La Comisi贸n present贸 una propuesta de nueva Ley de Ciberresiliencia聽 o Reglamento Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (COM(2022) 454 final). 聽Introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales, a lo largo de todo su ciclo de vida. Sobre aquella propuesta hab铆amos comentado aqu铆.
La propuesta se basa en el nuevo marco legislativo de la UE en materia de productos y establece por un lado, normas para la comercializaci贸n de productos con elementos digitales para garantizar su ciberseguridad; por otro requisitos esenciales para el dise帽o, el desarrollo y la producci贸n de productos con elementos digitales, y obligaciones para los operadores econ贸micos en relaci贸n con estos productos; tambi茅n requisitos esenciales para los procesos de gesti贸n de la vulnerabilidad establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones para los operadores econ贸micos en relaci贸n con estos procesos, incluyendo obligaciones de los fabricantes de informar de las vulnerabilidades e incidentes explotados activamente. Adem谩s, establece normas sobre vigilancia del mercado y aplicaci贸n de la legislaci贸n. En conjunto, esta propuesta llamada 芦Ley de Ciber resiiencia禄聽 refuerza las normas de ciberseguridad para garantizar productos de hardware y software m谩s seguros.
Debe recordarse que los productos de hardware y software son cada vez m谩s objeto de ciberataques con 茅xito. Ello implica un coste anual mundial estimado de 5,5 billones de euros para 2021.聽Estos productos adolecen de dos grandes problemas, un bajo nivel de ciberseguridad con vulnerabilidades generalizadas y suministro insuficiente e incoherente de actualizaciones de seguridad para abordarlas; y una comprensi贸n y un acceso a la informaci贸n insuficientes por parte de los usuarios (les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura).
Hoy,聽 la聽 mayor铆a de los productos de hardware y software no est谩n cubiertos la legislaci贸n de la UE sobre ciberseguridad. En particular, el actual marco jur铆dico de la UE no aborda la ciberseguridad de los programas inform谩ticos no integrados, aun cuando son objeto de ciberataques a menudo.
La propuesta tiene dos objetivos principales, en relaci贸n con los productos.
- crear las condiciones para el desarrollo de productos seguros con elementos digitales, garantizando que los productos de hardware y software se comercialicen con menos vulnerabilidades y velando por que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida del producto; y
- crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos con elementos digitales.
Y cuatro objetivos espec铆ficos:
- que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de dise帽o y desarrollo y a lo largo de todo el ciclo de vida;
- garantizar un marco coherente de ciberseguridad que facilite el cumplimiento de la normativa a los fabricantes de hardware y software
- aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
- fomentar que las empresas y los consumidores utilicen los productos con elementos digitales de forma segura.
Documentaci贸n t茅cnica (art 23 de la propuesta)
La documentaci贸n t茅cnica debe elaborarse antes de que el producto con elementos digitales se introduzca en el mercado y, en su caso, se mantendr谩 permanentemente actualizada durante la vida 煤til prevista del producto o durante cinco a帽os a partir de la introducci贸n del producto con elementos digitales en el mercado, si este per铆odo fuese m谩s breve
Marcado CE 芦Conformit茅 Europ茅enne (pre谩mbulo 32 y art 21 de la propuesta)
El marcado CE indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluaci贸n de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n.潞 765/2008 Ahora, con esta propuesta de ciber resiliencia se establecen disposiciones relativas a la colocaci贸n del marcado CE en productos con elementos digitales, siendo el marcado CE聽 el 煤nico marcado que garantice que los productos con elementos digitales cumplen con los requisitos T茅ngase en cuenta que cuando existe reserva de Marcado CE, esta menci贸n es obligatoria. Conforme a la propuesta, los productos con elementos digitales deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y as铆 poder circular libremente por el mercado interno.
- El marcado CE, tal como se define en el art铆culo聽3, punto聽32, estar谩 sujeto a los principios generales establecidos en el art铆culo聽30 del Reglamento (CE) n.潞 765/2008.:聽 芦芦marcado CE禄: un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I y otras normas de la Uni贸n aplicables que armonicen las condiciones para la comercializaci贸n de productos (las 芦normas de armonizaci贸n de la Uni贸n禄) y prevean su colocaci贸n禄
- Se siguen las reglas de colocaci贸n, tama帽o etc del art 22
En relaci贸n con este marcado la Comisi贸n estar谩 facultada para adoptar actos de ejecuci贸n con el fin de especificar el formato o los elementos de los informes obligatorios y la nomenclatura de materiales de los programas inform谩ticos, especificar los esquemas europeos de certificaci贸n de la ciberseguridad que puedan utilizarse para demostrar la conformidad con los requisitos esenciales o partes de estos establecidos en el presente Reglamento, adoptar especificaciones comunes, establecer especificaciones t茅cnicas para la colocaci贸n del marcado CE y adoptar medidas correctoras o restrictivas a escala de la Uni贸n en circunstancias excepcionales que justifiquen una intervenci贸n inmediata destinada a preservar el buen funcionamiento del mercado interior.
Tareas encomendadas a ENISA
- Recibir notificaciones de los fabricantes relativas a las vulnerabilidades presentes en los productos con elementos digitales y sobre los incidentes que repercutan en la seguridad de dichos productos.
- Transmitir estas notificaciones a los equipos de respuesta a incidentes de seguridad inform谩tica (CSIRT) pertinentes o, seg煤n corresponda, a los puntos de contacto 煤nicos de los Estados miembros designados de conformidad con DNIS2, as铆 como informar a las autoridades de vigilancia del mercado pertinentes sobre la vulnerabilidad notificada.
- elaborar un informe t茅cnico bienal sobre las tendencias emergentes en relaci贸n con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperaci贸n
- apoyar el proceso de ejecuci贸n del presente Reglamento. En particular, debe ser capaz de proponer actividades conjuntas que las autoridades de vigilancia del mercado deber谩n llevar a cabo sobre la base de determinadas indicaciones o informaci贸n sobre el posible incumplimiento del presente Reglamento por parte de productos con elementos digitales en varios Estados miembros, o de identificar categor铆as de productos para las que deban organizarse acciones de control simult谩neas coordinadas.
- En circunstancias excepcionales que requieran una intervenci贸n inmediata, la ENISA, a petici贸n de la Comisi贸n, debe poder llevar a cabo evaluaciones relativas a productos espec铆ficos con elementos digitales que presenten un riesgo de ciberseguridad significativo.
Evaluaci贸n de conformidad (arts. 25 ss. de la Propuesta)
- Recu茅rdese que la conformidad de un producto se efect煤a antes de su comercializaci贸n. Consiste en demostrar que se cumplen todos los requisitos legislativos. Incluye pruebas, inspecci贸n y certificaci贸n.
- El procedimiento para cada producto se especifica en la legislaci贸n de producto aplicable.
- En general, la legislaci贸n de productos describe los procedimientos de evaluaci贸n de la conformidad para cada producto. Cada fabricante puede elegir entre diferentes procedimientos de evaluaci贸n de la conformidad disponibles para sus productos, en su caso. La evaluaci贸n la realizar铆a el fabricante salvo cuando a legislaci贸n requiere la intervenci贸n de un organismo de evaluaci贸n de conformidad. Como parte de la evaluaci贸n de la conformidad, el fabricante o el representante autorizado debe redactar una declaraci贸n de conformidad (DoC). La declaraci贸n debe contener toda la informaci贸n para identificar:
-
-
-
- Producto
- Legislaci贸n aplicable a ese producto
- Fabricante o el representante autorizado
- Organismo notificado si procede
- Una referencia a normas armonizadas u otros documentos normativos, cuando proceda
-
-
- En relaci贸n con esta Propuesta, los Estados miembros notificar谩n a la Comisi贸n y a los dem谩s Estados miembros los organismos de evaluaci贸n de la conformidad autorizados a realizar evaluaciones de la conformidad con arreglo al presente Reglamento.
A prop贸sito de los organismos notificados聽 los organismos de evaluaci贸n de conformidad (art 29 ss de la Propuesta). Y repaso al sistema de acreditaci贸n
- Con car谩cter general organismo notificado es una organizaci贸n designada por un pa铆s de la UE para evaluar la conformidad de determinados productos antes de su comercializaci贸n. Estos organismos llevan a cabo tareas relacionadas con los procedimientos de evaluaci贸n de la conformidad establecidos en la legislaci贸n aplicable a petici贸n de terceros como los fabricantes. La Comisi贸n Europea publica una lista de dichos organismos notificados. En Espa帽a, los Organismos Notificados deben contar con la aprobaci贸n previa de ENAC (Entidad Nacional de Acreditaci贸n). Conforme al Reglamento 聽(CE) n.o 765/2008 la ENAC es ,en Espa帽a, el organismo de acreditaci贸n: 聽el 煤nico organismo de un Estado miembro con potestad p煤blica para llevar a cabo acreditaciones. Estas acreditaciones son tambi茅n definidas en el mismo Reglamento: declaraci贸n por un organismo nacional de acreditaci贸n de que un organismo de evaluaci贸n de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades espec铆ficas de evaluaci贸n de la conformidad
Rasgos de estos ONEC:
-
- Imparcialidad: su personal tiene competencia t茅cnica libre de incentivos econ贸micos que tienten su criterio
- Confidencialidad:聽garantizan el secreto profesional y tienen seguro de responsabilidad civil
- Independencia: tienen personalidad jur铆dica propia e independiente de la organizaci贸n evaluada. En este sentido, ni los directivos ni el personal podr谩n dise帽ar, instalar, proveer, fabricar, mantener鈥ada que pueda entrar en conflicto con su independencia, en especial los servicios de consultor铆a. Los organismos notificados de certificaci贸n, son conforme al R (CE) 765/2008 organizaciones que desempe帽an actividades de evaluaci贸n de la conformidad, que incluyen calibraci贸n, ensayo, certificaci贸n e inspecci贸n. Algunas de las caracter铆sticas de los organismos notificados de evaluaci贸n son:
- En la Propuesta se establecen requisitos espec铆ficos para los organismos notificados, como su sometimiento a las reglas de notificaci贸n (art 29, apartados 2 a 12).
- .Los organismos de evaluaci贸n de la conformidad se establecer谩n con arreglo al Derecho nacional y tendr谩n personalidad jur铆dica. Y, ser谩n terceros organismos independientes de la organizaci贸n o el producto que eval煤en. Pueden pertenecer a una asociaci贸n comercial o una federaci贸n profesional que represente a las empresas que participan en el dise帽o, el desarrollo, la producci贸n, el suministro, el montaje, el uso o el mantenimiento de los productos con elementos digitales que eval煤en, a condici贸n de que se demuestre su independencia y la ausencia de conflictos de inter茅s.
- El organismo de evaluaci贸n de la conformidad, sus directivos de alto rango y el personal responsable de la realizaci贸n de las tareas de evaluaci贸n de la conformidad no ser谩n el dise帽ador, el desarrollador, el fabricante, el proveedor, el instalador, el comprador, el due帽o, el usuario o el encargado del mantenimiento de los productos con elementos digitales que deben evaluarse, ni el representante autorizado de ninguno de ellos. Ello no ser谩 贸bice para que usen los productos evaluados que sean necesarios para el funcionamiento del organismo de evaluaci贸n de la conformidad, ni para que usen dichos productos con fines personales. Tampoco聽 intervendr谩n directamente en el dise帽o, el desarrollo, la producci贸n, la comercializaci贸n, la instalaci贸n, el uso ni el mantenimiento de estos productos, ni representar谩n a las partes que participen en estas actividades. No realizar谩n ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relaci贸n con las actividades de evaluaci贸n de la conformidad para las que hayan sido notificados. Ello se aplicar谩, en particular, a los servicios de consultor铆a.
- Los organismos de evaluaci贸n de la conformidad se asegurar谩n de que las actividades de sus filiales o subcontratistas no afecten a la confidencialidad, objetividad o imparcialidad de sus actividades de evaluaci贸n de la conformidad.
- Los organismos de evaluaci贸n de la conformidad y su personal llevar谩n a cabo las actividades de evaluaci贸n de la conformidad con el m谩ximo nivel de integridad profesional y con la competencia t茅cnica exigida para el campo espec铆fico, y estar谩n libres de cualquier presi贸n o incentivo, especialmente de 铆ndole financiera, que pudieran influir en su apreciaci贸n o en el resultado de sus actividades de evaluaci贸n de la conformidad, en particular por parte de personas o grupos de personas que tengan alg煤n inter茅s en los resultados de estas actividades.
- El organismo de evaluaci贸n de la conformidad ser谩 capaz de realizar todas las tareas de evaluaci贸n de la conformidad especificadas en el anexo VI y para las que haya sido notificado, independientemente de si realiza las tareas el propio organismo o si se realizan en su nombre y bajo su responsabilidad.
En todo momento, para cada procedimiento de evaluaci贸n de la conformidad y para cada tipo o categor铆a de productos con elementos digitales para los que ha sido notificado, el organismo de evaluaci贸n de la conformidad dispondr谩:
-
-
-
-
-
- de personal con conocimientos t茅cnicos y experiencia suficiente y adecuada para realizar las tareas de evaluaci贸n de la conformidad;
- de las descripciones de los procedimientos con arreglo a los cuales se efect煤a la evaluaci贸n de la conformidad, garantizando la transparencia y la posibilidad de reproducci贸n de estos procedimientos; dispondr谩 tambi茅n de las pol铆ticas y procedimientos adecuados que permitan distinguir entre las tareas efectuadas como organismo notificado y cualquier otra actividad;
- de procedimientos para desempe帽ar sus actividades teniendo debidamente en cuenta el tama帽o de las empresas, el sector en que operan, su estructura, el grado de complejidad de la tecnolog铆a del producto y el car谩cter masivo o en serie del proceso de producci贸n.
- dispondr谩 de los medios necesarios para realizar adecuadamente las tareas t茅cnicas y administrativas relacionadas con las actividades de evaluaci贸n de la conformidad y tendr谩 acceso a todo el equipo o las instalaciones que necesite. El personal encargado de llevar a cabo las tareas de evaluaci贸n de la conformidad dispondr谩 de:
-
-
- una buena formaci贸n t茅cnica y profesional para realizar todas las actividades de evaluaci贸n de la conformidad para las que el organismo de evaluaci贸n de la conformidad haya sido notificado;
- un conocimiento satisfactorio de los requisitos de las evaluaciones que efect煤e y la autoridad necesaria para efectuarlas
- un conocimiento y una comprensi贸n adecuados de los requisitos esenciales, de las normas armonizadas aplicables y de las disposiciones pertinentes de las normas de armonizaci贸n de la Uni贸n aplicables, as铆 como de las normas de aplicaci贸n correspondientes;
- capacidad necesaria para elaborar certificados, documentos e informes que demuestren que se han efectuado las evaluaciones.
-
-
-
-
-
-
Se garantizar谩 la imparcialidad de los organismos de evaluaci贸n de la conformidad, de sus directivos de alto rango y del personal de evaluaci贸n.
-
-
- La remuneraci贸n de los directivos de alto rango y del personal de evaluaci贸n de los organismos de evaluaci贸n de la conformidad no depender谩 del n煤mero de evaluaciones realizadas ni de los resultados de dichas evaluaciones.
-
Garant铆as frente a responsabilidad
- El organismo de evaluaci贸n de la conformidad suscribir谩 un seguro de responsabilidad, salvo que el Estado asuma la responsabilidad con arreglo al Derecho interno, o que el propio Estado miembro sea directamente responsable de la evaluaci贸n de la conformidad.
Secreto
-
- El personal del organismo de evaluaci贸n de la conformidad deber谩 observar el secreto profesional acerca de toda la informaci贸n recabada en el ejercicio de sus tareas, con arreglo al anexo聽VI o a cualquier disposici贸n de Derecho interno por la que se aplique, salvo con respecto a las autoridades de vigilancia del mercado del Estado miembro en que realice sus actividades. Se proteger谩n los derechos de propiedad. El organismo de evaluaci贸n de la conformidad contar谩 con procedimientos documentados que garanticen el cumplimiento del presente apartado.
Otras cuestiones
-
- Los organismos de evaluaci贸n de la conformidad participar谩n en las actividades pertinentes de normalizaci贸n y las actividades del grupo de coordinaci贸n de los organismos notificados establecido con arreglo al art铆culo聽40, o se asegurar谩n de que su personal de evaluaci贸n est茅 informado al respecto, y aplicar谩n a modo de directrices generales las decisiones y los documentos administrativos que resulten de las labores del grupo.
- Los organismos de evaluaci贸n de la conformidad funcionar谩n con arreglo a un conjunto de condiciones coherentes, justas y razonables que tengan particularmente en cuenta los intereses de las pymes en relaci贸n con las tasas.
Presunci贸n de conformidad/ subcontrataciones y filiales de los organismos notificados
- Art铆culo 30.-聽Presunci贸n de conformidad de los organismos notificados.聽Si un organismo de evaluaci贸n de la conformidad demuestra su conformidad con los criterios establecidos en las normas armonizadas pertinentes, o partes de ellas, cuyas referencias se hayan publicado en el聽Diario Oficial de la Uni贸n Europea, se presumir谩 que cumple los requisitos establecidos en el art铆culo聽29 en la medida en que las normas armonizadas aplicables cubran estos requisitos.
- Art铆culo 31. Subcontrataciones y filiales de los organismos notificados: 1.Cuando un organismo notificado subcontrate tareas espec铆ficas relacionadas con la evaluaci贸n de la conformidad o recurra a una filial, se asegurar谩 de que el subcontratista o la filial cumplen los requisitos establecidos en el art铆culo 29 e informar谩 a la autoridad notificante en consecuencia. 2.El organismo notificado asumir谩 la plena responsabilidad de las tareas realizadas por los subcontratistas o las filiales, con independencia de d贸nde est茅n establecidos. 3.Las actividades solo podr谩n subcontratarse o delegarse en una filial previo consentimiento del fabricante. 4.Los organismos notificados mantendr谩n a disposici贸n de la autoridad notificante los documentos pertinentes sobre la evaluaci贸n de las cualificaciones del subcontratista o de la filial, as铆 como sobre el trabajo que estos realicen con arreglo al presente Reglamento.