El Consejo de la Unión Europea y la Eurocámara han logrado un acuerdo provisional sobre la ley de ciberresiliencia, que introduce requisitos de ciberseguridad en la Unión Europea para el diseño, desarrollo, producción y comercialización de productos digitales conectados.

El objetivo de la ley de ciberresilencia es garantizar que productos como cámaras domésticas conectadas, frigoríficos, televisores y juguetes sean seguros antes de ser colocados en el mercado.

"El acuerdo es un hito hacia un mercado único digital seguro en Europa", dijo el ministro español de Transformación Digital, José Luis Escrivá, en un comunicado del Consejo de la UE en el que destacó que el fin de la normativa es garantizar que las empresas y los consumidores estén adecuadamente protegidos contra las ciberamenazas.

La futura normativa, que tiene que ser refrendada formalmente por el Consejo y la Eurocámara para su entrada en vigor, "garantiza una ciberseguridad sólida de los dispositivos digitales en la UE desde su concepción y durante todo su ciclo de vida", destacó el comisario de Mercado Interior, Thierry Breton, responsable de la propuesta.

"¡Ciberseguridad por diseño para la seguridad tanto de los consumidores como de la sociedad en general!", subrayó el francés.

El reglamento se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o a una red.

Existen algunas excepciones para productos para los cuales los requisitos de ciberseguridad ya están establecidos en las normas vigentes de la UE, como dispositivos médicos, productos aeronáuticos y automóviles.

La ley pretende salvar las lagunas, aclarar los vínculos y hacer más coherente la legislación existente en materia de ciberseguridad, garantizando que los productos con componentes digitales, por ejemplo los productos del internet de las cosas, sean seguros en toda la cadena de suministro y en todo su ciclo vital.

Además, el reglamento permitirá a los consumidores tener en cuenta la ciberseguridad al seleccionar y utilizar productos que contengan elementos digitales, facilitándoles la identificación de productos de hardware y software con las características de ciberseguridad adecuadas.

Fecha de aplicación y requisitos

Las nuevas normas se aplicarán tres años después de que la ley entre en vigor, lo que debería dar a los fabricantes tiempo suficiente para adaptarse a los nuevos requisitos.

Entre esos requisitos destaca la determinación de la vida útil esperada del producto por parte de los fabricantes: si bien el principio es que el período de soporte para un producto digital corresponda a su vida útil esperada, se indica un período de soporte de al menos cinco años, salvo para aquellos que se espera que estén en uso durante un período de tiempo más corto.

Las empresas tendrán obligaciones además de informar sobre vulnerabilidades e incidentes de los productos a las autoridades nacionales competentes, pero también se refuerza en este terreno el papel de la agencia de la UE para la ciberseguridad (ENISA).

Esta ley de ciberresiliencia complementará el marco de ciberseguridad existente en la UE, con la directiva sobre la seguridad de las redes y los sistemas de información (directiva NIS), la directiva sobre medidas para un alto nivel de ciberseguridad en toda la Unión (directiva NIS 2) y la ley de ciberseguridad de la UE.