La Llei de Resiliència Cibernètica es la primera legislación de este tipo en el mundo. Mejorará el nivel de ciberseguretat dels productes digitals en benefici dels consumidors i les empreses de tota la UE, ja que introduirà requisits de ciberseguretat obligatoris proporcionats per a tot el maquinari i el programari, des dels monitors per a bebés, els rellotges intel·ligents i els jocs d'ordinador fins als tallafocs i els routers. Els productes amb diferents nivells de risc associats tindran diferents requisits de seguretat. Menys del 10% dels productes estaran subjectes a avaluacions de tercers.
Amb este nou Reglament, tots els productes introduïts en el mercat de l'hauran
UE
de ser ciberseguros. Este es un paso crucial en la lucha contra la creciente amenaza de los ciberdelincuentes y otros actores maliciosos.
Una vez que la Ley de Resiliencia Cibernética esté en vigor, los fabricantes de hardware y software hauran d'implementar mesures de ciberseguretat al llarg de tot el cicle de vida del producte, des del disseny i el desenvolupament, fins al cap de que el producte s'introduïsca en el mercat. Els productes de programari i maquinari portaran el marcat CE per a indicar que complixen amb els requisits del Reglament i, per tant, poden vendre's en
UE
la .
La Llei també introduirà l'obligació legal que els fabricants proporcionen als consumidors actualitzacions de seguretat oportunes durant diversos anys després de la compra. Este período debe reflejar el tiempo en que se espera que se utilicen los productos.
A través d'estes mesures, la nova Llei permetrà als usuaris prendre decisions millor informades i més segures, ja que els fabricants hauran de ser més transparents i responsables respecte de la seguretat dels seus productes.
Principals modificacions dels colegisladores
No obstant açò, els colegisladores han acordat fer ajustos a diverses parts de la proposta de la Comissió, en particular en relació amb:
- el àmbit d'aplicació de l'acte legislatiu proposat, amb una metodologia més senzilla per a la classificació de productes digitals subjectes al nou Reglament;
- la determinació pels fabricants de la vida útil prevista del producte: si ben el principi seguix sent que el període de suport d'un producte digital es correspon a la vida útil prevista, es preveu un període indicatiu de suport de almenys cinc anys, excepte en el cas dels productes la utilització prevista dels quals siga més curta;
- les obligacions de notificació de vulnerabilitats aprofitades activament o d'incidents: les autoritats nacionals competents seran les destinatàries inicials d'eixes notificacions però es reforçarà el paper de l'Agència de la Unió Europea per a la Ciberseguretat (ENISA);
- les noves normes s'aplicaran tres anys després de l'entrada en vigor de l'acte legislatiu, la qual cosa hauria de donar als fabricadors temps suficient per a adaptar-se als nous requisits;
- s'han acordat mesures de suport addicionals per a les petit empreses i les microempreses, entre elles activitats específiques de sensibilització i formació, així com suport als procediments d'assaig i d'avaluació de la conformitat.
Pròxims passos
L'acord aconseguit ara està subjecte a l'aprovació formal tant del Parlament Europeu com del Consell. Una vegada adoptada, la Llei de Ciberresiliencia entrarà en vigor als 20 dies de la seua publicació en el Diari Oficial.
A partir de l'entrada en vigor, els fabricants, importadors i distribuïdors de productes de maquinari i programari disposaran de 36 mesos per a adaptar-se als nous requisits, amb l'excepció d'un període de gràcia més limitat de 21 mesos en relació amb l'obligació de notificació d'incidents i vulnerabilitats per part dels fabricants.
Més informació
Font original de la notícia
