Ricardo Rodrigues Lopes
Marta Morais Camarate
Internacional
En la realidad actual, los productos de hardware y software son cada vez más objeto de ciberataques, lo que implica un aumento exponencial del coste de reparación y prevención de los daños, especialmente en los ámbitos de la protección de datos, la confidencialidad y la tecnología.
La ciberseguridad de estos productos tiene una importante dimensión transfronteriza, ya que los productos fabricados en un país son a menudo utilizados por organizaciones y consumidores en todo el mercado interno y, aunque actualmente existe legislación en vigor sobre aspectos relacionados con la ciberseguridad, está fragmentada en las materias que cubre. Esta fragmentación da lugar a lagunas y contradicciones en la legislación, lo que a su vez provoca inseguridad jurídica tanto para los fabricantes como para los consumidores y las organizaciones, teniendo estas últimas que hacer un esfuerzo adicional para cumplir con los requisitos necesarios.
En este contexto, surgió la necesidad de crear una ley que regulara de forma más armonizada los requisitos de ciberseguridad de los productos con elementos digitales comercializados en la UE y que fue la base de la propuesta de la Comisión Europea de la Ley Europea de Ciberresiliencia (CRA).
Los productos con elementos digitales integrados o conectados a un sistema de información electrónico más amplio pueden ser objeto de un ciberataque incluso en el caso de productos considerados menos críticos. Así, el objetivo de esta ley es crear unas condiciones mínimas para el desarrollo de la seguridad de los productos digitales, garantizando que estos productos se comercialicen con menos vulnerabilidades, imponiendo a los fabricantes la adopción de medidas de seguridad que cubran no sólo el momento de producción de los productos, sino todo su ciclo de vida, habiendo abordado dos problemas especialmente relevantes:
a) El relativamente bajo nivel de seguridad de los productos con elementos digitales disponibles en Europa, entre los que podemos considerar cámaras domésticas conectadas, frigoríficos inteligentes, televisores e incluso juguetes y;
b) La insuficiente comprensión por parte de los consumidores para prevenir ciberataques debido al desconocimiento de las propiedades de seguridad en el momento de elegir el producto, así como de las actualizaciones necesarias para mantenerlo a lo largo de su ciclo de vida.
Por lo tanto, teniendo en cuenta los problemas abordados, se han identificado los siguientes objetivos específcos:
a) Crear condiciones que garanticen que los fabricantes mejoran la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo, así como a lo largo de todo el ciclo de vida, considerando las actualizaciones necesarias a lo largo del camino.
b) Garantizar un marco de ciberseguridad coherente que facilite el cumplimiento por parte de los fabricantes de hardware y software
c) Aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales.
d) Permitir a las empresas y a los consumidores utilizar los productos con elementos digitales de forma segura.
En julio de 2023, la posición común del Consejo Europeo mantuvo en general la posición de la Comisión Europea. Actualmente, la propuesta sigue debatiéndose en las instituciones de la UE y, tras la posición común del Consejo, habrá negociaciones con el Parlamento Europeo sobre la versión final de la ley.
