Con la proliferación de los productos digitales, los ciberataques contra productos de hardware y software van en aumento. Dichos ciberataques tienen un amplio impacto, no sólo en las víctimas de los ataques, sino también en sus cadenas de suministro. Para evitar estos daños, se exige que los productos distribuidos tengan prestaciones de ciberseguridad. En respuesta a estas cuestiones, se han llevado a cabo procedimientos legislativos en la UE. El 12 de marzo de 2024, el Parlamento aprobó nuevas normas de ciberresiliencia para proteger los productos digitales de la UE frente a las ciberamenazas. Ahora, para que se convierta en ley, tendrán que ser aprobadas formalmente por el Consejo.
La normativa tendrá un impacto significativo en quienes comercializan productos digitales en la UE, en particular los fabricantes. Por este motivo, a continuación se describe la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (en lo sucesivo, la «Ley«), que se ha hecho pública.
I.-Ámbito de Aplicación
El artículo 2.1 de la Ley establece que ésta será de aplicación a los productos con elementos digitales cuyo uso previsto o razonablemente previsible incluya una conexión de datos lógica o física, directa o indirecta, a un dispositivo o red.
El artículo 3.1 de la Ley establece que por «producto con elementos digitales» se entenderá cualquier producto consistente en programas informáticos o equipos informáticos y sus soluciones de tratamiento de datos a distancia, incluidos los componentes de programas informáticos o equipos informáticos que se introduzcan en el mercado por separado.
II- Requisitos Esenciales de Ciberseguridad
El artículo 10.1 de la Ley establece que, al comercializar un producto con elementos digitales, los fabricantes deberán garantizar que ha sido diseñado, desarrollado y producido de conformidad con los requisitos esenciales establecidos en la Sección 1 del Anexo I de la Ley.
La Sección 1 del ANEXO I de la Ley establece los siguientes requisitos:
1) Los productos con elementos digitales se diseñarán, desarrollarán y producirán de manera que garanticen un nivel adecuado de ciberseguridad sobre la base de los riesgos existentes;
2) Los productos con elementos digitales se entregarán sin ninguna vulnerabilidad conocida de la que alguien pueda aprovecharse;
3) Sobre la base de la evaluación de riesgos a la que hace referencia el artículo 10, apartado 2, y cuando proceda, los productos con elementos digitales:
a) se entregarán con una configuración segura por defecto, que incluya la posibilidad de restablecer el producto a su estado original;
b) garantizarán la protección contra el acceso no autorizado mediante mecanismos de control adecuados, incluidos, entre otros, sistemas de gestión de la autenticación, la identidad o el acceso;
c) protegerán la confidencialidad de los datos personales o de otro tipo almacenados, transmitidos o tratados de otro modo, mediante, por ejemplo, el cifrado de los datos en reposo o en tránsito pertinentes por medio de los mecanismos más avanzados;
d) protegerán la integridad de los datos personales o de otro tipo almacenados, transmitidos o tratados de otro modo, los comandos, los programas y la configuración frente a toda manipulación o modificación no autorizada por el usuario, e informarán sobre los casos de corrupción de datos;
e) tratarán únicamente los datos personales o de otro tipo que sean adecuados, pertinentes y limitados a lo que sea necesario para el uso previsto del producto («minimización de datos»);
f) protegerán la disponibilidad de funciones esenciales, incluida la resiliencia frente a ataques de denegación de servicio (el ataque DoS) y la mitigación de sus efectos;
g) minimizarán sus propias repercusiones negativas en la disponibilidad de servicios prestados por otros dispositivos o redes;
h) estarán diseñados, desarrollados y producidos para limitar las superficies de ataque, incluidas las interfaces externas;
i) estarán diseñados, desarrollados y producidos para reducir el impacto de un incidente, por medio de mecanismos y técnicas adecuados para paliar el aprovechamiento de las vulnerabilidades;
j) proporcionarán información relacionada con la seguridad mediante el registro o el seguimiento de la actividad interna pertinente, incluidos el acceso a datos, servicios o funciones y la modificación de estos;
k) garantizarán que las vulnerabilidades puedan subsanarse mediante actualizaciones de seguridad, incluidas, cuando proceda, las actualizaciones automáticas y la notificación de las actualizaciones disponibles a los usuarios.
III. Requisitos de Gestión de Vulnerabilidades
El artículo 10.6 de la Ley establece que, al introducir un producto con elementos digitales en el mercado, y durante la vida útil prevista del producto, o durante un periodo de cinco años a partir de la introducción del producto en el mercado, si este periodo es más breve, los fabricantes garantizarán que las vulnerabilidades de dicho producto se gestionen de forma eficaz y de conformidad con los requisitos esenciales establecidos en la Sección 2 del Anexo I de la Ley.
La sección 2 del ANEXO I de la Ley establece los siguientes requisitos;
1) identificarán y documentarán las vulnerabilidades y los componentes presentes en el producto, en particular mediante la elaboración de una nomenclatura de materiales de los programas informáticos en un formato comúnmente utilizado y legible por máquina, que incluya, como mínimo, las dependencias de máximo nivel del producto;
2) por lo que respecta a los riesgos para los productos con elementos digitales, abordarán y subsanarán las vulnerabilidades sin demora, en particular, mediante la provisión de actualizaciones de seguridad;
3) llevarán a cabo exámenes y ensayos, eficaces y periódicos, de la seguridad del producto con elementos digitales;
4) cuando esté disponible una actualización de seguridad, divulgarán información sobre las vulnerabilidades subsanadas, incluidas una descripción de las vulnerabilidades, información que permita a los usuarios identificar el producto con elementos digitales afectado, las repercusiones y la gravedad de las vulnerabilidades e información que ayude a los usuarios a corregir las vulnerabilidades;
5) pondrán en marcha y aplicarán una política de divulgación coordinada de vulnerabilidades;
6) adoptarán medidas para facilitar el intercambio de información sobre posibles vulnerabilidades de su producto con elementos digitales, así como de los componentes de terceros presentes en el producto, en particular proporcionando una dirección de contacto para la notificación de las vulnerabilidades descubiertas en el producto con elementos digitales;
7) preverán mecanismos para distribuir de manera segura las actualizaciones de los productos con elementos digitales, con el fin de garantizar que las vulnerabilidades aprovechables se subsanen o se mitiguen de manera oportuna;
8) garantizarán que, cuando se disponga de parches o actualizaciones de seguridad para hacer frente a los problemas de seguridad detectados, estos se difundan sin demora y de forma gratuita, acompañados de mensajes de aviso que proporcionen a los usuarios la información pertinente, en particular en relación con las posibles medidas que deban adoptarse.
IV.-Documentación Técnica
Antes de comercializar un producto con elementos digitales, los fabricantes elaborarán la documentación técnica (Art. 10.7 de la Ley).
La documentación técnica contendrá todos los datos o detalles relevantes de los medios utilizados por el fabricante para garantizar que el producto con elementos digitales y los procesos puestos en marcha por el fabricante cumplen con los requisitos esenciales establecidos en el Anexo I de la Ley. Dicha documentación, asimismo, contendrá como mínimo los elementos establecidos en el Anexo V (Art. 23.1 de la Ley).
Además, la documentación técnica se elaborará antes de que el producto con elementos digitales se introduzca en el mercado, y se actualizará de forma continua, cuando proceda, durante la vida útil prevista del producto o durante un periodo de cinco años tras la introducción en el mercado de un producto con elementos digitales, el que sea más breve (Art. 23.2 de la Ley).
V.-Procedimiento de Evaluación de Conformidad
El fabricante deberá realizar una evaluación de conformidad del producto con elementos digitales (Art. 24.1 de la Ley).
Esto podría hacerse mediante una autoevaluación o una evaluación de conformidad por parte de un tercero, dependiendo del nivel de riesgo asociado al producto en cuestión.
La evaluación de conformidad por terceros es necesaria para los productos críticos con elementos digitales enumerados en el Anexo III de la Ley.
Por otro lado, cuando los productos con elementos digitales no entren en las categorías anteriores, los fabricantes pueden optar por la autoevaluación (que es menos engorrosa) además de la evaluación de conformidad por terceros.
Cuando se haya demostrado dicha conformidad, los fabricantes colocarán el marcaje CE (Art. 10.7 de la Ley).
Está previsto que esta ley entre en vigor en el segundo semestre de 2024 y que los fabricantes tengan que comercializar sus productos de conformidad con la Ley en el mercado de la Unión antes de 2027.
Los Requisitos Esenciales de Ciberseguridad y los Requisitos de Gestión de Vulnerabilidades deben tenerse en cuenta desde las fases de planificación y diseño del producto, por lo que se insta a los fabricantes que se dirijan al mercado de la UE a que tomen medidas para cumplir con esta normativa lo antes posible.
Satoshi Minami
Vilá Abogados
Para más información, contacte con:
12 de julio de 2024
