El Reglamento de Ciberresiliencia de la Unión Europea (UE) es pionero en imponer una amplia gama de requisitos de ciberseguridad a los fabricantes de productos de hardware y software de cara a su comercialización en el mercado digital europeo.
Esta norma impone estándares obligatorios para el diseño, el desarrollo, la producción, la entrega y el mantenimiento de los productos digitales comercializados en el mercado de la UE, con la finalidad de mitigar las amenazas cibernéticas.
Esta legislación es de gran alcance y sus consecuencias legales conllevan multas de cuantía sustancial, de modo que las empresas y los importadores del territorio europeo deben tomar buena nota de su contenido.
Los ciudadanos de la UE tienen derecho a sentirse «ciberseguros»
Salvo la normativa para proveedores de productos de alto riesgo, el contenido de este Reglamento apenas cambia desde que la Comisión Europea (CE) publicó su propuesta del 15 de septiembre de 2022. Los objetivos: reforzar la ciberseguridad de los productos conectados, abordar las vulnerabilidades en hardware/software y convertir la UE en una zona más segura y resiliente.
La vicepresidenta de la Comisión Europea, Margrethe Vestager, aludió en ese mismo acto de septiembre a que los ciudadanos europeos tienen derecho a sentirse ciberseguros. «Nos merecemos estar tranquilos en cuanto a los productos que compramos en el mercado único. Si confiamos en un juguete o una nevera con el sello de la UE, el Reglamento de Ciberresiliencia debe garantizar la seguridad de los objetos conectados y los programas de software que compramos».
En concreto, el Reglamento de Ciberresiliencia fue adoptado por el Consejo de la UE el pasado 10 de octubre. Tras esta adopción, los presidentes del Consejo y del Parlamento Europeo firmaron el acto legislativo, que se publicó en el Diario Oficial de la UE el 23 de octubre. En este sentido, la nueva norma entró en vigor 20 días después de su publicación y será aplicable a partir del 11 de septiembre de 2027, aunque algunas disposiciones se aplicarán en una fase más temprana. Las empresas afectadas por la norma deben prepararse para los cambios legislativos de gran alcance que traerá más temprano que tarde.
Aspectos centrales del Reglamento de Ciberresiliencia de la UE
1) Cinco categorías principales de exigencias obligatorias para los fabricantes
Estas exigencias incluyen evaluaciones de conformidad, documentación de productos, atención al cliente, evaluación de riesgos de ciberseguridad e informes de vulnerabilidad. Entre otras cosas, los fabricantes deberán revelar a la Agencia de Ciberseguridad de la Unión Europea (ENISA) «cualquier vulnerabilidad activa» en las 24 horas siguientes a su detección. Además, los productos que cumplan la evaluación de conformidad reglamentaria deben llevar el Marcado CE reglamentario.
2) Regulación para importadores y distribuidores
Los importadores deben vigilar que los fabricantes hayan cumplido sus obligaciones, asegurando que se cumplan todos los requisitos esenciales y que se haya llevado a cabo la evaluación de conformidad adecuada. Además, los distribuidores están obligados a garantizar que el producto lleva el Marcado CE y que el fabricante cumple la normativa.
3) Clasificación de los productos con componentes digitales
El Reglamento de Ciberresiliencia clasifica los productos con componentes digitales en tres modalidades distintas: predeterminados, relevantes y críticos, con los productos relevantes subdivididos en productos de Clase I y de Clase II. Esta tipificación tiene como objetivo adaptar las medidas de seguridad en función del nivel de riesgo y el impacto potencial que presenta cada categoría de producto.
- Productos predeterminados. Esta modalidad incluye los productos sin vulnerabilidades críticas de ciberseguridad (por ejemplo, juguetes inteligentes, televisores o refrigeradores). Según la Comisión Europea, esta categoría cubrirá el 90% de los dispositivos conectados. Los fabricantes de productos no clasificados como productos críticos o productos relevantes (Clase II) pueden autoevaluar su cumplimiento de los requisitos del Reglamento.
- Productos relevantes de Clase I. Esta categoría (navegadores, administradores de contraseñas, antivirus, cortafuegos, redes privadas virtuales) debe cumplir con estándares armonizados, especificaciones comunes o esquemas europeos de certificación de ciberseguridad, o estar sujetos a una evaluación de terceros sobre su cumplimiento con los requisitos del Reglamento.
- Productos críticos y productos relevantes de Clase II. Este nivel (microprocesadores de uso general y ciertos tipos de cortafuegos) exige demostrar el cumplimiento de los requisitos del Reglamento mediante una evaluación de un tercero.
4) Exención total o parcial para determinados dispositivos conectados regulados por una legislación sectorial
Las exenciones se aplican a ciertos productos como automóviles, dispositivos médicos, productos in vitro y equipos aeronáuticos certificados.
5) Organismos de vigilancia del mercado bajo cada Estado Miembro de la UE
Las sanciones por incumplimiento de los requisitos del Reglamento pueden ascender a 15 millones de euros o el 2,5% del volumen de negocios anual global.
6) Complemento de los marcos de ciberseguridad existentes de la UE, como la Directiva NIS 2
Mientras que la Directiva NIS 2 se centra en la seguridad y resiliencia de las redes y sistemas utilizados por entidades que brindan servicios esenciales o importantes, el Reglamento de Ciberresiliencia se centra en la seguridad y certificación de productos comerciales con componentes digitales.
Archivado en: