Skip to main content
Reglamento Ciberresiliencia

Reglamento de Ciberresiliencia ¿cómo te afecta?

El 10 de diciembre del 2024 entró en vigor el nuevo REGLAMENTO (UE) 2024/2847 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de octubre de 2024 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia).

Y es que en la era en la que vivimos donde todos estamos conectados digitalmente, se debe tener en cuenta que todos los productos con elementos digitales integrados en un sistema electrónico de información pueden servir de transmisor de un ataque para agentes malintencionados. En consecuencia, incluso los equipos y programas informáticos considerados menos críticos pueden facilitar que un dispositivo o red se vea comprometido en una fase inicial, lo que permite a los agentes malintencionados a obtener un acceso privilegiado a un sistema o moverse lateralmente entre sistemas. Consulta aquí qué debes tener en cuenta para redactar tu Plan de Respuesta a Incidentes de Seguridad.

El Reglamento de Ciberresiliencia tiene por objeto fijar condiciones límite que permitan el desarrollo de productos con elementos digitales seguros, garantizando que los productos consistentes en equipos y programas informáticos se introduzcan en el mercado con menos vulnerabilidades. También aspira a crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de elegir y utilizar productos con elementos digitales

El Reglamento de Ciberresiliencia establece una serie de requisitos esenciales de ciberseguridad tanto para el diseño, el desarrollo y la fabricación de los productos con elementos digitales como para el proceso de gestión de las vulnerabilidades, así como las normas para la comercialización de productos con elementos digitales y las normas relativas a la vigilancia del mercado. 

A continuación, vamos a ver las obligaciones más destacadas que el presente reglamento impone a los fabricantes, importadores y distribuidores de los productos con elementos digitales.

¿Qué obligaciones impone el Reglamento de Ciberresiliencia?

Obligaciones para los Fabricantes

Cuando se introduzca en el mercado un producto con elementos digitales, los fabricantes garantizarán que el producto ha sido diseñado, desarrollado y producido de conformidad con los requisitos esenciales de ciberseguridad establecidos en dicho Reglamento.

Los fabricantes llevarán a cabo una evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales y tendrán en cuenta el resultado de dicha evaluación durante las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento del producto, con el objetivo de minimizar los riesgos de ciberseguridad, prevenir incidentes y reducir al mínimo sus repercusiones, incluidas las relacionadas con la salud y la seguridad de los usuarios. Esta evaluación de riesgos debe estar incluida en la documentación técnica del producto.

Los fabricantes se asegurarán de que cada una de las actualizaciones de seguridad que se haya puesto a disposición de los usuarios durante el período de soporte siga estando disponible tras su publicación durante un período mínimo de diez años o durante el resto del período de soporte si este plazo fuera más largo.

Los fabricantes se asegurarán de que los productos con elementos digitales vayan acompañados de la información y las instrucciones para el usuario, en papel o en formato electrónico. Dichas instrucciones e información se facilitarán en una lengua fácilmente comprensible para los usuarios y las autoridades de vigilancia del mercado. Serán claras, comprensibles, inteligibles y legibles.

Obligaciones para los Importadores:

Los importadores solo introducirán en el mercado productos con elementos digitales que cumplan los requisitos esenciales de ciberseguridad y siempre que los procesos establecidos por el fabricante cumplan los requisitos esenciales de ciberseguridad.

Los importadores indicarán su nombre, nombre comercial registrado o marca registrada, su dirección postal, su dirección de correo electrónico u otros datos de contacto digitales y, en su caso, el sitio web en el que se les puede contactar en el producto con elementos digitales, en su embalaje o en un documento que acompañe al producto. Los datos de contacto figurarán en una lengua fácilmente comprensible para los usuarios finales y las autoridades de vigilancia del mercado.

Antes de introducir en el mercado un producto con elementos digitales, los importadores se asegurarán de que:

  1. el fabricante ha llevado a cabo los procedimientos de evaluación de la conformidad adecuados;
  2. el fabricante ha redactado la documentación técnica;
  3. el producto con elementos digitales lleva el marcado y va acompañado de la declaración UE
  4. el fabricante ha cumplido con:
    1. se ha asegurado de que su producto lleva un número de tipo, lote o serie o cualquier otro elemento que permita su identificación o que dicha información figura en su embalaje o en un documento que acompañe al producto con elementos digitales. Se indica el nombre, nombre comercial registrado o marca registrada del fabricante, así como su dirección postal, su dirección de correo electrónico u otros datos de contacto digitales y, en su caso, el sitio web en el que se les puede contactar— en el producto, en su embalaje o en un documento que acompañe al producto con elementos digitales.
    2.Los fabricantes se asegurarán de que la fecha final del período de soporte, incluidos al menos el mes y el año, se especifique de manera clara y comprensible en el momento de la compra, de manera fácilmente accesible.

Obligaciones para los Distribuidores

Antes de comercializar un producto con elementos digitales, los distribuidores comprobarán que:

a) El producto lleva el marcado CE;

b) El fabricante y el importador han cumplido las obligaciones anteriormente mencionadas y establecidas en el Reglamento.

Creación de una plataforma única de notificación

A efectos de las notificaciones de las vulnerabilidades en los productos con elementos digitales, así como los incidentes graves que repercutan en la seguridad de esos productos y con el fin de simplificar las obligaciones de notificación de los fabricantes, la ENISA creará una plataforma única de notificación.

Requisitos que deben tener los productos con elementos digitales

Por otro lado, como hemos dicho anteriormente el Reglamento de Ciberresilienc también establece los requisitos que deben aplicar los productos con elementos digitales para poder ser comercializados, estos son:

  1. se comercializarán sin vulnerabilidades aprovechables conocidas;
  2. se comercializarán con una configuración segura por defecto;
  3. garantizarán que las vulnerabilidades puedan abordarse mediante actualizaciones de seguridad, incluidas, cuando proceda, las actualizaciones automáticas de seguridad instaladas en un plazo adecuado habilitadas como configuración por defecto
  4. garantizarán la protección contra el acceso no autorizado mediante mecanismos de control adecuados
  5. protegerán la confidencialidad de los datos personales o de otro tipo almacenados
  6. protegerán la integridad de los datos personales o de otro tipo almacenados
  7. tratarán únicamente los datos personales o de otro tipo que sean adecuados, pertinentes y limitados a lo que sea necesario para la finalidad prevista del producto con elementos digitales
  8. protegerán la disponibilidad de funciones esenciales y básicas
  9. minimizarán las repercusiones negativas de los propios productos o de los dispositivos conectados en la disponibilidad de servicios prestados por otros dispositivos o redes;
  10. estarán diseñados, desarrollados y producidos para limitar las superficies de ataque
  11. estarán diseñados, desarrollados y producidos para reducir el impacto de un incidente, por medio de mecanismos y técnicas adecuados para paliar el aprovechamiento de las vulnerabilidades;
  12. proporcionarán información relacionada con la seguridad mediante el registro o el seguimiento de la actividad interna pertinente,
  13. ofrecerán a los usuarios la posibilidad de eliminar de manera segura y fácil, de forma permanente, todos los datos y parámetros y, cuando esos datos puedan transferirse a otros productos o sistemas, garantizarán que esto se haga de manera segura.

Documentación técnica

El Reglamento de Ciberresiliencia también establece qué debe contener la documentación técnica, que es la siguiente:

La documentación técnica contendrá todos los datos o detalles pertinentes relativos a los medios utilizados por el fabricante para garantizar que el producto con elementos digitales y los procesos establecidos por el fabricante cumplen los requisitos esenciales de ciberseguridad.

La documentación técnica contendrá como mínimo la siguiente información:

  1. Una descripción general del producto con elementos digitales.
  2. Una descripción del diseño, el desarrollo y la producción del producto con elementos digitales y de los procesos de gestión de las vulnerabilidades.
  3. Una evaluación de los riesgos de ciberseguridad frente a los cuales se haya diseñado, desarrollado, producido, entregado y mantenido el producto con elementos digitales.
  4. Información pertinente que se haya tenido en cuenta para determinar el período de soporte.
  5. Una lista de las normas armonizadas, aplicadas total o parcialmente.
  6. Informes de las pruebas realizadas para verificar la conformidad del producto con elementos digitales y de los procesos de gestión de las vulnerabilidades con los requisitos esenciales de ciberseguridad.
  7. una copia de la declaración UE de conformidad.
  8. Cuando proceda, la nomenclatura de materiales de los programas informáticos.

Para más información este post de la Comisión Europea.

Autora: Mariona Heredia, Abogada.

Si necesitas más información, ¡contacta con nosotros!:


    Denominación social:

    LEGAL IT GLOBAL 2017, SLP

    Finalidad:
    Prestar el servicio.

    Envío del Boletín informativo.

    Legitimización:
    Cumplimiento de la prestación del servicio.

    Consentimiento.

    Destinatarios: Tus datos no serán compartidos con ningún tercero, salvo a aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.

    Consulta la Política de Protección de datos completa a aquí.

    Nosotros
    Servicios