REGLAMENTO RELATIVO A LOS REQUISITOS HORIZONTALES DE CIBERSEGURIDAD PARA LOS PRODUCTOS CON ELEMENTOS DIGITALES
D.O.U.E.: 2847, de 20 de noviembre.
Entrada en vigor: 10 de diciembre (20 días desde su publicación en el DOUE)
Efectos: 11 de diciembre de 2027, salvo excepciones.
El pasado 20 de noviembre se publicó en el Diario Oficial de la Unión Europea (en adelante, “DOUE”) el Reglamento de Ciberresiliencia (en adelante, “CRA”, por sus siglas en inglés). Su principal objetivo es establecer normas para la comercialización de productos con elementos digitales, imponer requisitos esenciales de ciberseguridad para el diseño, el desarrollo y la fabricación de productos con elementos digitales (productos de software y hardware).
Su ámbito de aplicación se extiende a los productos con elementos digitales comercializados cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red, si bien el Reglamento establece una serie de excepciones.
En particular, el Reglamento establece obligaciones para los fabricantes, importadores y distribuidores de productos digitales, tales como la responsabilidad de verificar los estándares de ciberseguridad del producto, asegurar el marcado CE, informar sobre vulnerabilidades y/o incidentes, etc.
El Reglamento entrará en vigor a los 20 días de su publicación en el DOUE, pero no será de aplicación directa hasta el 11 de diciembre de 2027, salvo las siguientes excepciones:
- La notificación de los organismos de evaluación de conformidad será de aplicación a partir del 11 de junio de 2026.
- Las obligaciones de información de los fabricantes serán de aplicación a partir del 11 de septiembre de 2026
DIRECTIVA SOBRE RESPONSABILIDAD POR LOS DAÑOS CAUSADOS POR PRODUCTOS DEFECTUOSOS
D.O.U.E: 18.11.2024
Entrada en vigor: 09.12.2024
Efectos: Aplicable a los productos introducidos en el mercado o puestos en servicio a partir del 9 de diciembre de 2026.
El Consejo y el Parlamento Europeo han aprobado la nueva Directiva 2024/2853, de 23 de octubre, sobre responsabilidad por los daños causados por productos defectuosos adaptándose a los avances del entorno digital y la economía circular. Esta normativa deroga la directiva de 1985 que fue traspuesta en España mediante la Ley 22/1994, de 6 de julio, sobre responsabilidad civil por daños causados por productos defectuosos, y posteriormente incluida en el Real Decreto Legislativo 1/2007, sobre la Defensa General de los Consumidores y Usuarios.
La nueva regulación considera indemnizables nuevos tipos de daños, como la pérdida de datos personales y daños psicológicos. Además, podrán ser responsables no solo los fabricantes, sino también otros actores como distribuidores, importadores y prestadores de servicios logísticos.
Se mantiene el plazo de 10 años desde la comercialización del producto para que la persona perjudicada pueda reclamar la indemnización, pero se extiende el plazo máximo de reclamación a 25 años para daños personales latentes. En cuanto a la carga de la prueba, aunque recae sobre la persona perjudicada, se incorporan presunciones para facilitar las reclamaciones.
La Directiva entra en vigor el 9 de diciembre de 2024 y los Estados miembros tienen dos años para transponerla a sus legislaciones nacionales.
