La Llei de Resiliència Cibernètica és la primera legislació d'aquest tipus al món. Millorarà el nivell de ciberseguretat dels productes digitals en benefici dels consumidors i les empreses de tota la UE, ja que introduirà requisits de ciberseguretat obligatoris proporcionats per a tot el maquinari i el programari, des dels monitors per a bebès, els rellotges intel·ligents i els jocs d'ordinador fins als tallafocs i els routers. Els productes amb diferents nivells de risc associats tindran diferents requisits de seguretat. Menys del 10% dels productes estaran subjectes a avaluacions de tercers.
Amb aquest nou Reglament, tots els productes introduïts al mercat de l'hauran
UE
de ser ciberseguros. Est és un pas crucial en la lluita contra la creixent amenaça dels ciberdelinqüents i altres actors maliciosos.
Una vegada que la Llei de Resiliència Cibernètica estigui en vigor, els fabricants de maquinari i programari hauran d'implementar mesures de ciberseguretat al llarg de tot el cicle de vida del producte, des del disseny i el desenvolupament, fins al cap de que el producte s'introdueixi al mercat. Els productes de programari i maquinari portaran el marcat CE per indicar que compleixen amb els requisits del Reglament i, per tant, poden vendre's en
UE
la .
La Llei també introduirà l'obligació legal que els fabricants proporcionin als consumidors actualitzacions de seguretat oportunes durant diversos anys després de la compra. Aquest període ha de reflectir el temps en què s'espera que s'utilitzin els productes.
A través d'aquestes mesures, la nova Llei permetrà als usuaris prendre decisions millor informades i més segures/segures, ja que els fabricants hauran de ser més transparents i responsables pel que fa a la seguretat dels seus productes.
Principals modificacions dels colegisladores
No obstant això, els colegisladores han acordat fer ajustos a diverses parts de la proposta de la Comissió, en particular en relació amb:
- el àmbit d'aplicació de l'acte legislatiu proposat, amb una metodologia més senzilla per a la classificació de productes digitals subjectes al nou Reglament;
- la determinació pels fabricants de la vida útil prevista del producte: si ben el principi segueix sent que el període de suport d'un producte digital es correspon a la vida útil prevista, es preveu un període indicatiu de suport de almenys cinc anys, excepte en el cas dels productes la utilització prevista dels quals sigui més curta;
- les obligacions de notificació de vulnerabilitats aprofitades activament o d'incidents: les autoritats nacionals competents seran les destinatàries inicials d'aquestes notificacions però es reforçarà el paper de l'Agència de la Unió Europea per a la Ciberseguretat (ENISA);
- les noves normes s'aplicaran tres anys després de l'entrada en vigor de l'acte legislatiu, la qual cosa hauria de donar als fabricadors temps suficient per adaptar-se als nous requisits;
- s'han acordat mesures de suport addicionals per a les petites empreses i les microempreses, entre elles activitats específiques de sensibilització i formació, així com suport als procediments d'assaig i d'avaluació de la conformitat.
Propers passos
L'acord aconseguit ara està subjecte a l'aprovació formal tant del Parlament Europeu com del Consell. Una vegada adoptada, la Llei de Ciberresiliencia entrarà en vigor als 20 dies de la seva publicació en el Diari Oficial.
A partir de l'entrada en vigor, els fabricants, importadors i distribuïdors de productes de maquinari i programari disposaran de 36 mesos per adaptar-se als nous requisits, amb l'excepció d'un període de gràcia més limitat de 21 mesos en relació amb l'obligació de notificació d'incidents i vulnerabilitats per part dels fabricants.
Més informació
Font original de la notícia