El Comité de Representantes Permanentes de los Gobiernos de los Estados de la Unión Europea (Coreper) define, mediante acuerdo entre los países miembros, el Reglamento de Ciberresiliencia.
Esta propuesta tiene como fin asegurar la seguridad de todos aquellos productos con componentes digitales que se lanzan al mercado.
En su origen, se planteó como herramienta para afrontar posibles escenarios a largo plazo en los que intervinieran estos productos. Es el caso, por ejemplo, de las cámaras instaladas en el hogar o los televisores (donde es posible encontrar material o datos de carácter personal). Esto llevó a la aprobación del reglamento, relativo a los requisitos horizontales de seguridad sobre estos dispositivos, el pasado mes de septiembre de 2022.
Objetivos del Reglamento de Ciberresiliencia
- Proporcionar un marco normativo preciso que guíe la creación y lanzamiento en el mercado de productos de software y hardware en los diferentes Estados miembros.
- La regulación de todos los productos con acceso a la red o interconectados con otros, de forma directa o indirecta. Quedan excluidos aquellos productos sujetos a otras normativas de la Unión Europea, como puede ser el caso de los automóviles.
- Aportar una normativa válida en aquellos casos que no existiese una legislación específica previa sobre ciberseguridad. A su vez, interceder en casos de ambigüedad, haciendo así que el uso de estos dispositivos sea seguro a largo plazo.
- Facilita a los usuarios la información y el acceso a productos electrónicos y los requisitos de ciberseguridad que cumplen.
Elementos conservados de la propuesta original
Estos son los fundamentos más significativos que el Consejo ha conservado respecto al proyecto formulado por la Comisión:
- La responsabilidad de los fabricantes a la hora de asegurar la aprobación de los requisitos de ciberseguridad de la UE.
- Las condiciones básicas para los procedimientos de gestión de vulnerabilidades, tanto para los fabricantes como para otros operarios económicos.
- Las estrategias para fomentar la transparencia en lo relativo a la ciberseguridad de estos dispositivos electrónicos.
Modificaciones implementadas
A pesar de mantener inmutables los puntos anteriores, sí que se han aplicado algunos cambios:
- Aquellas partes que hacen que los fabricantes definan la vida útil del producto.
- Los preceptos que supongan un apoyo a las pymes.
- El ámbito de aplicación del reglamento.
- La declaración de conformidad.
- La obligatoriedad de anunciar vulnerabilidades a las autoridades responsables en cada caso, en lugar de hacerlo con ENISA.
Fuente: https://www.consilium.europa.eu/
