Propuesta EU de Reglamento de Resiliencia Digital (productos con elementos digitales)

Spread the love

Los productos de hardware y software son a menudo objeto de ciberataques que causan da帽os. Si el coste anual directo a nivel mundial es muy elevado,聽 hay que unirle adem谩s los costes para los usuarios y la sociedad. Un bajo nivel de ciberseguridad implica que las vulnerabilidades est茅n generalizadas, que las actualizaciones de seguridad sean dispuestas en modo incoherente e insuficiente, que los usuarios tengan dificultades graves para comprender y para diferenciar los productos con propiedades de ciberseguridad adecuadas, as铆 como para utilizarlos de forma segura.

Sobre este trasfondo, la propuesta de la Comisi贸n Europea de un Reglamento sobre Ciberresiliencia (CRA) tiene por objeto proteger a los consumidores y las empresas que compran o utilizan productos o programas inform谩ticos con un componente digital. El Reglamento de Resiliencia de Productos con elementos digitales (CRA) o Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020聽propuesto en septiembre de 2022 hab铆a sido anunciado en la Estrategia de Ciberseguridad de la UE 2020, y es un complemento de NIS2 . Se aplicar谩 a todos los productos conectados directa o indirectamente a otro dispositivo o red, salvo exclusiones espec铆ficas como el software de c贸digo abierto o los servicios que ya est谩n cubiertos por normas existentes, como es el caso de los dispositivos m茅dicos, la aviaci贸n, los autom贸viles y servicios SaaS (en la nube), a menos que estos sirvan para la elaboraci贸n de productos con elementos digitales.

Primaveras en primavera

 

ANTECEDENTES聽

Los聽 abundantes ciberataques y ciber-incidentes que se van conociendo ponen en evidencia el inadecuado nivel de ciberseguridad inherente a muchos productos, o las insuficientes actualizaciones de seguridad de tales productos y programas inform谩ticos. Tambi茅n denotan la dificultad de los consumidores y las empresas para determinar qu茅 productos son ciberseguros, o para configurarlos de forma que se garantice su ciberseguridad.

Aunque el ordenamiento de la UE ya se aplica a determinados productos con elementos digitales, la mayor铆a del hardware y software no est谩n cubiertos actualmente por legislaci贸n de la UE que aborde su ciberseguridad. En particular, el actual marco jur铆dico de la UE no aborda la ciberseguridad de los programas inform谩ticos no integrados, aun cuando muchos ataques se dirigen cada a sus vulnerabilidades y dan lugar a importantes costes sociales y econ贸micos.El Reglamento de Resiliencia de Productos con elementos digitales (CRA) propuesto en septiembre de 2022 hab铆a sido anunciado en la Estrategia de Ciberseguridad de la UE 2020, y es un complemento de NIS2 .

PROPUESTA DE REGLAMENTO DE RESILIENCIA (DE PRODUCTOS)

La propuesta introduce un marcado CE sobre ciberseguridad que ha de colocarse en todos los productos cubiertos y establece requisitos obligatorios de ciberseguridad para los fabricantes de productos:聽 Ampl铆a la protecci贸n a lo largo de todo el ciclo de vida del producto. Incorpora normas armonizadas para comercializar productos o programas inform谩ticos con un componente digital con requisitos de ciberseguridad para la planificaci贸n, el dise帽o, el desarrollo y el mantenimiento de tales productos. Impone obligaciones que deber谩n cumplirse en cada etapa de la cadena de valor y una obligaci贸n de diligencia durante todo el ciclo de vida de tales productos.聽La CRA persigue cuatro objetivos:

  1. garantizar que los fabricantes mejoren la seguridad de los productos que tienen elementos digitales en la fase de dise帽o y desarrollo y a lo largo de todo su ciclo de vida. As铆, el fabricante es apto para comercializar sus productos si pone a disposici贸n la lista de los diversos componentes de聽software de sus productos, emite r谩pidamente soluciones gratuitas en caso de nuevas vulnerabilidades, publica y detalla las vulnerabilidades que detecta y resuelve y verifica peri贸dicamente la 芦solidez禄 de los productos que comercializa. Estas y otras actividades聽 deben llevarse a cabo durante toda la vida de un producto, o al menos durante cinco a帽os a partir de su introducci贸n en el mercado.;
  2. garantizar un marco coherente de normas de ciberseguridad, facilitando su cumplimiento por parte de los fabricantes de hardware聽y聽software;
  3. mejorar la transparencia de las caracter铆sticas de seguridad de los productos con elementos digitales;
  4. permitir que las empresa y los consumidores utilicen estos productos de manera segura.

Se destacan aqu铆 algunas definiciones extra铆das de la Propuesta (art铆culo 3), y otros conceptos importantes:

  • Producto con elementos digitales. 芦cualquier producto consistente en programas inform谩ticos o equipos inform谩ticos y sus soluciones de tratamiento de datos a distancia, incluidos los componentes de programas inform谩ticos o equipos inform谩ticos que se introduzcan en el mercado por separado禄. N贸tese la que definici贸n de 芦productos con elementos digitales禄 es muy amplia e incluye cualquier producto de聽software聽o聽hardware, as铆 como cualquier聽software聽o聽hardware聽no incorporado al producto pero introducido en el mercado por separado.
  • Operador econ贸mico: el fabricante, el representante autorizado, el importador, el distribuidor o cualquier otra persona f铆sica o jur铆dica sujeta a las obligaciones establecidas en el presente Reglamento禄
  • Marcado CE. Un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I (del Reglamento) y otras normas de la Uni贸n aplicables que armonicen las condiciones para la comercializaci贸n de productos y prevean su colocaci贸n
  • Norma armonizada, conforme a la definici贸n del art铆culo 2, punto 1, letra c), del Reglamento (UE) n.潞 1025/2012;
  • Organismo de evaluaci贸n de la conformidad, seg煤n se define en el art铆culo 2, punto 13, del Reglamento (UE) n.潞 765/2008;

  • La definici贸n de 芦productos con elementos digitales禄 es muy amplia e incluye cualquier producto de software聽o聽hardware, as铆 como cualquier聽software聽o聽hardware聽no incorporado al producto pero introducido en el mercado por separado.
  • Se considera que un producto es 芦seguro禄 si est谩 dise帽ado y fabricado de manera que tenga un nivel de seguridad adecuado a los riesgos cibern茅ticos que conlleva su uso, no presenta vulnerabilidades conocidas en el momento de su venta, tiene una configuraci贸n segura por defecto, est谩 protegido de conexiones il铆citas, protege los datos que recopila y si esta recopilaci贸n se limita a aquellos datos que sean necesarios para su funcionamiento

Conforme al CRA, la seguridad de los productos y software 芦normales禄 – sobre el 90% de los que circulan en el mercado- se puede confiar en una autoevaluaci贸n del fabricante, como ya ocurre con otros tipos de certificaci贸n del marcado CE. En relaci贸n con 茅stos productos, el fabricante podr谩 comercializarlos si realiza una autoevaluaci贸n, que tambi茅n ser谩 preceptiva cuando se modifica el producto.聽 El 10 % restante de los productos聽 se divide los de la clase I, menos peligrosos; y los de la clase II, m谩s peligrosos (芦productos cr铆ticos con elementos digitales禄). Para los productos de la clase 1 las autocertificaciones b谩sicas solo son admisibles si el fabricante ha seguido normas espec铆ficas de mercado y especificaciones de seguridad o certificaciones de ciberseguridad ya previstas por la UE. En caso contrario, necesita obtener la certificaci贸n del producto por parte de un organismo de certificaci贸n acreditado. La certificaci贸n externa es obligatoria para los productos de la clase II

Algunos productos afectados por el CRA est谩n tambi茅n sometidos al futuro Reglamento IA, que tambi茅n clasifica a los productos conforme a su riesgo. Para evitar solapamientos y dudas, la CRA establece que -por regla general- los productos con elementos digitales clasificados tambi茅n como 芦sistemas de IA de alto riesgo禄 con arreglo al Reglamento IA lo ser谩n tambi茅n para CRA, tendr谩n que cumplir el procedimiento de evaluaci贸n de conformidad establecido en el Reglamento IA,聽 y en el caso de los 芦productos digitales cr铆ticos禄 se les aplicar谩n tambi茅n las normas de evaluaci贸n de la conformidad de CRA.Las sanciones por incumplimiento de CRA 鈥攅n funci贸n de la gravedad de la infracci贸n鈥 pueden llegar a ascender a 15 millones EUR o al 2,5 % del volumen de negocios del ejercicio fiscal anterior.

Mi帽o- Perbes. A Coru帽a

M谩s:

 

 

 

Publicado por

Elena F P茅rez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de Le贸n