Participación Pública sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para productos con elementos digitales (“Cyber Resilience Act”)

Objetivos de la norma​

La Comisión Europea ha presentado una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para productos con elementos digitales y por el que se modifica el reglamento (UE) 2019/1020 (comúnmente conocida como “Ley de Ciberresiliencia” o “Cyber Resilience Act”). Esta propuesta tiene dos objetivos principales destinados a garantizar el correcto funcionamiento del mercado interior:

  1. Crear condiciones para el desarrollo de productos seguros con elementos digitales al garantizar que los productos de hardware y software se comercialicen con menos vulnerabilidades y garantizar que los fabricantes se tomen en serio la seguridad a lo largo del ciclo de vida de un producto; y
  2. Crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad al seleccionar y utilizar productos con elementos digitales.

Para ello esta propuesta establece cuatro objetivos específicos:​

  1. Garantizar que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y durante todo el ciclo de vida;
  2. Garantizar un marco de ciberseguridad coherente, facilitando el cumplimiento de los productores de hardware y software;
  3. Mejorar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
  4. Permitir que las empresas y los consumidores utilicen productos con elementos digitales de forma segura.

Contenido de la norma

La propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para productos con elementos digitales (Cyber Resilience Act) se aplicará a todos los productos con elementos digitales cuyo destino y cuyo uso razonablemente previsible incluye una conexión de datos lógica o física directa o indirecta a un dispositivo o una red.

La propuesta de Reglamento establece:

  1. Normas para la comercialización de productos con elementos digitales para garantizar la ciberseguridad de dichos productos;
  2. Requisitos esenciales para el diseño, desarrollo y producción de productos con elementos digitales, y obligaciones para operadores económicos en relación con estos productos con respecto a la ciberseguridad;
  3. Requisitos para los procesos de gestión de vulnerabilidades implementados por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones de los operadores económicos en relación con estos procesos;
  4. Reglas sobre el mercado, vigilancia y cumplimiento de las normas y requisitos antes mencionados.

Plazo y presentación de comentarios

Con objeto de identificar los aspectos de la propuesta legislativa que tienen mayor incidencia para España e incentivar la participación de los ciudadanos, las Administraciones públicas y los sectores nacionales afectados, se abre un proceso de participación pública para recabar comentarios sobre los documentos presentados por la Comisión Europea, cuyo enlace se encuentra al final de esta página.

Se podrán presentar comentarios hasta el 22 de noviembre de 2022.

La dirección de correo electrónico para enviar los comentarios es: sgsd@economia.gob.es

Cuestiones relevantes de la norma

A continuación, figuran una serie de cuestiones sobre las que, sin perjuicio de otras, sería positivo recibir la opinión de los sujetos y entidades afectadas:

  • Efectos esperados sobre las empresas españolas implicadas en la fabricación y diseño de productos con elementos digitales y aquellas que prestan servicios posventa, como la reparación o mantenimiento de los mismos.
  • Efectos esperados sobre los precios, oferta y demanda de productos con elementos digitales.
  • Efectos esperados sobre los derechos de los consumidores de productos con elementos digitales.
  • Efectos esperados sobre las empresas españolas susceptibles de tener que realizar actividades de autoevaluación y certificación.
  • Efectos esperados sobre las empresas españolas importadoras, proveedoras y fabricantes que deberán asumir obligaciones de cumplimiento y notificación no existentes en este momento.
  • Efectos esperados sobre las empresas españolas de tipo “start up” en sectores relacionados con la fabricación e importación de productos con elementos digitales.
  • Efectos esperados sobre las Pymes españolas en sectores relacionados con la fabricación e importación de productos con elementos digitales.

Enlace a la propuesta de la Comisión Europea:

https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

https://ec.europa.eu/newsroom/dae/redirection/document/89543

Enlace al anexo:

https://ec.europa.eu/newsroom/dae/redirection/document/89544