El pasado 20 de noviembre se ha publicado en el Diario
Oficial de la UE el Reglamento (UE) 2024/2847 del Parlamento Europeo y del
Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de
ciberseguridad para los productos con elementos digitales (Reglamento de
Ciberresiliencia).
Esta nueva normativa tiene por objeto cubrir las carencias
del marco legislativo vigente en materia de ciberseguridad, aclarar los
vínculos con dicha legislación y lograr que sea más coherente, garantizando que
los productos con componentes digitales, por ejemplo, los productos del
internet de las cosas (IoT), sean seguros a lo largo de la cadena de suministro
y durante su ciclo de vida.
El presente Reglamento introduce requisitos de
ciberseguridad a escala de la UE para el diseño, el desarrollo, la fabricación
y la introducción en el mercado de productos de hardware y software, a fin de
evitar el solapamiento de requisitos establecidos en diferentes actos
legislativos de los Estados miembros de la UE. Por ejemplo, los productos de
software y hardware llevarán el marcado CE para indicar que cumplen los
requisitos del Reglamento.
El Reglamento se aplicará a todos los productos conectados
directa o indirectamente a otro dispositivo o a una red. Se introducen algunas
excepciones en el caso de los productos para los que ya se establecen
requisitos de ciberseguridad en otras normas vigentes de la UE, por ejemplo,
los productos sanitarios y aeronáuticos y los automóviles.
Por último, la nueva normativa permitirá que los
consumidores tengan en cuenta la ciberseguridad a la hora de escoger y utilizar
productos que contienen elementos digitales, lo que les facilita determinar los
productos de hardware y software que reúnen las características de
ciberseguridad adecuadas.
El nuevo Reglamento entrará en vigor 20 días después de su
publicación (10 de diciembre de 2024) y se aplicará 36 meses después de su
entrada en vigor (a partir del 11 de diciembre de 2027).
No obstante, algunas disposiciones se aplicarán en una fase
más temprana:
- Las obligaciones de
información de los fabricantes (artículo 14) comenzarán a aplicarse a
partir del 11/09/2026. - La notificación de los
organismos de evaluación de la conformidad por parte de los Estados
miembros (capítulo IV) comenzará a aplicarse a partir del 11/06/2026.
Además, el nuevo Reglamento establece las siguientes
disposiciones transitorias (artículo 69):
- Los certificados de
examen de tipo de la UE y las decisiones de aprobación emitidos en
relación con los requisitos de ciberseguridad para los productos digitales
sujetos a otra legislación de armonización de la Unión siguen siendo
válidos hasta el 11 de junio de 2028. - Los productos digitales
introducidos en el mercado antes del 11 de diciembre de 2027 (fecha de
aplicación) solo están sujetos a los requisitos del Reglamento de
Ciberresiliencia si se produce una modificación sustancial después de la
fecha de aplicación del reglamento. - Las obligaciones de
información de los fabricantes (artículo 14) se aplican a todos los
productos digitales incluidos en el ámbito de aplicación de las agencias
de calificación crediticia, incluidos los introducidos en el mercado antes
del 11 de diciembre de 2027.
