de la UE: la Directiva sobre la seguridad de las redes y sistemas de información (Directiva NIS), la Directiva sobre medidas para un nivel elevado de ciberseguridad en toda la Unión (Directiva NIS 2) y la Ley de ciberseguridad de la UE. Tras las negociaciones interinstitucionales («trílogos»), los colegisladores alcanzaron un acuerdo provisional el 30 de noviembre de 2023.
Más información: Consejo Europeo
Deja una respuesta