El Consejo de la Unión Europea ha aprobado la Cyber Resilience Act , una nueva legislación que establece requisitos de ciberseguridad para productos con componentes digitales, como cámaras de seguridad, frigoríficos, televisores y juguetes conectados.
Esta medida, anunciada por la presidenta de la Comisión Europea, Ursula von der Leyen, durante su discurso sobre el estado de la Unión en septiembre de 2021, forma parte de un esfuerzo más amplio para fortalecer la postura cibernética de la UE.
La ley se diseñó para complementar y unificar el marco legislativo de ciberseguridad ya existente en la Unión Europea, que incluye normativas como la directiva NIS (seguridad de redes y sistemas de información), la directiva NIS2 y el Acta de Ciberseguridad de la UE.
La Cyber Resilience Act fue una de las medidas incluidas en las conclusiones del Consejo del 23 de mayo de 2022, que instó a la Comisión a presentar la propuesta antes de finalizar ese año. La propuesta oficial fue presentada el 15 de septiembre de 2022, y tras negociaciones interinstitucionales (‘trílogos’), se alcanzó un acuerdo provisional el 30 de noviembre de 2023. Esta normativa tiene como objetivo hacer que los productos digitales sean más seguros a lo largo de su ciclo de vida, garantizando la protección del consumidor y el cumplimiento de altos estándares de ciberseguridad.
Elementos clave de la nueva regulación
La Cyber Resilience Act introduce requisitos de ciberseguridad aplicables en toda la Unión Europea para el diseño, desarrollo, producción y comercialización de productos de hardware y software. El objetivo es evitar la superposición de normativas derivadas de las legislaciones de los diferentes Estados miembros y garantizar un estándar de seguridad unificado.
Por ejemplo, los productos de hardware y software deberán llevar el marcado CE, lo que indicará que cumplen con los requisitos de ciberseguridad del reglamento. Este marcado, presente en muchos productos comercializados en el Espacio Económico Europeo (EEE), certifica que dichos productos cumplen con altos estándares de seguridad, salud y protección medioambiental.
La regulación abarcará todos los productos que estén conectados, directa o indirectamente, a otro dispositivo o a una red. Sin embargo, se contemplan excepciones para aquellos productos que ya están regulados por normativas específicas de ciberseguridad en la UE, como los dispositivos médicos, productos aeronáuticos y automóviles.
Con esta ley, se busca que los consumidores puedan evaluar la ciberseguridad al seleccionar y utilizar productos digitales, facilitando la identificación de aquellos que cumplen con los estándares de seguridad adecuados. Además, las empresas que desarrollan y comercializan estos productos tendrán un marco claro para seguir en el diseño y producción de sus dispositivos, aumentando así la confianza del mercado.
Próximos pasos
Tras la adopción de la ley por el Consejo, el siguiente paso será la firma del acto legislativo por parte de los presidentes del Consejo y del Parlamento Europeo. Una vez firmado, se publicará en el Diario Oficial de la Unión Europea en las próximas semanas.
La regulación entrará en vigor veinte días después de su publicación oficial y será aplicable a partir de los 36 meses siguientes. No obstante, algunas disposiciones específicas se implementarán en fases más tempranas, para permitir una transición gradual y la adaptación de las empresas a los nuevos requisitos.
La implementación de esta nueva legislación podría tener un impacto significativo en la industria tecnológica y en los fabricantes de dispositivos conectados, quienes deberán asegurar que sus productos cumplan con estos nuevos estándares de seguridad para evitar sanciones y mantener su presencia en el mercado europeo. Este movimiento subraya el compromiso de la Unión Europea por fortalecer su postura cibernética y proteger a los consumidores ante los riesgos asociados con dispositivos conectados.
