A Lei de Resiliencia Cibernética é a primeira lexislación deste tipo no mundo. Mellorará o nivel de ciberseguridade dos produtos dixitais en beneficio dos consumidores e as empresas de toda a UE, xa que introducirá requisitos de ciberseguridade obrigatorios proporcionados para todo o hardware e o software, desde os monitores para bebés, os reloxos intelixentes e os xogos de computador ata as devasas e os routers. Os produtos con diferentes niveis de risco asociados terán diferentes requisitos de seguridade. Menos do 10% dos produtos estarán suxeitos a avaliacións de terceiros.
Con este novo Regulamento, todos os produtos introducidos no mercado de deberana
UE
ser ciberseguros. Este é un paso crucial na loita contra a crecente ameaza dos ciberdelincuentes e outros actores maliciosos.
Unha vez que a Lei de Resiliencia Cibernética estea en vigor, os fabricantes de hardware e software terán que implementar medidas de ciberseguridade ao longo de todo o ciclo de vida do produto, desde o deseño e o desenvolvemento, ata despois de que o produto introdúzase no mercado. Os produtos de software e hardware levarán o marcado CE para indicar que cumpren cos requisitos do Regulamento e, por tanto, poden venderse na
UE
.
A Lei tamén introducirá a obriga legal de que os fabricantes proporcionen ás consumidores actualizacións de seguridade oportunas durante varios anos despois da compra. Este período debe reflectir o tempo en que se espera que se utilicen os produtos.
A través destas medidas, a nova Lei permitirá aos usuarios tomar decisións mellor informadas e máis seguras, xa que os fabricantes terán que ser máis transparentes e responsables con respecto á seguridade dos seus produtos.
Principais modificacións dos colegisladores
No entanto, os colegisladores acordaron facer axustes a varias partes da proposta da Comisión, en particular en relación con:
- o ámbito de aplicación do acto lexislativo proposto, cunha metodoloxía máis sinxela para a clasificación de produtos dixitais suxeitos ao novo Regulamento;
- a determinación polos fabricantes de a vida útil prevista do produto: aínda que o principio segue sendo que o período de soporte dun produto dixital correspóndese á vida útil prevista, prevese un período indicativo de soporte de polo menos cinco anos, excepto no caso dos produtos cuxa utilización prevista sexa máis curta;
- as obrigas de notificación de vulnerabilidades aproveitadas activamente ou de incidentes: as autoridades nacionais competentes serán as destinatarias iniciais desas notificacións pero reforzarase o papel da Axencia da Unión Europea para a Ciberseguridade (ENISA);
- as novas normas aplicaranse tres anos despois da entrada en vigor do acto lexislativo, o que debería dar ao fabricantes tempo suficiente para adaptarse aos novos requisitos;
- acordáronse medidas de apoio adicionais para as pequenas empresas e as microempresas, entre elas actividades específicas de sensibilización e formación, así como apoio aos procedementos de ensaio e de avaliación da conformidade.
Próximos pasos
O acordo alcanzado agora está suxeito á aprobación formal tanto do Parlamento Europeo como do Consello. Unha vez adoptada, a Lei de Ciberresiliencia entrará en vigor aos 20 días da súa publicación no Diario Oficial.
A partir da entrada en vigor, os fabricantes, importadores e distribuidores de produtos de hardware e software disporán de 36 meses para adaptarse aos novos requisitos, coa excepción dun período de graza máis limitado de 21 meses en relación coa obriga de notificación de incidentes e vulnerabilidades por parte dos fabricantes.
Máis información
Fonte orixinal da noticia
