{"id":19018,"date":"2024-12-16T21:00:00","date_gmt":"2024-12-16T20:00:00","guid":{"rendered":"https:\/\/www.rosello-mallol.com\/?p=19018"},"modified":"2024-12-16T16:57:14","modified_gmt":"2024-12-16T15:57:14","slug":"reglamento-de-ciberresiliencia","status":"publish","type":"post","link":"https:\/\/www.rosello-mallol.com\/es\/reglamento-de-ciberresiliencia\/","title":{"rendered":"Reglamento de Ciberresiliencia \u00bfc\u00f3mo te afecta?"},"content":{"rendered":"\n

El 10 de diciembre del 2024 entr\u00f3 en vigor el nuevo REGLAMENTO (UE) 2024\/2847<\/strong><\/a> DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de octubre de 2024 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168\/2013 y el Reglamento (UE) 2019\/1020 y la Directiva (UE) 2020\/1828 (Reglamento de Ciberresiliencia).<\/p>\n\n\n\n

Y es que en la era en la que vivimos donde todos estamos conectados digitalmente, se debe tener en cuenta que todos los productos con elementos digitales integrados en un sistema electr\u00f3nico de informaci\u00f3n pueden servir de transmisor de un ataque para agentes malintencionados. En consecuencia, incluso los equipos y programas inform\u00e1ticos considerados menos cr\u00edticos pueden facilitar que un dispositivo o red se vea comprometido en una fase inicial, lo que permite a los agentes malintencionados a obtener un acceso privilegiado a un sistema o moverse lateralmente entre sistemas. Consulta aqu\u00ed<\/a> <\/strong>qu\u00e9 debes tener en cuenta para redactar tu Plan de Respuesta a Incidentes de Seguridad.<\/p>\n\n\n\n

El Reglamento de Ciberresiliencia tiene por objeto fijar condiciones l\u00edmite que permitan el desarrollo de productos con elementos digitales seguros, garantizando que los productos consistentes en equipos y programas inform\u00e1ticos se introduzcan en el mercado con menos vulnerabilidades. Tambi\u00e9n aspira a crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad<\/a> a la hora de elegir y utilizar productos con elementos digitales<\/p>\n\n\n\n

El Reglamento de Ciberresiliencia establece una serie de requisitos esenciales de ciberseguridad tanto para el dise\u00f1o, el desarrollo y la fabricaci\u00f3n de los productos con elementos digitales como para el proceso de gesti\u00f3n de las vulnerabilidades, as\u00ed como las normas para la comercializaci\u00f3n de productos con elementos digitales y las normas relativas a la vigilancia del mercado. <\/p>\n\n\n\n

A continuaci\u00f3n, vamos a ver las obligaciones m\u00e1s destacadas que el presente reglamento impone a los fabricantes, importadores y distribuidores de los productos con elementos digitales.<\/p>\n\n\n\n

\u00bfQu\u00e9 obligaciones impone el Reglamento de Ciberresiliencia?<\/strong><\/p>\n\n\n\n

Obligaciones para los Fabricantes<\/strong><\/p>\n\n\n\n

Cuando se introduzca en el mercado un producto con elementos digitales, los fabricantes garantizar\u00e1n que el producto ha sido dise\u00f1ado, desarrollado y producido de conformidad con los requisitos esenciales de ciberseguridad establecidos en dicho Reglamento.<\/p>\n\n\n\n

Los fabricantes llevar\u00e1n a cabo una evaluaci\u00f3n de los riesgos de ciberseguridad asociados a un producto con elementos digitales y tendr\u00e1n en cuenta el resultado de dicha evaluaci\u00f3n durante las fases de planificaci\u00f3n, dise\u00f1o, desarrollo, producci\u00f3n, entrega y mantenimiento del producto, con el objetivo de minimizar los riesgos de ciberseguridad, prevenir incidentes y reducir al m\u00ednimo sus repercusiones, incluidas las relacionadas con la salud y la seguridad de los usuarios. Esta evaluaci\u00f3n de riesgos debe estar incluida en la documentaci\u00f3n t\u00e9cnica del producto.<\/p>\n\n\n\n

Los fabricantes se asegurar\u00e1n de que cada una de las actualizaciones de seguridad que se haya puesto a disposici\u00f3n de los usuarios durante el per\u00edodo de soporte siga estando disponible tras su publicaci\u00f3n durante un per\u00edodo m\u00ednimo de diez a\u00f1os o durante el resto del per\u00edodo de soporte si este plazo fuera m\u00e1s largo.<\/p>\n\n\n\n

Los fabricantes se asegurar\u00e1n de que los productos con elementos digitales vayan acompa\u00f1ados de la informaci\u00f3n y las instrucciones para el usuario, en papel o en formato electr\u00f3nico. Dichas instrucciones e informaci\u00f3n se facilitar\u00e1n en una lengua f\u00e1cilmente comprensible para los usuarios y las autoridades de vigilancia del mercado. Ser\u00e1n claras, comprensibles, inteligibles y legibles.<\/p>\n\n\n\n

Obligaciones para los Importadores:<\/strong><\/p>\n\n\n\n

Los importadores solo introducir\u00e1n en el mercado productos con elementos digitales que cumplan los requisitos esenciales de ciberseguridad y siempre que los procesos establecidos por el fabricante cumplan los requisitos esenciales de ciberseguridad.<\/p>\n\n\n\n

Los importadores indicar\u00e1n su nombre, nombre comercial registrado o marca registrada, su direcci\u00f3n postal, su direcci\u00f3n de correo electr\u00f3nico u otros datos de contacto digitales y, en su caso, el sitio web en el que se les puede contactar en el producto con elementos digitales, en su embalaje o en un documento que acompa\u00f1e al producto. Los datos de contacto figurar\u00e1n en una lengua f\u00e1cilmente comprensible para los usuarios finales y las autoridades de vigilancia del mercado.<\/p>\n\n\n\n

Antes de introducir en el mercado un producto con elementos digitales, los importadores se asegurar\u00e1n de que:<\/p>\n\n\n\n

    \n
  1. el fabricante ha llevado a cabo los procedimientos de evaluaci\u00f3n de la conformidad adecuados;<\/li>\n\n\n\n
  2. el fabricante ha redactado la documentaci\u00f3n t\u00e9cnica;<\/li>\n\n\n\n
  3. el producto con elementos digitales lleva el marcado y va acompa\u00f1ado de la declaraci\u00f3n UE<\/li>\n\n\n\n
  4. el fabricante ha cumplido con:
    1. se ha asegurado de que su producto lleva un n\u00famero de tipo, lote o serie o cualquier otro elemento que permita su identificaci\u00f3n o que dicha informaci\u00f3n figura en su embalaje o en un documento que acompa\u00f1e al producto con elementos digitales. Se indica el nombre, nombre comercial registrado o marca registrada del fabricante, as\u00ed como su direcci\u00f3n postal, su direcci\u00f3n de correo electr\u00f3nico u otros datos de contacto digitales y, en su caso, el sitio web en el que se les puede contactar\u2014 en el producto, en su embalaje o en un documento que acompa\u00f1e al producto con elementos digitales.<\/li><\/ol> 2.Los fabricantes se asegurar\u00e1n de que la fecha final del per\u00edodo de soporte, incluidos al menos el mes y el a\u00f1o, se especifique de manera clara y comprensible en el momento de la compra, de manera f\u00e1cilmente accesible.<\/li>\n<\/ol>\n\n\n\n

      Obligaciones para los Distribuidores<\/strong><\/p>\n\n\n\n

      Antes de comercializar un producto con elementos digitales, los distribuidores comprobar\u00e1n que:<\/p>\n\n\n\n

      a) El producto lleva el marcado CE;<\/p>\n\n\n\n

      b) El fabricante y el importador han cumplido las obligaciones anteriormente mencionadas y establecidas en el Reglamento.<\/p>\n\n\n\n

      Creaci\u00f3n de una plataforma \u00fanica de notificaci\u00f3n<\/strong><\/p>\n\n\n\n

      A efectos de las notificaciones de las vulnerabilidades en los productos con elementos digitales, as\u00ed como los incidentes graves que repercutan en la seguridad de esos productos y con el fin de simplificar las obligaciones de notificaci\u00f3n de los fabricantes, la ENISA crear\u00e1 una plataforma \u00fanica de notificaci\u00f3n.<\/p>\n\n\n\n

      Requisitos que deben tener los productos con elementos digitales<\/strong><\/p>\n\n\n\n

      Por otro lado, como hemos dicho anteriormente el Reglamento de Ciberresilienc tambi\u00e9n establece los requisitos que deben aplicar los productos con elementos digitales para poder ser comercializados, estos son:<\/p>\n\n\n\n

        \n
      1. se comercializar\u00e1n sin vulnerabilidades aprovechables conocidas;<\/li>\n\n\n\n
      2. se comercializar\u00e1n con una configuraci\u00f3n segura por defecto;<\/li>\n\n\n\n
      3. garantizar\u00e1n que las vulnerabilidades puedan abordarse mediante actualizaciones de seguridad, incluidas, cuando proceda, las actualizaciones autom\u00e1ticas de seguridad instaladas en un plazo adecuado habilitadas como configuraci\u00f3n por defecto<\/li>\n\n\n\n
      4. garantizar\u00e1n la protecci\u00f3n contra el acceso no autorizado mediante mecanismos de control adecuados<\/li>\n\n\n\n
      5. proteger\u00e1n la confidencialidad de los datos personales o de otro tipo almacenados<\/li>\n\n\n\n
      6. proteger\u00e1n la integridad de los datos personales o de otro tipo almacenados<\/li>\n\n\n\n
      7. tratar\u00e1n \u00fanicamente los datos personales o de otro tipo que sean adecuados, pertinentes y limitados a lo que sea necesario para la finalidad prevista del producto con elementos digitales<\/li>\n\n\n\n
      8. proteger\u00e1n la disponibilidad de funciones esenciales y b\u00e1sicas<\/li>\n\n\n\n
      9. minimizar\u00e1n las repercusiones negativas de los propios productos o de los dispositivos conectados en la disponibilidad de servicios prestados por otros dispositivos o redes;<\/li>\n\n\n\n
      10. estar\u00e1n dise\u00f1ados, desarrollados y producidos para limitar las superficies de ataque<\/li>\n\n\n\n
      11. estar\u00e1n dise\u00f1ados, desarrollados y producidos para reducir el impacto de un incidente, por medio de mecanismos y t\u00e9cnicas adecuados para paliar el aprovechamiento de las vulnerabilidades;<\/li>\n\n\n\n
      12. proporcionar\u00e1n informaci\u00f3n relacionada con la seguridad mediante el registro o el seguimiento de la actividad interna pertinente,<\/li>\n\n\n\n
      13. ofrecer\u00e1n a los usuarios la posibilidad de eliminar de manera segura y f\u00e1cil, de forma permanente, todos los datos y par\u00e1metros y, cuando esos datos puedan transferirse a otros productos o sistemas, garantizar\u00e1n que esto se haga de manera segura.<\/li>\n<\/ol>\n\n\n\n

        Documentaci\u00f3n t\u00e9cnica<\/strong><\/p>\n\n\n\n

        El Reglamento de Ciberresiliencia tambi\u00e9n establece qu\u00e9 debe contener la documentaci\u00f3n t\u00e9cnica, que es la siguiente:<\/p>\n\n\n\n

        La documentaci\u00f3n t\u00e9cnica contendr\u00e1 todos los datos o detalles pertinentes relativos a los medios utilizados por el fabricante para garantizar que el producto con elementos digitales y los procesos establecidos por el fabricante cumplen los requisitos esenciales de ciberseguridad.<\/p>\n\n\n\n

        La documentaci\u00f3n t\u00e9cnica contendr\u00e1 como m\u00ednimo la siguiente informaci\u00f3n:<\/p>\n\n\n\n

          \n
        1. Una descripci\u00f3n general del producto con elementos digitales.<\/li>\n\n\n\n
        2. Una descripci\u00f3n del dise\u00f1o, el desarrollo y la producci\u00f3n del producto con elementos digitales y de los procesos de gesti\u00f3n de las vulnerabilidades.<\/li>\n\n\n\n
        3. Una evaluaci\u00f3n de los riesgos de ciberseguridad frente a los cuales se haya dise\u00f1ado, desarrollado, producido, entregado y mantenido el producto con elementos digitales.<\/li>\n\n\n\n
        4. Informaci\u00f3n pertinente que se haya tenido en cuenta para determinar el per\u00edodo de soporte.<\/li>\n\n\n\n
        5. Una lista de las normas armonizadas, aplicadas total o parcialmente.<\/li>\n\n\n\n
        6. Informes de las pruebas realizadas para verificar la conformidad del producto con elementos digitales y de los procesos de gesti\u00f3n de las vulnerabilidades con los requisitos esenciales de ciberseguridad.<\/li>\n\n\n\n
        7. una copia de la declaraci\u00f3n UE de conformidad.<\/li>\n\n\n\n
        8. Cuando proceda, la nomenclatura de materiales de los programas inform\u00e1ticos.<\/li>\n<\/ol>\n\n\n\n

          Para m\u00e1s informaci\u00f3n este post<\/a> de la Comisi\u00f3n Europea.<\/p>\n\n\n\n

          Autora: Mariona Heredia<\/strong>, Abogada.<\/p>\n\n\n\n

          Si necesitas m\u00e1s informaci\u00f3n, \u00a1contacta con nosotros!:<\/p>\n\n\n\n

          \n
          \n

          <\/p>

            <\/ul><\/div>\n
            \n
            \n\n\n\n\n\n\n\n<\/div>\n