Se trata de la primera legislación de este tipo a escala de la UE e introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales, a lo largo de todo su ciclo de vida útil.
La norma, anunciada por la presidenta Ursula von der Leyen en septiembre de 2021 en su discurso sobre el estado de la Unión Europea, se basa en la Estrategia de Ciberseguridad de la UE de 2020 y en la Estrategia de la UE para una Unión de la Seguridad, también de 2020, y velará por que los productos digitales, tales como los productos inalámbricos y por cable y los programas informáticos, sean más seguros para los consumidores de toda la UE.
Por ello, la norma propuesta se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red. Existen algunas excepciones para los productos en relación con los cuales ya existen requisitos de ciberseguridad en las normas vigentes de la UE como, por ejemplo, los dispositivos médicos, la aviación o los automóviles.
Características generales de la propuesta
Además de ampliar la responsabilidad de los fabricantes al obligarlos a facilitar apoyo de seguridad y actualizaciones de los programas informáticos a fin de eliminar los puntos vulnerables detectados, permitirá a los consumidores tener información suficiente sobre la ciberseguridad de los productos que compren y utilicen.
Teniendo en cuenta que los ataques con programas de secuestro de archivos afectan a una organización cada once segundos en todo el mundo y que el coste anual mundial estimado de la ciberdelincuencia alcanzó los 5,5 billones de euros en 2021 [Informe del Centro Común de Investigación (2020): «Cybersecurity – Our Digital Anchor, a European perspective» (Ciberseguridad: nuestra ancla digital, una perspectica europea)], la Comisión considera que es más importante que nunca garantizar un alto nivel de ciberseguridad y limitar los puntos vulnerables de los productos digitales, que constituyen una de las principales vías de los ataques que alcanzan su objetivo. Al haber cada vez más productos inteligentes y conectados, un incidente de ciberseguridad en un producto puede incidir en toda la cadena de suministro, lo que puede dar lugar a graves perturbaciones de las actividades económicas y sociales en todo el mercado interior, reducir la seguridad o incluso poner en peligro vidas.
Dado que los ciberataques pueden extenderse a través de las fronteras del mercado interior en cuestión de minutos, el reglamento aborda dos cuestiones: una es el bajo nivel de ciberseguridad de muchos de estos productos y, sobre todo, el hecho de que muchos fabricantes no proporcionan actualizaciones para solucionar las vulnerabilidades. Mientras que los fabricantes de productos con elementos digitales se enfrentan a veces a daños en su reputación cuando sus productos carecen de seguridad, el coste de las vulnerabilidades lo asumen principalmente los usuarios profesionales y los consumidores. Esto limita los incentivos de los fabricantes para invertir en un diseño y desarrollo seguros y para proporcionar actualizaciones de seguridad.
El segundo es que las empresas y los consumidores no suelen disponer de información suficiente y precisa a la hora de elegir productos que sean seguros y a menudo carecen de conocimientos sobre cómo asegurarse de que los productos que compran están configurados de forma segura. La nueva normativa aborda estos dos aspectos al tratar el tema de las actualizaciones y también el de proporcionar información actualizada a los clientes.
Ante estas condiciones, la Ley de Ciberresistencia obliga a que los productos con elementos digitales sólo se comercialicen si cumplen unos requisitos esenciales de ciberseguridad específicos. Obliga a los fabricantes a tener en cuenta la ciberseguridad en el diseño y desarrollo de los productos con elementos digitales. Las empresas tendrán que cumplir un único conjunto de normas de ciberseguridad en toda la Unión Europea.
En cuanto a la información y las instrucciones proporcionadas al usuario final, la Ley de Ciberresiliencia exige a los fabricantes transparencia en los aspectos de ciberseguridad que deben darse a conocer a los clientes. Un elemento clave de la propuesta es la cobertura de todo el ciclo de vida de los productos y, en particular, el establecimiento de obligaciones para los fabricantes y desarrolladores de proporcionar información sobre el final de la vida útil de los productos y el soporte de seguridad proporcionado, así como obligaciones de proporcionar actualizaciones de seguridad y soporte durante un período de tiempo razonable.
Dichas obligaciones se establecerían para los operadores económicos, empezando por los fabricantes, hasta los distribuidores e importadores, en relación con la comercialización de productos con elementos digitales, como corresponde a su papel y responsabilidades en la cadena de suministro. Sobre la base del nuevo marco legislativo para la legislación sobre productos en la UE, los fabricantes se someterían a un proceso de evaluación de la conformidad para demostrar si se han cumplido los requisitos especificados en relación con un producto. Esto podría hacerse a través de una autoevaluación o de una evaluación de la conformidad por parte de un tercero, dependiendo de la criticidad del producto en cuestión.
Cuando se haya demostrado que el producto cumple los requisitos aplicables, los fabricantes y desarrolladores redactarán una declaración de conformidad de la UE y podrán colocar el marcado CE. El marcado CE indicará la conformidad de los productos con elementos digitales con la CRA, de modo que puedan circular libremente en el mercado interior.
La Ley reducirá el número de incidentes de ciberseguridad y, con ello, el coste de la gestión de incidentes y el daño a la reputación de las empresas. De este modo, aumentará la confianza de los consumidores y clientes empresariales y, por tanto, la demanda de productos con elementos digitales, tanto dentro como fuera de la UE.
Al mismo tiempo, los consumidores y usuarios disfrutarán de más información a la hora de elegir un producto con elementos digitales y de instrucciones más claras sobre su uso. Al haber menos riesgos e incidentes de seguridad, los consumidores y los ciudadanos se beneficiarán de una mejor protección de los derechos fundamentales, como la protección de los datos y la privacidad.
La Ley de Ciberresistencia también tiene el potencial de convertirse en un punto de referencia internacional, más allá del mercado interior de la UE. Las normas de la UE basadas en la Ley facilitarán su aplicación y serán un activo para la industria de la ciberseguridad de la UE en los mercados mundiales.
¿Qué ocurrirá con los productos que no cumplan la normativa?
Los Estados miembros designarán a las autoridades de vigilancia del mercado, que serán responsables del cumplimiento de las obligaciones de la Ley de Ciberresistencia.
En caso de incumplimiento, las autoridades de vigilancia del mercado podrán exigir a los operadores que pongan fin al incumplimiento y eliminen el riesgo, que prohíban o restrinjan la comercialización de un producto, o que ordenen su retirada o recuperación. Cada una de estas autoridades podrá multar a las empresas que no cumplan las normas. La Ley de Ciberresistencia establece los niveles máximos de las multas administrativas que deben contemplarse en las legislaciones nacionales por incumplimiento.
Sin embargo, los programas informáticos proporcionados como parte de un servicio no están cubiertos por la propuesta de Ley de Ciberresiliencia, ya que sólo cubre los productos con elementos digitales que se venden en el mercado único europeo, y establece requisitos y obligaciones concretas de ciberseguridad para los fabricantes de estos productos.
¿Cómo interactuará con las normas existentes?
La Ley de Ciberresistencia armonizaría el panorama normativo de la UE al introducir requisitos de ciberseguridad para los productos con elementos digitales y evitaría el solapamiento de requisitos procedentes de diferentes actos legislativos. Esto crearía una mayor seguridad jurídica para los operadores y usuarios de toda la Unión, así como una mejor armonización del mercado único europeo, creando condiciones más viables para los operadores que pretendan entrar en el mercado de la UE.
En particular, la Ley de Ciberresistencia complementará la Directiva NIS 2, recientemente acordada por el Parlamento Europeo y el Consejo. La Directiva NIS2 establece requisitos de ciberseguridad, incluidas medidas de seguridad en la cadena de suministro, y obligaciones de notificación de incidentes para las entidades esenciales e importantes, con el fin de aumentar la resiliencia de los servicios que prestan. Por lo tanto, la mejora del nivel de ciberseguridad de los productos con elementos digitales facilitaría el cumplimiento por parte de las entidades en el ámbito de la Directiva NIS2 y reforzaría la seguridad de toda la cadena de suministro.
La Ley de Ciberresiliencia se aplica a los equipos de radio en el ámbito de aplicación del Reglamento Delegado adoptado en virtud de la Directiva de Equipos de Radio 2014/53/UE (Reglamento Delegado RED). La Ley de Ciberresiliencia está alineada con los requisitos del Reglamento Delegado RED, incluidas las normas específicas solicitadas en virtud del Reglamento Delegado RED. La Ley de Ciberresiliencia constituiría, por tanto, el siguiente e importante paso global, que se basaría en estas normas que se desarrollarán hasta que la Ley de Ciberresiliencia sea aplicable. En aras de la simplicidad y la claridad jurídica, el Reglamento Delegado RED quedaría entonces derogado.
Contenido básico de la propuesta
Las medidas propuestas se basan en el nuevo marco legislativo para la legislación de la UE sobre productos y establecerán:
a) normas sobre la introducción en el mercado de productos con elementos digitales para garantizar su ciberseguridad;
b) requisitos esenciales en materia de diseño, desarrollo y fabricación de productos con elementos digitales, y obligaciones de los agentes económicos en relación con dichos productos;
c) requisitos esenciales en materia de procesos de tratamiento de puntos vulnerables establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida útil, y obligaciones de los agentes económicos en relación con estos procesos. Los fabricantes también tendrán que notificar los puntos vulnerables e incidentes activamente aprovechados;
d) normas sobre el control y la vigilancia del mercado.
Las nuevas normas harán recaer la responsabilidad en los fabricantes, que deberán garantizar la conformidad con los requisitos de seguridad de los productos con elementos digitales que se comercialicen en la UE. Como consecuencia de ello, redundarán en beneficio de los consumidores y de los ciudadanos, así como de las empresas que utilizan productos digitales, al aumentar la transparencia de las propiedades de seguridad y fomentar la confianza en los productos con elementos digitales, y también al garantizar una mejor protección de sus derechos fundamentales, tales como la privacidad y la protección de datos.
Estructura de la propuesta
La propuesta de Reglamento se estructura en 57 artículos, agrupados en 8 capítulos, precedidos de 71 Considerandos y acompañados de 6 Anexos (Requisitos esenciales de ciberseguridad; Información e instrucciones de uso: Clasificación de productos críticos con elementos digitales; Declaración EU de conformidad; Contenido de la documentación técnica y Procedimientos de evaluación de conformidad).
- El Capítulo I (arts. 1 a 9), regula las Disposiciones generales
Objetivo: la propuesta de Reglamento establece: a) normas para la comercialización de productos con elementos digitales a fin de garantizar la ciberseguridad de dichos productos; b) requisitos esenciales para el diseño, el desarrollo y la producción de productos con elementos digitales, y las obligaciones para los operadores económicos en relación con estos productos en materia de ciberseguridad; c) requisitos esenciales para los procesos de gestión de la vulnerabilidad establecidos por los fabricantes, a fin de garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones para los operadores económicos en relación con estos procesos y, d) normas sobre la vigilancia del mercado y la aplicación de las normas y requisitos antes mencionados.
Ámbito de aplicación: El Reglamento propuesto se aplicará a todos los productos con elementos digitales cuyo uso previsto y uso previsto y razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o una red.
El Reglamento propuesto no se aplicará a los productos con elementos digitales dentro del ámbito de aplicación del Reglamento (UE) 2017/745 (LA LEY 6668/2017) [productos sanitarios de uso humano y accesorios para dichos productos] y del Reglamento (UE) 2017/746 (LA LEY 6667/2017) [productos sanitarios para diagnóstico in vitro de uso humano y accesorios para dichos productos], ya que ambos Reglamentos contienen requisitos relativos a los productos, incluidos los programas informáticos y las obligaciones generales de los fabricantes, que abarcan todo el ciclo de vida de los productos, así como los procedimientos de evaluación de la conformidad.
El Reglamento no se aplicará tampoco a los productos con elementos digitales que hayan sido certificados de conformidad con el Reglamento 2018/1139 [alto nivel uniforme de seguridad en la aviación civil], ni a los productos a los que se aplica el Reglamento [sobre los requisitos de homologación de los vehículos de motor y sus remolques, y sistemas, componentes y unidades técnicas independientes destinados a dichos vehículos].
Clasificación de los productos digitales. Los productos críticos con elementos digitales estarán sujetos a procedimientos específicos de evaluación de la conformidad de conformidad y se dividirán en clase I y clase II según lo establecido en el anexo III, reflejando su nivel de riesgo de ciberseguridad, siendo la clase II la que representa un mayor riesgo. Un producto con elementos digitales se considera crítico y, por tanto, se incluye en el anexo III teniendo en cuenta el impacto de las posibles vulnerabilidades de ciberseguridad incluidas en el producto con elementos digitales. La funcionalidad relacionada con la ciberseguridad del producto con elementos digitales y el uso previsto uso previsto en entornos sensibles, como un entorno industrial, entre otros, se tiene en cuenta en la determinación del riesgo de ciberseguridad.
Medidas específicas para los productos de IA considerados de alto riesgo: Los productos con elementos digitales clasificados como sistemas de IA de alto riesgo de acuerdo con el artículo 6 de la propuesta de Reglamento de IA que entren en el ámbito de aplicación de este Reglamento y cumplan los requisitos esenciales establecidos en la sección 1 del anexo I del mismo, y cuyos procesos establecidos por el fabricante cumplan los requisitos esenciales establecidos en la sección 2 del anexo I, se considerará que se cumplen los requisitos relacionados con la ciberseguridad establecidos en artículo 15 de la propuesta de Reglamento de IA, sin perjuicio de los demás requisitos relacionados con la exactitud y la solidez incluidos en el citado artículo, y en la medida en que la consecución del nivel de protección exigido por dichos requisitos se demuestre mediante la declaración UE de conformidad expedida con arreglo al presente Reglamento.
Competencias de la Comisión. La Comisión estará facultada para adoptar actos delegados que complementen el presente Reglamento especificando categorías de productos altamente críticos con elementos digitales para los que los fabricantes deberán obtener un certificado europeo de ciberseguridad para demostrar la conformidad con los requisitos esenciales requisitos esenciales establecidos en el anexo I, o en partes del mismo.
- El Capítulo II (arts. 10 a 17), regula las obligaciones de los operadores económicos
La propuesta incorpora obligaciones para los fabricantes, importadores y distribuidores basadas en las disposiciones de referencia previstas en la Decisión 768/2008/CE. Los requisitos y obligaciones esenciales de ciberseguridad exigen que todos los productos con elementos digitales sólo se comercialicen cuando se suministren, se instalen y mantengan adecuadamente y se utilicen para los fines previstos o en condiciones razonablemente previsibles, cumplen los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento.
Los requisitos y obligaciones esenciales obligarán a los fabricantes a tener en cuenta la ciberseguridad en el diseño y desarrollo y en la producción de los productos con elementos digitales, ejercer la debida diligencia en los aspectos de seguridad al diseñar y desarrollar sus productos, ser transparentes en los aspectos de ciberseguridad que deben darse a conocer a los clientes, garantizar el apoyo a la seguridad (actualizaciones) de forma proporcionada, y cumplir con los requisitos de gestión de las vulnerabilidades.
Se establecerían obligaciones para los operadores económicos, empezando por los fabricantes e incluyendo a distribuidores e importadores, en relación con la comercialización de productos con elementos digitales, en función de su papel y responsabilidades en la cadena de suministro.
- El Capítulo III (arts. 18 a 24) regula los procedimientos de declaración de conformidad de productos con elementos digitales
El producto con elementos digitales que sea conforme con las normas armonizadas o partes de las mismas armonizadas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea Unión Europea, se presumirá que cumple los requisitos esenciales de la presente propuesta de Reglamento. Cuando no existan normas armonizadas o éstas sean insuficientes, o cuando se produzcan retrasos indebidos en el procedimiento de normalización o cuando la solicitud de la Comisión no haya sido aceptada por los organismos europeos de normalización, la Comisión podrá adoptar especificaciones comunes.
Además, los productos con elementos digitales que hayan sido certificados o para los que se haya expedido una declaración de conformidad o un certificado de la UE con arreglo al Reglamento (UE) 2019/881 (LA LEY 10057/2019), y para los que la Comisión especificó mediante un acto de ejecución que puede proporcionar presunción de conformidad para el presente Reglamento, se presumirá que son conformes con los requisitos esenciales del presente Reglamento, o partes del mismo, en la medida en que la declaración UE de conformidad o el certificado de ciberseguridad, o partes de ella, cubren esos requisitos.
Además, a fin de evitar una carga administrativa excesiva para los fabricantes, la Comisión debe especificar si un certificado de ciberseguridad expedido en el marco de un sistema europeo de certificación de ciberseguridad elimina la obligación de los fabricantes de realizar una evaluación de la conformidad por parte de terceros, tal como establece el presente Reglamento, para requisitos correspondientes.
El fabricante realizará una evaluación de la conformidad del producto con elementos digitales y de los procesos de tratamiento de la vulnerabilidad que haya establecido, para demostrar la conformidad con los requisitos esenciales establecidos en el anexo I siguiendo uno de los procedimientos establecidos en el anexo VI. Los fabricantes de productos críticos de las clases I y II utilizarán los módulos respectivos necesarios para el cumplimiento. Los fabricantes de productos críticos de la clase II tienen que involucrar a un tercero en su evaluación de la conformidad.
- El Capítulo IV (arts. 25 a 40), regula la notificación de los organismos de evaluación de conformidad
El buen funcionamiento de los organismos notificados es crucial para garantizar un alto nivel de ciberseguridad y para la confianza de todas las partes interesadas en el sistema de Nuevo Enfoque. Por lo tanto, de acuerdo con la Decisión 768/2008/CE, la propuesta establece requisitos para las autoridades nacionales responsables de los organismos de evaluación de la conformidad (organismos notificados). Deja la responsabilidad última la responsabilidad última de designar y supervisar los organismos notificados a los Estados miembros.
Los Estados miembros designarán una autoridad notificadora que será responsable de establecer de establecer y aplicar los procedimientos necesarios para la evaluación y notificación de los de los organismos de evaluación de la conformidad y de la supervisión de los organismos notificados.
- El Capítulo V (arts. 41 a 49) regula la vigilancia del mercado y los mecanismos para asegurar el cumplimiento de esta normativa
De conformidad con el Reglamento (UE) 2019/1020 (LA LEY 11044/2019), las autoridades nacionales de vigilancia del mercado llevan a cabo llevan a cabo la vigilancia del mercado en el territorio de ese Estado miembro. Los Estados miembros pueden optar por designar a cualquier autoridad existente o a una nueva para que actúe como autoridad de vigilancia del mercado, incluidas las autoridades nacionales competentes o las autoridades nacionales de certificación de ciberseguridad designadas mencionadas en el artículo 58 del Reglamento (UE) 2019/881 (LA LEY 10057/2019). Se pide a los operadores económicos que cooperen plenamente con las autoridades de vigilancia del mercado y otras autoridades competentes.
- El Capítulo VI (arts. 50 y 51) regula las competencias delegadas y los procedimientos de comité de asesoramiento de la Comisión
A fin de garantizar que el marco normativo pueda adaptarse cuando sea necesario, se delegan en la Comisión los poderes para adoptar actos de conformidad con el artículo 290 del TFUE (LA LEY 6/1957) para actualizar la lista de productos críticos de las clases I y II y especificar las definiciones de estos productos; especificar si es necesaria una limitación o exclusión para los productos con elementos digitales regulados por otras normas de la Unión que establezcan requisitos que alcancen el mismo nivel de protección que el presente Reglamento; ordenar la certificación de determinados productos altamente críticos con elementos digitales sobre la base de los criterios establecidos en el presente Reglamento; especificar el contenido mínimo de la declaración de conformidad de la UE y complementar los elementos que deben incluirse en la documentación técnica.
La Comisión también está facultada para adoptar actos de ejecución para: especificar el formato o los elementos de las obligaciones de notificación y de la lista de materiales del software; especificar los regímenes europeos de certificación de la ciberseguridad que pueden utilizarse para demostrar la conformidad con los requisitos esenciales o partes de los mismos según lo establecido en el presente Reglamento; adoptar especificaciones comunes; establecer especificaciones técnicas para la colocación del marcado CE; adoptar medidas correctoras o restrictivas a nivel de la Unión en circunstancias excepcionales que justifiquen una intervención inmediata para preservar el buen funcionamiento del mercado interior.
- El Capítulo VII (arts. 52 y 53) regula la obligación de confidencialidad y las sanciones
Todas las partes que apliquen el nuevo Reglamento deberán respetar la confidencialidad de la información y los datos obtenidos en el desempeño de sus tareas y actividades.
Para garantizar el cumplimiento efectivo de las obligaciones establecidas en el presente Reglamento, cada autoridad de vigilancia del mercado debe estar facultada para imponer o solicitar la imposición de multas administrativas. En el mismo sentido, el presente Reglamento establece los niveles máximos de las multas administrativas que deben preverse en las legislaciones nacionales por el incumplimiento de las obligaciones establecidas en el presente Reglamento.
En concreto, la propuesta prevé que el incumplimiento de los requisitos esenciales de ciberseguridad establecidos en el Anexo I o de las obligaciones establecidas en los artículos 10 y 11 será objeto de multas administrativas de hasta 15.000.000 EUR o, si el infractor es una empresa, de hasta hasta el 2,5 % de su volumen de negocios anual total a nivel mundial correspondiente al ejercicio anterior lo que sea mayor.
El incumplimiento de cualquier otra obligación prevista en el presente Reglamento será objeto de multas administrativas de hasta 10.000.000 EUR o, si el infractor es una empresa, de hasta el 2 % de su volumen de negocios total anual a nivel mundial correspondiente al ejercicio financiero anterior, lo que sea mayor.
El suministro de información incorrecta, incompleta o engañosa a los organismos notificados y autoridades de vigilancia del mercado en respuesta a una solicitud será objeto de multas administrativas de hasta 5.000.000 de euros o, si el infractor es una empresa, de hasta el 1 % de su volumen de negocios anual total a nivel mundial correspondiente al ejercicio financiero anterior, lo que sea mayor.
- Finalmente, el capítulo VIII (arts. 54 a 57), incluye las disposiciones transitorias y finales
Para que los fabricantes, los organismos notificados y los Estados miembros tengan tiempo de adaptarse a los nuevos requisitos, el Reglamento propuesto será aplicable 24 meses después de su entrada en vigor, excepto en lo que respecta a la obligación de informar de los fabricantes, que se aplicaría a partir de 12 meses después de la fecha de entrada en vigor.
Ahora corresponde al Parlamento Europeo y al Consejo examinar la propuesta de Ley de Ciberresiliencia.