Reglamento de Ciberresiliencia. Requisitos de seguridad para productos digitales

Nota informativa del área de Protección de Datos de ECIJA Madrid.

El Consejo de la Unión Europea ha adoptado una nueva normativa sobre requisitos de ciberseguridad para productos con componentes digitales, conocida como “Reglamento de Ciberresiliencia”. La nueva normativa tiene como objetivo asegurar que dispositivos como cámaras domésticas, frigoríficos, televisores y juguetes conectados sean seguros antes de su comercialización y a lo largo de toda la cadena de suministro.

Lo que necesitas saber: 

• El nuevo Reglamento asegura la seguridad de productos con componentes digitales antes de su comercialización y a lo largo de la cadena de suministro.
• Se introducen requisitos de ciberseguridad para el diseño, desarrollo, fabricación y comercialización de productos hardware y software.
• Igualmente, se establecen obligaciones para fabricantes y desarrolladores en cuanto a asistencia y actualizaciones de seguridad durante todo el ciclo de vida del producto.
• El objeto final es la transparencia a los consumidores, reduciendo los riesgos de ciberseguridad y protegiendo sus derechos.

El Reglamento introduce requisitos de ciberseguridad a escala de la Unión Europea para el diseño, el desarrollo, la fabricación y la introducción en el mercado de productos hardware y software, con el objeto de evitar el solapamiento de requisitos establecidos en diferentes actos legislativos de los Estados miembros de la UE. Por ejemplo, los productos de software y hardware llevarán el marcado CE, que significa que cumplen con el citado Reglamento y que los productos vendidos en el Espacio Económico Europeo (“EEE”) han sido evaluados y cumplen con unos elevados requisitos en materia de seguridad, salud y protección del medio ambiente.

Se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red, excepto las exclusiones especificadas en el Reglamento, como el software de código abierto o los servicios que ya están cubiertos por otras normativas de la UE, como es el caso de los dispositivos médicos, la aviación y los automóviles.

Los productos deberán incorporar medidas de seguridad desde su fase de diseño y desarrollo. Esto incluye, entre otras cuestiones, realizar evaluaciones de riesgos, pruebas de seguridad para asegurar la resiliencia ante ciberataques y actualizaciones de seguridad para hacer frente a nuevas amenazas.

El Reglamento también establece requisitos obligatorios de ciberseguridad para la fabricación y comercialización de productos digitales como, por ejemplo: mecanismos robustos de autenticación, control de accesos para asegurar que solo los usuarios autorizados pueden acceder a los dispositivos, protección de datos personales frente a acceso no autorizados y resiliencia ante ataques.

Tales obligaciones podrán afectar a todos los agentes económicos, desde los fabricantes hasta los distribuidores y los importadores, introduciendo en el mercado productos con elementos digitales, en función de su rol y responsabilidades en la cadena de suministro.

Uno de los elementos principales del Reglamento es la cobertura de todo el ciclo de vida útil de los productos, estableciendo obligaciones para fabricantes y desarrolladores en cuanto a periodos de asistencia y actualizaciones de seguridad, en función del periodo en el que se prevé que el producto esté en uso.

Sobre la base del nuevo marco legislativo de productos en la UE, los fabricantes se someterán a un proceso de evaluación de la conformidad para acreditar si han cumplido los requisitos específicos relativos a un producto. Esto podrá hacerse mediante una autoevaluación o bien, una evaluación de la conformidad por parte de un tercero, en función del nivel de riesgo asociado al producto.

El Reglamento, además, reportará importantes beneficios a los consumidores y los clientes profesionales como, por ejemplo, más información a la hora de elegir un producto, instrucciones más claras sobre su uso, reducción de los riesgos e incidentes en materia de ciberseguridad y, por tanto, mayor protección de sus derechos.

Por todo ello, se fortalecerá la confianza y, en consecuencia, se incrementará la demanda de productos con elementos digitales, reduciendo así mismo, los costes de gestión y daños reputacionales en las empresas.

Con respecto a las sanciones, las mismas pueden llegar gasta los 15 millones de euros o hasta el 2,5% de la facturación anual mundial de la empresa, si esta cuantía fuese superior.

El Reglamento se publicará en el Diario Oficial de la UE en las próximas semanas, entrará en vigor veinte días después de su aplicación y se aplicará treinta y seis meses después de su entrada en vigor, aunque algunas disposiciones se aplicarán en una fase más temprana.

Descarga el PDF completo más abajo.