Reglament de Ciberresiliència, com t’afecta?

El 10 de desembre del 2024 va entrar en vigor el nou REGLAMENT (UE) 2024/2847 DEL PARLAMENT EUROPEU I DEL CONSELL de 23 d’octubre del 2024 relatiu als requisits horitzontals de ciberseguretat per als productes amb elements digitals i pel qual es modifica el Reglament (UE) núm. 168/2013 i el Reglament (UE) 2019/1020 i la Directiva (UE) 2020/1828 (Reglament de Ciberresiliència)

A l’era on vivim on tots estem connectats digitalment, cal tenir en compte que tots els productes amb elements digitals integrats en un sistema electrònic d’informació poden servir de transmissor d’un atac per a agents malintencionats. En conseqüència, fins i tot els equips i programes informàtics considerats menys crítics poden facilitar que un dispositiu o xarxa es vegi compromès en una fase inicial, cosa que permet als agents malintencionats a obtenir un accés privilegiat a un sistema o moure’s lateralment entre sistemes.

Aquest Reglament de Ciberresiliència té per objecte fixar condicions límit que permetin el desenvolupament de productes amb elements digitals segurs, garantint que els productes consistents en equips i programes informàtics s’introdueixin al mercat amb menys vulnerabilitats. També aspira a crear condicions que permetin als usuaris tenir en compte la ciberseguretat a l’hora de triar i utilitzar productes amb elements digitals.

El Reglament de Ciberresiliència estableix una sèrie de requisits essencials de ciberseguretat tant per al disseny, el desenvolupament i la fabricació dels productes amb elements digitals com per al procés de gestió de les vulnerabilitats, així com les normes per a la comercialització de productes amb elements digitals i les normes relatives a la vigilància del mercat.

A continuació, veurem les obligacions més destacades que aquest reglament imposa als fabricants, importadors i distribuïdors dels productes amb elements digitals.

Quines obligacions imposa la Reglament de Ciberresiliència?

Obligacions pels fabricants

Quan s’introdueixi al mercat un producte amb elements digitals, els fabricants han de garantir que el producte ha estat dissenyat, desenvolupat i produït de conformitat amb els requisits essencials de ciberseguretat que estableix aquest Reglament.

Els fabricants portaran a terme una avaluació dels riscos de ciberseguretat associats a un producte amb elements digitals i tindran en compte el resultat d’aquesta avaluació durant les fases de planificació, disseny, desenvolupament, producció, entrega i manteniment del producte, amb l’objectiu de minimitzar els riscos de ciberseguretat, prevenir incidents i reduir-ne al mínim les repercussions, incloses les relacionades amb la salut i la seguretat dels usuaris. Aquesta avaluació de riscos ha d’estar inclosa en la documentació tècnica del producte.

Els fabricants s’asseguraran que cadascuna de les actualitzacions de seguretat que s’hagi posat a disposició dels usuaris durant el període de suport continuï estant disponible després de la publicació durant un període mínim de deu anys o durant la resta del període de suport si aquest termini fos més llarg.

Els fabricants asseguraran que els productes amb elements digitals vagin acompanyats de la informació i les instruccions per a l’usuari, en paper o en format electrònic. Aquestes instruccions i informació s’han de facilitar en una llengua fàcilment comprensible per als usuaris i les autoritats de vigilància del mercat. Seran clares, comprensibles, intel·ligibles i llegibles.

Obligacions pels Importadors:

Els importadors només introduiran al mercat productes amb elements digitals que compleixin els requisits essencials de ciberseguretat i sempre que els processos establerts pel fabricant compleixin els requisits essencials de ciberseguretat.

Els importadors indicaran el seu nom, nom comercial registrat o marca registrada, la seva adreça postal, la seva adreça de correu electrònic o altres dades de contacte digitals i, si escau, el lloc web on se’ls pot contactar al producte amb elements digitals, en el seu embalatge o en un document que acompanyi el producte. Les dades de contacte han de figurar en una llengua fàcilment comprensible per als usuaris finals i les autoritats de vigilància del mercat.

Abans d’introduir al mercat un producte amb elements digitals, els importadors s’asseguraran que:

1. el fabricant ha dut a terme els procediments d’avaluació de la conformitat adequats;
2. el fabricant ha redactat la documentació tècnica;
3. el producte amb elements digitals porta el marcatge i va acompanyat de la declaració UE
4. el fabricant ha complert amb:
   1. s’ha assegurat que el producte porta un nombre de tipus, lot o sèrie o qualsevol altre element que permeti la seva identificació o que aquesta informació figura al seu embalatge o en un document que acompanyi el producte amb elements digitals. S’indica el nom, nom comercial registrat o marca registrada del fabricant, així com la seva adreça postal, la seva adreça de correu electrònic o altres dades de contacte digitals i, si escau, el lloc web on se’ls pot contactar— producte, al seu embalatge o en un document que acompanyi el producte amb elements digitals.
   1. Els fabricants s’asseguraran que la data final del període de suport, inclosos almenys el mes i l’any, s’especifiqui de manera clara i entenedora en el moment de la compra, de manera fàcilment accessible.

Obligacions pels Distribuïdors

Abans de comercialitzar un producte amb elements digitals, els distribuïdors comprovaran que:

1. El producte porta el marcatge CE;
2. El fabricant i l’importador han complert les obligacions anteriorment esmentades i establertes al Reglament.

Creació d’una plataforma única de notificació

A efectes de les notificacions de les vulnerabilitats als productes amb elements digitals, així com els incidents greus que repercuteixin en la seguretat d’aquests productes i per simplificar les obligacions de notificació dels fabricants, l’ENISA crearà una plataforma única de notificació.

Requisits que han de tenir els productes amb elements digitals

D’altra banda, com hem dit anteriorment, el Reglament també ens diu els requisits que han d’aplicar els productes amb elements digitals per poder ser comercialitzats, aquests són:

1. es comercialitzaran sense vulnerabilitats aprofitables conegudes;
2. es comercialitzaran amb una configuració segura per defecte;
3. garantiran que les vulnerabilitats puguin abordar-se mitjançant actualitzacions de seguretat, incloses, quan escaigui, les actualitzacions automàtiques de seguretat instal·lades en un termini adequat habilitades com a configuració per defecte
4. garantiran la protecció contra l’accés no autoritzat mitjançant mecanismes de control adequats
5. protegiran la confidencialitat de les dades personals o d’altres tipus emmagatzemades
6. protegiran la integritat de les dades personals o d’altres tipus emmagatzemades
7. tractaran únicament les dades personals o d’un altre tipus que siguin adequades, pertinents i limitades al que sigui necessari per a la finalitat prevista del producte amb elements digitals
8. protegiran la disponibilitat de funcions essencials i bàsiques
9. minimitzaran les repercussions negatives dels mateixos productes o dels dispositius connectats a la disponibilitat de serveis prestats per altres dispositius o xarxes;
10. estaran dissenyats, desenvolupats i produïts per limitar les superfícies d’atac
11. estaran dissenyats, desenvolupats i produïts per reduir l’impacte d’un incident, per mitjà de mecanismes i tècniques adequats per pal·liar l’aprofitament de les vulnerabilitats;
12. proporcionaran informació relacionada amb la seguretat mitjançant el registre o el seguiment de l’activitat interna pertinent,
13. oferiran als usuaris la possibilitat d’eliminar de manera segura i fàcil, de manera permanent, totes les dades i paràmetres i, quan aquestes dades es puguin transferir a altres productes o sistemes, garantiran que això es faci de manera segura.

Documentació tècnica

El Reglament també ens diu que ha de contenir la documentació tècnica, que és la següent:

La documentació tècnica ha de contenir totes les dades o els detalls pertinents relatius als mitjans utilitzats pel fabricant per garantir que el producte amb elements digitals i els processos establerts pel fabricant compleixen els requisits essencials de ciberseguretat.

La documentació tècnica contindrà com a mínim la següent informació:

1. Una descripció general del producte amb elements digitals.
2. Una descripció del disseny, el desenvolupament i la producció del producte amb elements digitals i dels processos de gestió de les vulnerabilitats.
3. Una avaluació dels riscos de ciberseguretat davant dels quals s’ha dissenyat, desenvolupat, produït, lliurat i mantingut el producte amb elements digitals.
4. Informació pertinent que s’hagi tingut en compte per determinar el període de suport.
5. Una llista de les normes harmonitzades, aplicades totalment o parcialment.
6. Informes de les proves realitzades per verificar la conformitat del producte amb elements digitals i dels processos de gestió de les vulnerabilitats amb els requisits essencials de ciberseguretat.
7. una còpia de la declaració UE de conformitat.
8. Quan sigui procedent, la nomenclatura de materials dels programes informàtics.

Per a més informació consulta aquest post de la Comissió Europea.

Autora: Mariona Heredia, Advocada.

Si necessites més informació, contacta amb nosaltres!

Informació sobre protecció de dades

Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Butlletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.