El pasado mes de diciembre el Parlamento Europeo y el Consejo de la Unión Europea alcanzaron un acuerdo político (y provisional) sobre el Reglamento de Ciberresiliencia, propuesto por la Comisión en septiembre de 2022.
El Reglamento de Ciberresiliencia tiene como principal objetivo mejorar el nivel de ciberseguridad de los productos con un componente digital en beneficio de los consumidores y las empresas de la Unión Europea (“UE”). Para ello, introducirá requisitos de ciberseguridad obligatorios con los que equipos y programas informáticos de distintos productos digitales (smartphones, relojes inteligentes, electrodomésticos conectados, maquinaria y herramientas conectadas para procesos productivos, etc.) deberán cumplir. Además, el Reglamento de Ciberresiliencia determinará los requisitos de seguridad de cada uno de los productos en función de distintos niveles de riesgo asociados a cada uno de los productos digitales.
Al margen del principal objetivo que tiene la norma, destacan las siguientes obligaciones que el Reglamento impondrá a fabricantes de programas y equipos informáticos, entre otras:
- Obligación de aplicar medidas de ciberseguridad a lo largo de todo el ciclo de vida del producto (el fabricante también deberá cumplir con esta obligación después de la introducción del producto en el mercado).
- Obligación de obtener el marcado CE para poder comercializar los productos software y hardware.
- Obligaciones postventa. Los fabricantes deberán proporcionar a los consumidores actualizaciones de seguridad durante los años posteriores a la compra del producto de que se trate.
El acuerdo alcanzado está pendiente de ser aprobado formalmente por el Parlamento Europeo y el Consejo. Una vez aprobado el Reglamento, entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
No obstante, el Reglamento de Ciberresiliencia no será directamente aplicable hasta pasados 36 meses de su entrada en vigor, tiempo en el que, los fabricantes, importadores y distribuidores de productos hardware y software sobre los que recaerán las obligaciones del Reglamento, podrán adaptarse a los nuevos requisitos y criterios establecidos por la norma.