Para proteger a los consumidores y a las empresas de productos con características de seguridad inadecuadas, la Comisión Europea ha presentado una propuesta para una nueva Ley de Ciberresiliencia. Esta propuesta introduce los requisitos obligatorios de ciberseguridad para los productos con elementos digitales, durante todo su ciclo de vida.
La ley garantizará que los productos digitales, como los productos inalámbricos y por cable y software, sean más seguros para los consumidores de toda la UE. Además de aumentar la responsabilidad de los fabricantes al obligarles a proporcionar soporte de seguridad y actualizaciones de software para abordar las vulnerabilidades identificadas, permitirá a los consumidores tener suficiente información sobre la ciberseguridad de los productos que compran y usan.
Las medidas propuestas se basan en el nuevo marco legislativo para la legislación de productos de la UE, el cual establecerá normas para la puesta en el mercado de productos con elementos digitales para garantizar su ciberseguridad; requisitos esenciales para el diseño, desarrollo y producción de productos con elementos digitales, y obligaciones para los operadores económicos en relación con estos productos.
Proceso de gestión de las vulnerabilidades
Además, incluirá los requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y las obligaciones de los operadores económicos en relación con estos procesos. Los fabricantes también deberán informar las vulnerabilidades e incidentes explotados activamente; así como normas sobre vigilancia del mercado y ejecución.
Las nuevas normas reequilibrarán la responsabilidad hacia los fabricantes, que deben garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que se ponen a disposición en el mercado de la UE. Como resultado, los consumidores, los ciudadanos y las empresas que utilizan estos productos digitales se beneficiaran de esta ley, al mejorar la transparencia de las propiedades de seguridad y promover la confianza en los productos con elementos digitales, así como al garantizar una mejor protección de sus derechos fundamentales, como privacidad y protección de datos.
El reglamento propuesto se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red. Hay algunas excepciones para los productos, para los cuales los requisitos de ciberseguridad ya están establecidos en las normas de la UE existentes, por ejemplo, en dispositivos médicos, aviación o automóviles.
Pasos para la aprobación de la ley
Corresponde al Parlamento Europeo y al Consejo examinar el proyecto de Ley de Ciberresiliencia. Una vez adoptados, los operadores económicos y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos.
Una excepción a esta regla es la obligación de informar a los fabricantes sobre vulnerabilidades e incidentes explotados activamente, que se aplicaría ya un año después de la fecha de entrada en vigor, ya que requieren menos ajustes organizativos que las otras nuevas obligaciones. La Comisión Europea revisará periódicamente la Ley de Ciberresiliencia e informará sobre su funcionamiento.