Conformidad de los Productos con Elementos Digitales en el Reglamento de Ciberresiliencia

Posted on 26 febrero, 2025 por Elena F Pérez Carrillo

El Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.° 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia, CRA por sus siglas en inglés) introduce un sistema escalonado de verificación de conformidad, para que los productos con elementos digitales cumplen con estándares de ciberseguridad antes de su comercialización en la UE. La combinación de la declaración de conformidad, la certificación y el marcado CE refuerza la seguridad en el ecosistema digital europeo

1. Declaración UE de Conformidad (Artículo 20 CRA)

Es un documento obligatorio que el fabricante debe emitir para confirmar que su producto cumple con los requisitos esenciales de ciberseguridad establecidos en el Anexo I del Reglamento.

Es exigida para todos los productos con elementos digitales que entran en el mercado de la UE.
Permite la libre circulación de estos productos dentro del mercado único europeo.
Debe mantenerse actualizada y accesible para las autoridades nacionales competentes durante al menos 10 años después de que el producto haya sido comercializado.
Su contenido mínimo está detallado en el Anexo V del Reglamento.

2. Certificación Europea de Ciberseguridad (Artículo 21 CRA)

Para productos considerados de mayor riesgo, el Reglamento exige una certificación de ciberseguridad que verifique su conformidad con los estándares europeos.

Aplica a los productos críticos con elementos digitales enumerados en el Anexo IV del CRA.
La certificación se realiza bajo esquemas europeos de certificación regulados por el Reglamento (UE) 2019/881 sobre ciberseguridad.
Existen tres niveles de garantía, en función del riesgo:
- Básico: Protección contra riesgos mínimos.
- Sustancial: Protección frente a ataques más sofisticados.
- Alto: Garantiza un alto nivel de resistencia ante amenazas avanzadas.
La certificación debe ser realizada por Organismos de Evaluación de la Conformidad, acreditados por los Estados miembros y supervisados por la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

3. Marcado CE y Obligaciones del Fabricante (Artículos 18 y 19 CRA)

El marcado CE indica que un producto cumple con los requisitos del CRA y que puede comercializarse en la UE.

Con el marcado, el fabricante garantiza que el producto ha pasado los procedimientos de evaluación de conformidad.
Debe ser visible, legible e indeleble en el propio producto, su embalaje o su documentación.
Las autoridades nacionales pueden solicitar pruebas de conformidad y, en caso de incumplimiento, exigir la retirada del producto del mercado.

4. Procedimientos de Evaluación de la Conformidad (Artículo 22 CRA)

El CRA establece diferentes procedimientos para evaluar si un producto cumple con los requisitos de ciberseguridad:

1. 1. Control interno de la producción:
    - Aplicable a productos con menor impacto en la ciberseguridad.
    - El fabricante realiza una autoevaluación y emite la Declaración UE de Conformidad.
  2. Gestión de calidad total:
    - Aplicable a productos con mayor impacto en la ciberseguridad (por ejemplo, los del Anexo III del Reglamento).
    - Requiere que un organismo independiente supervise el sistema de gestión de calidad del fabricante.
  3. Evaluación por un organismo notificado:
    - Obligatorio para productos críticos incluidos en el Anexo IV.
    - Un organismo de certificación independiente (acreditado para certificar) verifica la conformidad antes de su comercialización.

Reglamento de Ciberresiliencia (CRA): Nuevas Obligaciones en Materia de Ciberseguridad para Productos con Elementos Digitales

Posted on 21 febrero, 2025 por Elena F Pérez Carrillo

El 10 de diciembre de 2024 entró en vigor el Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, más conocido como Reglamento de Ciberresiliencia (CRA, por sus siglas en inglés). Establece requisitos de ciberseguridad para los productos con elementos digitales y modifica el ordenamiento anterior, principalmente el Reglamento (UE) n.º 168/2013, el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828.

El Reglamento de Ciberresiliencia representa un cambio significativo en la normativa de ciberseguridad en la UE con obligaciones claras para fabricantes y distribuidores, que repercuten en la mejor protección de consumidores y empresas al exigir productos más seguros en el mercado. En este blog ya se había prestado atención a la Propuesta de la Comisión

El Reglamento de Ciberresiliencia introduce normas horizontales aplicables a múltiples sectores, estableciendo requisitos mínimos de ciberseguridad en toda la UE para

Mejorar la ciberseguridad de muchos productos y evitar la falta de actualizaciones de seguridad oportunas.
Facilitar que los productos digitales sean seguros a lo largo de su ciclo de vida.
Exigir a los fabricantes una supervisión continua de sus productos tras su comercialización.
Obligar a la certificación de productos críticos mediante organismos de certificación especializados.

Tambre

El CRA define los productos digitales en su artículo 3, como: «Programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado.»

En términos simples, los productos digitales son cualquier producto de software o hardware que incorpore elementos digitales y esté conectado directa o indirectamente a otro dispositivo o red.

El Reglamento se aplica a todos los productos digitales que puedan suponer un riesgo para la ciberseguridad dentro del mercado de la UE. No obstante, establece excepciones para algunos sectores ya regulados, como los productos sanitarios, la aviación y la automoción. También quedan excluidos ciertos productos de software de código abierto que ya cuentan con normas específicas. Además, introduce disposiciones particulares para repuestos de componentes, estableciendo que estos quedan exentos de los requisitos del CRA si cumplen dos condiciones:

Ser utilizados para reparar productos comercializados antes de la entrada en vigor del CRA.
Haber sido ya sometidos a un procedimiento de evaluación de conformidad compatible con el CRA.

En relación con los fabricantes, los principales (no los únicos) sometidos al Reglamento, los artículos 13 a 15 detallan sus principales obligaciones:

Evaluación de riesgos de ciberseguridad: Los fabricantes deben realizar una evaluación integral de riesgos en todas las fases del ciclo de vida del producto, desde su planificación hasta su mantenimiento. Esta evaluación debe documentarse y actualizarse periódicamente.
Diseño seguro desde el origen: Los productos deben desarrollarse con medidas de ciberseguridad adecuadas desde su concepción, asegurando que las posibles amenazas sean identificadas y mitigadas.
Gestión de vulnerabilidades: Los fabricantes deben detectar, notificar y corregir vulnerabilidades en sus productos, incluyendo componentes de terceros o de código abierto.
Documentación técnica: Toda la información sobre la gestión de ciberseguridad debe estar registrada y justificada en la documentación del producto.
Certificación de productos críticos: Aquellos productos con especial relevancia para la ciberseguridad deberán someterse a una evaluación por parte de Organismos de Certificación de la Conformidad acreditados en cada Estado miembro.

Marcado CE y conformidad (desarrollado en siguientes entradas)

Los productos con especial relevancia para la ciberseguridad deberán llevar el marcado CE (Conformité Européene), indicando su conformidad con los requisitos del CRA. Para ello, los fabricantes deberán (de modo previo y como requisito para la comercialización en la UE de ese producto):

Realizar una evaluación de conformidad para demostrar que el producto cumple con los estándares de ciberseguridad.
Emitir una Declaración UE de conformidad, un documento que certifica el cumplimiento del reglamento.
Insertar un marcado o certificado

Conexión con la Directiva sobre responsabilidad por productos defectuosos

Fiume Arno, traversata di Pisa

El CRA complementa lo dispuesto en la Directiva (UE) 2024/2853 sobre responsabilidad por los daños causados por productos defectuosos, que establece la responsabilidad objetiva del fabricante. Esto significa que, conforme a la Directiva, los fabricantes serán responsables de los daños derivados de fallos de seguridad en sus productos, incluso sin necesidad de demostrar culpa o falta de diligencia. Por tanto, si un producto presenta vulnerabilidades tras su comercialización debido a fallos de seguridad, el fabricante podría ser considerado responsable conforme a la Directiva, sin embargo, las obligaciones relativas a actualizaciones de seguridad están definidas específicamente en el CRA.

Entrada en vigor y aplicación

Si bien el CRA entró en vigor el 10 de diciembre de 2024, sus principales requisitos serán exigibles a partir del 27 de diciembre de 2027. Esto brinda a las empresas un período de adaptación para cumplir con las nuevas obligaciones.

SEMINARIO EUROPEO: PARTICIPACIÓN MULTINIVEL DE LOS CIUDADANOS EN LAS DECISIONES DE LA UNIÓN EUROPEA // CITIZENS MULTILEVEL PARTICIPATION IN THE EU DECISSIONS

Posted on 17 febrero, 2025 por Elena F Pérez Carrillo

Seminario Europeo celebrado gracias a la iniciativa de la Comisión Europea; así como a la colaboración de los Grupos de Innovación Docente y Grupos de Investigación de Derecho Mercantil y de Derecho Constitucional de la Universidad de León, y de la Facultad de Derecho de la Universidad de León.

Disponible como evento en el portal de participación ciudadano de la UE

Misión: Fomentar la comunicación de la Comunidad Universitaria con la Comisión Europea y otras Instituciones de la Unión Europea, a través de nuevas plataformas digitales de la Unión Europea.

Contexto y resumen ejecutivo: Los Grupos de Innovación Docente y de Investigación de Derecho Mercantil y de Derecho Constitucional, con el Servicio de Citizens Engagement de la Comisión Europea celebran, a lo largo del próximo miércoles 19 de febrero de 2025, un seminario europeo donde se presentarán las principales plataformas ciudadanas para realizar propuestas a la Comisión Europea. El seminario y las mesas que lo componen están especialmente dirigidos a los alumnos de Derecho Mercantil y Derecho Constitucional. Además, la ASISTENCIA PRESENCIAL está ABIERTA A LOS INTERESADOS. (inscripción para constancia a investigadores en https://forms.gle/8bRbMysEYLMZHTDj9)

Fecha: 19 Febrero 2025 // Lugar: Salón de Grados- Facultad de Derecho-Universidad de León

Programa y horarios

9:15.- Bienvenida. Facultad de Derecho.

9:30- 10:30 Mesa de Participación ciudadana. Orientación a la pequeña empresa y publicidad. Prop-Ule

Carlos Pérez Padilla. -Comisión Europea.
Profesores de Derecho Mercantil. Universidad de León
Grupos de alumnos del Grado de Márketing e Investigación y Técnicas de Mercado (Derecho Empresarial)
Grupos de alumnos del Grado en Derecho (Derecho de la Publicidad)
Otros miembros de la Comunidad Universitaria

11:30-13:30 Mesa de Participación ciudadana. Presupuesto de la Unión Europea. Desarrollo humano y desarrollo empresarial: Proponiendo para León

Carlos Pérez Padilla. -Comisión Europea.
Profesores de Derecho Mercantil. Universidad de León
Grupos de alumnos del Grado de Derecho- Grupos de mañana (Derecho Mercantil I; Derecho Constitucional II). Grupo de Derecho Mercantil I del Doble Grado de Derecho y ADE. Grupo de Derecho Mercantil III del Doble Grado de Derecho
Otros miembros de la Comunidad Universitaria

17:00-19:00 Mesa de Participación ciudadana. Presupuesto de la Unión Europea. Derechos humanos, empresa y territorios. Propuestas desde León

Carlos Pérez Padilla. -Comisión Europea.
Profesores de Derecho Mercantil. Universidad de León
Grupos de alumnos del Grado de Derecho- Grupos de tarde (Derecho Mercantil I; Derecho Constitucional II)
Otros miembros de la Comunidad Universitaria

Derecho Mercantil. (DerMerUle).

Derecho Mercantil desde la Universidad de León. Recursos de apoyo docente, estudio y de investigación

Archivo por meses: febrero 2025