A Lei de Resiliencia Cibernética é a primeira lexislación deste tipo no mundo. Mellorará o nivel de ciberseguridade dos produtos dixitais en beneficio dos consumidores e as empresas de toda a UE, xa que introducirá requisitos de ciberseguridade obrigatorios proporcionados para todo o hardware e o software, desde os monitores para bebés, os reloxos intelixentes e os xogos de computador ata as devasas e os routers. Os produtos con diferentes niveis de risco asociados terán diferentes requisitos de seguridade. Menos do 10% dos produtos estarán suxeitos a avaliacións de terceiros.
Con este novo Regulamento, todos os produtos introducidos no mercado de deberana
UE
ser ciberseguros. Este é un paso crucial na loita contra a crecente ameaza dos ciberdelincuentes e outros actores maliciosos.
Unha vez que a Lei de Resiliencia Cibernética estea en vigor, os fabricantes de hardware e software terán que implementar medidas de ciberseguridade ao longo de todo o ciclo de vida do produto, desde o deseño e o desenvolvemento, ata despois de que o produto introdúzase no mercado. Os produtos de software e hardware levarán o marcado CE para indicar que cumpren cos requisitos do Regulamento e, por tanto, poden venderse na
UE
.
A Lei tamén introducirá a obriga legal de que os fabricantes proporcionen ás consumidores actualizacións de seguridade oportunas durante varios anos despois da compra. Este período debe reflejar el tiempo en que se espera que se utilicen los productos.
A través destas medidas, a nova Lei permitirá aos usuarios tomar decisións mellor informadas e máis seguras, xa que os fabricantes terán que ser máis transparentes e responsables con respecto á seguridade dos seus produtos.
Principais modificacións dos colegisladores
No entanto, os colegisladores acordaron facer axustes a varias partes da proposta da Comisión, en particular en relación con:
- o ámbito de aplicación do acto lexislativo proposto, cunha metodoloxía máis sinxela para a clasificación de produtos dixitais suxeitos ao novo Regulamento;
- a determinación polos fabricantes de a vida útil prevista do produto: aínda que o principio segue sendo que o período de soporte dun produto dixital correspóndese á vida útil prevista, prevese un período indicativo de soporte de polo menos cinco anos, excepto no caso dos produtos cuxa utilización prevista sexa máis curta;
- as obrigas de notificación de vulnerabilidades aproveitadas activamente ou de incidentes: as autoridades nacionais competentes serán as destinatarias iniciais desas notificacións pero reforzarase o papel da Axencia da Unión Europea para a Ciberseguridade (ENISA);
- as novas normas aplicaranse tres anos despois da entrada en vigor do acto lexislativo, o que debería dar ao fabricantes tempo suficiente para adaptarse aos novos requisitos;
- acordáronse medidas de apoio adicionais para as pequenas empresas e as microempresas, entre elas actividades específicas de sensibilización e formación, así como apoio aos procedementos de ensaio e de avaliación da conformidade.
Próximos pasos
O acordo alcanzado agora está suxeito á aprobación formal tanto do Parlamento Europeo como do Consello. Una vez adoptada, la Ley de Ciberresiliencia entrará en vigor a los 20 días de su publicación en el Diario Oficial.
A partir da entrada en vigor, os fabricantes, importadores e distribuidores de produtos de hardware e software disporán de 36 meses para adaptarse aos novos requisitos, coa excepción dun período de graza máis limitado de 21 meses en relación coa obriga de notificación de incidentes e vulnerabilidades por parte dos fabricantes.
Máis información
Fonte orixinal da noticia