LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 16:15:22

LegalToday

Por y para profesionales del Derecho

El reglamento de ciberseguridad para los productos con elementos digitales

Actualmente, son varias las novedades legislativas que forman parte de la estrategia de ciberseguridad de la UE: La Ley Europea de Inteligencia Artificial, La Ley de Mercados Digitales, La Ley de Servicios Digitales, el nuevo acuerdo de protección de datos entre Europa y EE. UU., La Directiva NIS 2 y la Propuesta de Reglamento de ciberseguridad en productos con elementos digitales, entre las más importantes.

La Propuesta de Reglamento de ciberseguridad para los productos con elementos digitales se aprobó por la Comisión Europea en septiembre de 2022 y modifica el Reglamento UE 2019/1020. En términos generales, su finalidad es establecer los requisitos de ciberseguridad horizontal para productos con elementos digitales, es decir, normas más estrictas en la materia que permitan crear un sistema fiable para los operadores económicos y garantizar que los ciudadanos de la UE puedan hacer uso de dichos productos del mercado con la mayor seguridad posible, lo que deriva en una mayor protección de sus derechos fundamentales, como la privacidad.

Los objetivos principales de este Reglamento son, entre otros; garantizar que los  fabricantes mejoren la seguridad de los productos que tienen elementos digitales en la fase de diseño y desarrollo y a lo largo de todo su ciclo de vida; garantizar un marco coherente de normas de ciberseguridad, facilitando su cumplimiento por parte de los fabricantes de hardware y software; mejorar la transparencia de las características de seguridad de los productos con elementos digitales; y permitir que las empresas y los consumidores utilicen estos productos de manera segura.

Los beneficios de esta propuesta, respecto a la normativa anterior son varios: Por un lado, supone una respuesta colectiva contra los ciberataques, lo que favorece a la consolidación del proceso de armonización en la materia, y a la evasión de que los diferentes enfoques nacionales supongan un obstáculo jurídico. Por otro lado, se tiene en cuenta las necesidades específicas de las pymes y, a su vez, supone una notoria reducción de costes para las empresas, costes causados por los ciberataques.

A pesar de actualizar la normativa anterior y adaptarla a los cambios de nuestra sociedad digital, la cual crece exponencialmente, la nueva Propuesta de Reglamento aprobado por la Comisión Europea parece no tener en cuenta otros aspectos, tal y como establece el CESE en su Dictamen 2023/C 100/15, este Reglamento no debe ser un obstáculo, si no un instrumento de ayuda y de armonización legislativa en la materia.

La entrada de este Reglamento supone la necesidad de tener en cuenta que este no puede dar lugar a más trámites burocráticos en detrimento de los fabricantes, ya que tendrían que cumplir con obligaciones adicionales de certificación para operar en el mercado, cubrir la totalidad de los productos digitales es un proceso que conlleva una gran complejidad de verificación y control. Esta situación podría dar lugar a una mayor carga de trabajo y responsabilidad para las autoridades de certificación.

La Comisión prevé racionalizar y redefinir la normativa vigente a la luz de las innovaciones tecnológicas. Europa tiene como principio básico general la comercialización de productos seguros a lo largo de todo su ciclo de vida, siguiendo las líneas básicas del RGPD (art. 32) y lo establecido por el CESE en el análisis de la propuesta, un producto se considerará seguro si está diseñado y fabricado de manera que tenga un nivel de seguridad adecuado a los riesgos cibernéticos que conlleva su uso, no presenta vulnerabilidades conocidas en el momento de su venta, tiene una configuración segura por defecto, está protegido de conexiones ilícitas, protege los datos que recopila y si esta recopilación se limita a aquellos datos que sean necesarios para su funcionamiento.

En conclusión, la Propuesta de Reglamento de ciberseguridad para los productos con elementos digitales pone de manifiesto el escaso nivel de seguridad informática de muchos productos, generalmente, por la falta de actualización o corrección de vulnerabilidades por parte de los fabricantes, así como el hecho de la falta de información tanto de las empresas como de los consumidores a la hora de elegir productos seguros. De este modo, la propuesta de Reglamento podría “convertirse en una referencia y un modelo a escala internacional en materia de ciberseguridad” tal como afirma el CESE.

Sobre este Reglamento se ha pronunciado también el Supervisor Europeo de Protección de Datos (SEPD), aclarando la importancia que tiene la ciberseguridad de los productos con elementos digitales para proteger de manera efectiva los derechos fundamentales de las personas en la era digital, mostrando su acuerdo con dicha propuesta y recomendando la inclusión de los principios de protección de datos.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.