Esta propuesta para la creación de una Ley de Resiliencia Cibernética (Cyber Resilience Act), presentada por la Comisión Europea el 15 de septiembre, pretende reforzar las normas de ciberseguridad para garantizar productos de hardware y software más seguros.
La mayoría de estos productos actualmente no están cubiertos por ninguna legislación de la Unión Europea que aborde, de manera directa, su ciberseguridad. En este contexto, podemos hacer mención a productos que están omnipresentes en nuestra vida diaria, por ejemplo, monitores de videovigilancia o relojes inteligentes.
¿Cuáles son los dos problemas principales?
1- Existe un bajo nivel de ciberseguridad, esto se ve reflejado en vulnerabilidades generalizadas y en una insuficiente falta de actualizaciones de seguridad.
2- Existe una gran incapacidad de los consumidores y las empresas para determinar actualmente qué productos son ciberseguros o para configurarlos de una manera que asegure que su ciberseguridad esté protegida.
¿Cuáles son los objetivos específicos de la futura normativa?
- Garantizar que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida.
- Garantizar un marco de seguridad cibernética, que facilite el cumplimiento para los productores de hardware y software.
- Mejorar la transparencia de las propiedades de seguridad de los productos con elementos digitales.
- Permitir que las empresas y los consumidores utilicen productos con elementos digitales de forma segura.
En resumen, es necesaria una acción conjunta dentro de la Unión Europea para poder aumentar el nivel de confianza entre los usuarios y el atractivo de los productos con elementos digitales. De esta manera, desde el mercado interior, se proporcionará seguridad jurídica e igualdad de condiciones para los vendedores de este tipo de productos.
La propuesta de la Comisión tendrá que ser negociada por el Parlamento Europeo y por el Consejo de la Unión Europea antes de que pueda entrar en vigor. Si finalmente es aprobada, las empresas y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos, con la excepción de la obligación de informar de los fabricantes, que se aplicaría un año después. Además, los productos conectados a Internet llevarían la marca CE para indicar que cumplen con los nuevos estándares.