Nuevo Reglamento de Ciberresiliencia

El pasado 20 de noviembre se ha publicado en el Diario Oficial de la UE el Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia).

Esta nueva normativa tiene por objeto cubrir las carencias del marco legislativo vigente en materia de ciberseguridad, aclarar los vínculos con dicha legislación y lograr que sea más coherente, garantizando que los productos con componentes digitales, por ejemplo, los productos del internet de las cosas (IoT), sean seguros a lo largo de la cadena de suministro y durante su ciclo de vida.

El presente Reglamento introduce requisitos de ciberseguridad a escala de la UE para el diseño, el desarrollo, la fabricación y la introducción en el mercado de productos de hardware y software, a fin de evitar el solapamiento de requisitos establecidos en diferentes actos legislativos de los Estados miembros de la UE. Por ejemplo, los productos de software y hardware llevarán el marcado CE para indicar que cumplen los requisitos del Reglamento.

El Reglamento se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o a una red. Se introducen algunas excepciones en el caso de los productos para los que ya se establecen requisitos de ciberseguridad en otras normas vigentes de la UE, por ejemplo, los productos sanitarios y aeronáuticos y los automóviles.

Por último, la nueva normativa permitirá que los consumidores tengan en cuenta la ciberseguridad a la hora de escoger y utilizar productos que contienen elementos digitales, lo que les facilita determinar los productos de hardware y software que reúnen las características de ciberseguridad adecuadas.

El nuevo Reglamento entrará en vigor 20 días después de su publicación (10 de diciembre de 2024) y se aplicará 36 meses después de su entrada en vigor (a partir del 11 de diciembre de 2027).

No obstante, algunas disposiciones se aplicarán en una fase más temprana:

• Las obligaciones de información de los fabricantes (artículo 14) comenzarán a aplicarse a partir del 11/09/2026.
• La notificación de los organismos de evaluación de la conformidad por parte de los Estados miembros (capítulo IV) comenzará a aplicarse a partir del 11/06/2026.

Además, el nuevo Reglamento establece las siguientes disposiciones transitorias (artículo 69):

• Los certificados de examen de tipo de la UE y las decisiones de aprobación emitidos en relación con los requisitos de ciberseguridad para los productos digitales sujetos a otra legislación de armonización de la Unión siguen siendo válidos hasta el 11 de junio de 2028.
• Los productos digitales introducidos en el mercado antes del 11 de diciembre de 2027 (fecha de aplicación) solo están sujetos a los requisitos del Reglamento de Ciberresiliencia si se produce una modificación sustancial después de la fecha de aplicación del reglamento.
• Las obligaciones de información de los fabricantes (artículo 14) se aplican a todos los productos digitales incluidos en el ámbito de aplicación de las agencias de calificación crediticia, incluidos los introducidos en el mercado antes del 11 de diciembre de 2027.