La Ley de Ciberresiliencia de la Unión Europea (UE) es pionera en imponer una amplia gama de requisitos de ciberseguridad a los fabricantes de productos de hardware y software de cara a su comercialización en el mercado digital europeo.
Esta Ley impone estándares obligatorios para el diseño, el desarrollo, la producción, la entrega y el mantenimiento de los productos digitales comercializados en el mercado de la UE, con la finalidad de mitigar las amenazas cibernéticas.
Esta legislación es de gran alcance y sus consecuencias legales conllevan multas de cuantía sustancial, de modo que las empresas y los importadores del territorio europeo deben tomar buena nota de su contenido.
Los ciudadanos de la UE tienen derecho a sentirse «ciberseguros»
Salvo la normativa para proveedores de productos de alto riesgo, el contenido de esta Ley apenas cambia desde que la Comisión Europea (CE) publicó su propuesta del 15 de septiembre de 2022. Los objetivos: reforzar la ciberseguridad de los productos conectados, abordar las vulnerabilidades en hardware/software y convertir la UE en una zona más segura y resiliente.
La vicepresidenta de la Comisión Europea, Margrethe Vestager, aludió en ese mismo acto de septiembre a que los ciudadanos europeos tienen derecho a sentirse ciberseguros. «Nos merecemos estar tranquilos en cuanto a los productos que compramos en el mercado único. Si confiamos en un juguete o una nevera con el sello de la UE, la Ley de Ciberresiliencia debe garantizar la seguridad de los objetos conectados y los programas de software que compramos».
La Ley de Ciberresiliencia entra en vigor 20 días después de que la Comisión Europea la publicara el 10 de octubre de 2024 y empieza a aplicarse 36 meses después de su entrada en vigor, con algunas disposiciones activadas en una etapa anterior. Las empresas afectadas por la Ley deben prepararse para los cambios legislativos de gran alcance que traerá más temprano que tarde.
Aspectos centrales de la Ley de Ciberresiliencia de la UE
1) Cinco categorías principales de exigencias obligatorias para los fabricantes
Estas exigencias incluyen evaluaciones de conformidad, documentación de productos, atención al cliente, evaluación de riesgos de ciberseguridad e informes de vulnerabilidad. Entre otras cosas, los fabricantes deberán revelar a la Agencia de Ciberseguridad de la Unión Europea (ENISA) «cualquier vulnerabilidad activa» en las 24 horas siguientes a su detección. Además, los productos que cumplan la evaluación de conformidad reglamentaria deben llevar el Marcado CE reglamentario.
2) Regulación para importadores y distribuidores
Los importadores deben vigilar que los fabricantes hayan cumplido sus obligaciones, asegurando que se cumplan todos los requisitos esenciales y que se haya llevado a cabo la evaluación de conformidad adecuada. Además, los distribuidores están obligados a garantizar que el producto lleva el Marcado CE y que el fabricante cumple la normativa.
3) Clasificación de los productos con componentes digitales
La Ley de Ciberresiliencia clasifica los productos con componentes digitales en tres modalidades distintas: predeterminados, relevantes y críticos, con los productos relevantes subdivididos en productos de Clase I y de Clase II. Esta tipificación tiene como objetivo adaptar las medidas de seguridad en función del nivel de riesgo y el impacto potencial que presenta cada categoría de producto.
- Productos predeterminados. Esta modalidad incluye los productos sin vulnerabilidades críticas de ciberseguridad (por ejemplo, juguetes inteligentes, televisores o refrigeradores). Según la Comisión Europea, esta categoría cubrirá el 90% de los dispositivos conectados. Los fabricantes de productos no clasificados como productos críticos o productos relevantes (Clase II) pueden autoevaluar su cumplimiento de los requisitos de la Ley.
- Productos relevantes de Clase I. Esta categoría (navegadores, administradores de contraseñas, antivirus, cortafuegos, redes privadas virtuales) debe cumplir con estándares armonizados, especificaciones comunes o esquemas europeos de certificación de ciberseguridad, o estar sujetos a una evaluación de terceros sobre su cumplimiento con los requisitos de la Ley.
- Productos críticos y productos relevantes de Clase II. Este nivel (microprocesadores de uso general y ciertos tipos de cortafuegos) exige demostrar el cumplimiento de los requisitos de la Ley mediante una evaluación de un tercero.
4) Exención total o parcial para determinados dispositivos conectados regulados por una legislación sectorial
Las exenciones se aplican a ciertos productos como automóviles, dispositivos médicos, productos in vitro y equipos aeronáuticos certificados.
5) Organismos de vigilancia del mercado bajo cada Estado Miembro de la UE
Las sanciones por incumplimiento de los requisitos de la Ley pueden ascender a 15 millones de euros o el 2,5% del volumen de negocios anual global.
6) Complemento de los marcos de ciberseguridad existentes de la UE, como la Directiva NIS 2
Mientras que la Directiva NIS 2 se centra en la seguridad y resiliencia de las redes y sistemas utilizados por entidades que brindan servicios esenciales o importantes, la Ley de Ciberresiliencia se centra en la seguridad y certificación de productos comerciales con componentes digitales.
Archivado en:
