La Ley de Resiliencia Cibernética está trazando su curso. Anunciado en septiembre de 2022 Por parte de la Comisión Europea, la propuesta de reglamento destinada a reforzar la seguridad del hardware y software comercializados en la Unión Europea ha superado un nuevo hito. “La Comisión acoge con satisfacción el acuerdo político alcanzado ayer por la tarde entre el Parlamento Europeo y el Consejo sobre la Ley de Ciberresiliencia”, indicado el ejecutivo de Bruselas este 1 de diciembre. El texto pretende responder al contexto de ciberamenazas que pesa cada vez más sobre los proveedores, así como a las crecientes exigencias de medidas adoptadas para garantizar la seguridad del diseño de los productos vendidos en la UE, durante todo su ciclo. vida desde el diseño hasta el marketing. El marco establece que el software y el hardware de TI llevarán una marca CE para indicar que cumplen con los requisitos del reglamento y, por lo tanto, pueden venderse en Europa.

"El reglamento también introducirá una obligación legal para los fabricantes de proporcionar a los consumidores actualizaciones de seguridad oportunas durante varios años después de la compra", dijo la Comisión. “Este período debe corresponder a la duración prevista de uso de los productos. Con estas medidas, el próximo marco permitirá a los usuarios tomar decisiones mejor informadas y más seguras, ya que los fabricantes deberán ser más transparentes y responsables en lo que respecta a la seguridad de sus productos”. A diferencia de la directiva NIS2, que es más amplia y se dirige en particular a los proveedores de la nube, así como a los proveedores de servicios de salud, la Ley de Resiliencia Cibernética se dirige total o parcialmente a los productos digitales vendidos en el mercado único europeo.

Implementación concreta a partir de 2027

El acuerdo alcanzado está ahora sujeto a la aprobación formal por parte del Parlamento Europeo y del Consejo, prevista para 2024. Una vez adoptado, el Reglamento sobre ciberresiliencia entrará en vigor a los 20 días de su publicación en el Diario Oficial. A partir de su entrada en vigor, los fabricantes, importadores y distribuidores de hardware y software tendrán tres años para adaptarse a los requisitos de la Ley de Resiliencia Cibernética. Por otro lado, el plazo para informar de incidentes y vulnerabilidades será un poco más temprano, concretamente dentro de los 21 meses siguientes a la aprobación de esta ley.