No te pierdas nuestros contenidos
SuscribirmeEl reciente acuerdo provisional sobre la propuesta de Reglamento de Ciberresiliencia –también conocido como “Ley de Ciberresiliencia”– constituye el inicio de un novedoso y pionero instrumento legislativo en la UE. El Reglamento será la primera legislación en el mundo de este tipo, tal y como asegura la Comisión Europea en su comunicado de prensa del pasado 1 de diciembre.
Contexto
Tanto en la Estrategia de Ciberseguridad de la Unión Europea (2020) como en la Estrategia para una Unión de la Seguridad (2020), la UE manifestaba la necesidad de reforzar la resistencia frente a ciberamezanas para poder garantizar que ciudadanos y empresas se benefician de tecnologías digitales fiables. En este sentido, la UE aseguraba que los operadores económicos deberán asumir una mayor responsabilidad respecto de la ciberseguridad de los productos y servicios que comercializan, al mismo tiempo que los individuos deberán tener, al menos, nociones básicas de ciberseguridad para estar en condiciones de protegerse.
Bajo estas premisas, y teniendo en cuenta que una de las necesidades más importantes a largo plazo es desarrollar una cultura de la ciberseguridad a través del diseño (esto es, que los productos y servicios sean seguros desde el principio), llega la Ley de Ciberresiliencia.
Objetivos y contenido de la regulación
El texto pretende mejorar el nivel de ciberseguridad de los productos digitales en beneficio de los consumidores y empresas de la Unión Europea, al introducir requisitos de ciberseguridad obligatorios para todos los equipos y programas informáticos.
Con la entrada en vigor del Reglamento, los fabricantes de estos productos deberán, durante todo su ciclo de vida, aplicar, entre otras, las medidas de ciberseguridad contempladas en los anexos del Reglamento de Ciberresiliencia. Asimismo, la Ley obligará a los fabricantes a proporcionar a los consumidores las actualizaciones de seguridad que resulten oportunas incluso años después de la fecha de compra.
Lo anterior, pretende garantizar que:
- Los productos cableados e inalámbricos que se conectan a internet, y los programas informáticos comercializados en la UE sean más seguros;
- Los fabricantes sigan siendo responsables de la ciberseguridad de un producto durante todo su ciclo de vida;
- Los consumidores estén debidamente informados sobre la ciberseguridad de los productos que compran y utilizan.
Ahora bien, como adelantábamos al inicio, el texto acordado todavía es provisional. Sin embargo, pueden destacarse algunos aspectos generales de la propuesta de la Comisión que han sido mantenidos en el texto acordado, como, por ejemplo:
(i) La regulación de la responsabilidad de los fabricantes en cuanto al cumplimiento de obligaciones como, entre otras, la realización de evaluaciones en materia de riesgos de ciberseguridad o la cooperación con las autoridades competentes;
(ii) La implementación de medidas para mejorar la transparencia, en relación con la seguridad de productos de hardware y software para consumidores y usuarios profesionales y,
(iii) La articulación de procedimientos de gestión de vulnerabilidades, para que los fabricantes garanticen la ciberseguridad de los productos digitales.
Con previsiones como las descritas, la Ley de Ciberresiliencia pretende dar un gran paso en la lucha contra la creciente amenaza de la ciberdelincuencia y, a su vez, permitir a los usuarios la toma de decisiones más informadas y seguras.
Próximos pasos
Tras el acuerdo alcanzado, resta esperar a la aprobación formal del Parlamento y del Consejo, lo que permitirá posteriormente la entrada en vigor de la norma a los veinte días de su publicación en el Diario Oficial de la Unión Europea, resultando aplicable en su mayor parte a partir de los dos años de su entrada en vigor.
Desde este Blog permaneceremos atentos a las posibles novedades que surjan en la materia.
No te pierdas nuestros contenidos
Suscribirme