|
16.3.2023 |
ES |
Diario Oficial de la Unión Europea |
C 100/101 |
Dictamen del Comité Económico y Social Europeo sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de la ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020
[COM(2022) 454 final — 2022/0272 (COD)]
(2023/C 100/15)
|
Ponente: |
Maurizio MENSI |
|
Coponente: |
Marinel Dănuț MURESAN |
|
Consulta |
Parlamento Europeo, 9.11.2022 Consejo de la Unión Europea, 28.10.2022 |
|
Base jurídica |
Artículo 114 del Tratado de Funcionamiento de la Unión Europea |
|
Sección competente |
Mercado Único, Producción y Consumo |
|
Aprobado en sección |
10.11.2022 |
|
Aprobado en el pleno |
14.12.2022 |
|
Pleno n.o |
574 |
|
Resultado de la votación (a favor/en contra/abstenciones) |
177/0/0 |
1. Conclusiones y recomendaciones
|
1.1. |
El CESE acoge favorablemente la propuesta de la Comisión de una ley de ciberresiliencia (en lo sucesivo CRA, siglas en inglés de Cyber Resilience Act) destinada a establecer normas más estrictas en materia de ciberseguridad que permitan crear un sistema fiable para los operadores económicos y garantizar que la ciudadanía de la UE pueda utilizar los productos del mercado de forma segura. De hecho, esta iniciativa forma parte de la Estrategia Europea de Datos, que refuerza la seguridad de los datos, incluidos los personales, y los derechos fundamentales, requisitos esenciales para nuestra sociedad digital. |
|
1.2. |
El CESE considera esencial reforzar la respuesta colectiva contra los ciberataques y consolidar el proceso de armonización en materia de ciberseguridad a escala nacional en lo que respecta a las normas y los instrumentos operativos, a fin de evitar que los diferentes enfoques nacionales creen inseguridad y obstáculos jurídicos. |
|
1.3. |
El CESE acoge favorablemente la iniciativa de la Comisión, que no solo contribuirá a reducir los importantes costes para las empresas causados por los ciberataques, sino que también permitirá a la ciudadanía y los consumidores beneficiarse de una mejor protección de sus derechos fundamentales, como la privacidad. En particular, la Comisión demuestra tener en cuenta las necesidades específicas de las pymes a la hora de prestar sus servicios; sin embargo, el CESE señala que convendría aclarar los criterios de aplicación. |
|
1.4. |
El CESE considera importante subrayar que, si bien es encomiable que la CRA cubra la práctica totalidad de los productos digitales, podrían surgir problemas en su aplicación práctica, debido al complejo y considerable trabajo de verificación y control que ello conlleva. De ahí la necesidad de reforzar las herramientas de seguimiento y verificación. |
|
1.5. |
El CESE señala la necesidad de aclarar con precisión el ámbito de aplicación material de la CRA, en particular en lo relativo a los productos con elementos digitales y al software. |
|
1.6. |
El CESE observa que los fabricantes estarán obligados a notificar a la Agencia de la Unión Europea para la Ciberseguridad (ENISA), por un lado, las vulnerabilidades de los productos y, por otro, los posibles incidentes de seguridad. A este respecto, es importante que se dote a la Agencia de los recursos necesarios para desempeñar de manera oportuna y eficaz las importantes y delicadas tareas que se le asignen. |
|
1.7. |
Con el fin de evitar cualquier incertidumbre relacionada con la interpretación, el CESE propone que la Comisión elabore directrices para orientar a los fabricantes y a los consumidores sobre las normas y procedimientos específicos aplicables, ya que varios productos incluidos en el ámbito de aplicación de la propuesta también están sujetos a otras normas en materia de ciberseguridad. A este respecto, también sería importante que, en particular, las pymes y las microempresas tuvieran acceso a un apoyo especializado cualificado, capaz de prestar servicios profesionales específicos. |
|
1.8. |
El CESE señala que la relación entre las autoridades de certificación en el marco de la CRA y otros organismos facultados para certificar la ciberseguridad en virtud de otras disposiciones reglamentarias no parece del todo clara. También puede surgir el mismo problema de coordinación operativa entre las autoridades de vigilancia previstas en la propuesta objeto de examen y las que ya operan con arreglo a otras normas aplicables a los mismos productos. |
|
1.9. |
El CESE señala que la propuesta conlleva una cantidad considerable de trabajo y responsabilidad para las autoridades de certificación, cuya concreta operabilidad debe garantizarse. Con ello también se pretende evitar que la CRA dé lugar a una mayor carga burocrática en detrimento de los fabricantes, que tendrían que cumplir una serie de obligaciones adicionales de certificación para poder seguir operando en el mercado. |
2. Análisis de la propuesta
|
2.1. |
Con la propuesta de la CRA, la Comisión prevé racionalizar y redefinir la normativa vigente en materia de ciberseguridad de forma orgánica y horizontal, así como actualizarla a la luz de las innovaciones tecnológicas. |
|
2.2. |
La CRA persigue esencialmente cuatro objetivos: garantizar que los fabricantes mejoren la seguridad de los productos que tienen elementos digitales en la fase de diseño y desarrollo y a lo largo de todo su ciclo de vida; garantizar un marco coherente de normas de ciberseguridad, facilitando su cumplimiento por parte de los fabricantes de hardware y software; mejorar la transparencia de las características de seguridad de los productos con elementos digitales; y permitir que las empresas y los consumidores utilicen estos productos de manera segura. En esencia, la propuesta introduce un marcado CE sobre ciberseguridad que ha de colocarse en todos los productos cubiertos por la CRA. |
|
2.3. |
Se trata de una intervención horizontal con la que la Comisión pretende regular de forma orgánica la entera materia, ya que abarca prácticamente todos los productos con componentes digitales. Solo se excluyen los productos de carácter médico y los relacionados con la aviación civil, los vehículos y los productos militares. La propuesta tampoco cubre los servicios SaaS (en la nube), a menos que estos sirvan para la elaboración de productos con elementos digitales. |
|
2.4. |
La definición de «productos con elementos digitales» es muy amplia e incluye cualquier producto de software o hardware, así como cualquier software o hardware no incorporado al producto pero introducido en el mercado por separado. |
|
2.5. |
La legislación introduce requisitos obligatorios de ciberseguridad a lo largo de todo el ciclo de vida para los productos que tienen componentes digitales, pero no sustituye a otros que ya existan. Por el contrario, los productos que ya hayan sido certificados como conformes con las normas de la UE preexistentes también se considerarán «válidos» con arreglo al nuevo Reglamento. |
|
2.6. |
El principio básico general es que en Europa solo se comercialicen productos «seguros», cuyos fabricantes se comporten de tal modo que estos productos sigan siendo seguros a lo largo de todo su ciclo de vida. |
|
2.7. |
Un producto se considera «seguro» si está diseñado y fabricado de manera que tenga un nivel de seguridad adecuado a los riesgos cibernéticos que conlleva su uso, no presenta vulnerabilidades conocidas en el momento de su venta, tiene una configuración segura por defecto, está protegido de conexiones ilícitas, protege los datos que recopila y si esta recopilación se limita a aquellos datos que sean necesarios para su funcionamiento. |
|
2.8. |
Se considera que un fabricante es apto para comercializar sus productos si pone a disposición la lista de los diversos componentes de software de sus productos, emite rápidamente soluciones gratuitas en caso de nuevas vulnerabilidades, publica y detalla las vulnerabilidades que detecta y resuelve y verifica periódicamente la «solidez» de los productos que comercializa. Estas y otras actividades impuestas por la CRA deben llevarse a cabo durante toda la vida de un producto, o al menos durante cinco años a partir de su introducción en el mercado. El fabricante debe garantizar la eliminación de las vulnerabilidades mediante actualizaciones periódicas del software. |
|
2.9. |
Según un principio general aplicado en varios sectores, las obligaciones también se imponen a los importadores y a los distribuidores. |
|
2.10. |
La CRA proporciona una macrocategoría de los llamados productos y software«normales» para los que se puede confiar en una autoevaluación del fabricante, como ya ocurre con otros tipos de certificación del marcado CE. Según la Comisión, el 90 % de los productos presentes en el mercado pertenecen a esta categoría. |
|
2.11. |
Los productos en cuestión pueden introducirse en el mercado tras una autoevaluación de su ciberseguridad por parte del fabricante, que presenta la documentación adecuada establecida por las directrices de la normativa. Este fabricante deberá repetir la evaluación si se modifica el producto. |
|
2.12. |
El 10 % restante de los productos se divide en otras dos categorías (clase I, menos peligrosos, y clase II, más peligrosos), cuya introducción en el mercado requiere una mayor atención. Se trata de los denominados «productos críticos con elementos digitales», cuyo fallo puede dar lugar a otras infracciones de la seguridad peligrosas y más amplias. |
|
2.13. |
En el caso de los productos de estas dos clases, las autocertificaciones básicas solo son admisibles si el fabricante demuestra que ha seguido normas específicas de mercado y especificaciones de seguridad o certificaciones de ciberseguridad ya previstas por la UE. De no ser así, puede obtener la certificación del producto por parte de un organismo de certificación acreditado, lo que es obligatorio para los productos de la clase II. |
|
2.14. |
El sistema de clasificación de los productos en categorías de riesgo también figura en la propuesta de Ley de Inteligencia Artificial (IA). Para evitar dudas sobre las disposiciones aplicables, la CRA considera los productos con elementos digitales clasificados también como «sistemas de IA de alto riesgo» con arreglo a la propuesta sobre la IA. Por lo general, estos productos tendrán que cumplir el procedimiento de evaluación de conformidad establecido en la Ley de IA, excepto en el caso de los «productos digitales críticos», a los que se aplicarán las normas de evaluación de la conformidad de la CRA, además de los «requisitos esenciales de la CRA». |
|
2.15. |
Con el fin de garantizar el cumplimiento de la CRA, se prevé una actividad de supervisión que cada Estado miembro deberá encomendar a una autoridad nacional. Tal y como ocurre con la legislación relativa a la seguridad de otros productos, si una autoridad nacional considera que dejan de darse las características que hacen que un producto sea seguro en términos de ciberseguridad, su comercialización puede suspenderse en el Estado en cuestión. La ENISA tiene competencias para evaluar en detalle un producto notificado, y si de sus evaluaciones emerge que un producto no resulta seguro, ello puede dar lugar a la suspensión de su comercialización en la UE. |
|
2.16. |
El sistema de sanciones de la CRA viene dado por una serie de penalizaciones —en función de la gravedad de la infracción— que, en caso de incumplimiento de los requisitos esenciales para la ciberseguridad de los productos, pueden ascender a 15 millones EUR o al 2,5 % del volumen de negocios del ejercicio fiscal anterior. |
3. Observaciones
|
3.1. |
El CESE acoge favorablemente la iniciativa de la Comisión de introducir una pieza clave dentro del mosaico normativo más amplio en materia de ciberseguridad, que se concierta y complementa con la Directiva SRI (1) y la Ley de ciberseguridad (2). Unas normas estrictas en materia de ciberseguridad desempeñan un papel fundamental en la creación de un sistema de ciberseguridad sólido de la UE para todos los operadores económicos, lo que contribuye a garantizar que la ciudadanía de la UE pueda utilizar todos los productos del mercado de forma segura y a reforzar su confianza en el mundo digital. |
|
3.2. |
El Reglamento aborda, por tanto, dos cuestiones: el bajo nivel de seguridad informática de muchos de los productos y, sobre todo, el hecho de que muchos fabricantes no proporcionan actualizaciones para corregir las vulnerabilidades. Si bien es cierto que los fabricantes de productos con elementos digitales a veces sufren daños a la reputación cuando sus productos carecen de seguridad, el coste de las vulnerabilidades recae principalmente en los usuarios profesionales y en los consumidores. Esto limita los incentivos de los fabricantes tanto para invertir en el diseño y en el desarrollo de productos seguros como para proporcionar actualizaciones de seguridad. Además, las empresas y los consumidores a menudo carecen de información suficiente y precisa a la hora de elegir productos seguros, y con frecuencia no saben cómo comprobar si los productos que adquieren están configurados de forma segura. Las nuevas normas cubren estas dos cuestiones al abordar la cuestión de las actualizaciones y del suministro de información actualizada a los clientes. El CESE opina, en este sentido, que el Reglamento propuesto, si se aplica correctamente, podría convertirse en una referencia y un modelo a escala internacional en materia de ciberseguridad. |
|
3.3. |
El CESE acoge favorablemente la propuesta de introducir requisitos de seguridad informática para los productos con elementos digitales. Sin embargo, será importante evitar solapamientos con otras disposiciones reglamentarias existentes sobre esta cuestión, como la nueva Directiva SRI 2 (3) y la Ley de IA. |
|
3.4. |
El CESE considera importante señalar que, si bien es encomiable que la CRA cubra la práctica totalidad de los productos digitales, podrían surgir problemas en su aplicación práctica, debido al considerable trabajo de verificación y control que ello conlleva. |
|
3.5. |
El ámbito de aplicación material de la CRA es amplio y abarca todos los productos con elementos digitales. De acuerdo con la definición propuesta, se incluyen todos los productos de software y hardware, así como las operaciones de tratamiento de datos conexas. El CESE propone que la Comisión aclare si todo el software entra en el ámbito de aplicación de la propuesta de Reglamento. |
|
3.6. |
Los fabricantes estarán obligados a notificar, por un lado, las vulnerabilidades explotadas activamente y, por otro, los incidentes de seguridad. Deberán informar a la ENISA de toda vulnerabilidad explotada activamente que contenga el producto y (por separado) de cualquier incidente que repercuta en la seguridad de este, siempre en un plazo de veinticuatro horas a partir del momento en el que se tenga conocimiento de ello. A este respecto, el CESE señala la necesidad de que la ENISA cuente con los recursos adecuados, a nivel tanto de efectivos como de competencias profesionales, para poder desempeñar eficazmente las importantes y delicadas tareas que se le asignen en virtud del Reglamento. |
|
3.7. |
El hecho de que algunos productos incluidos en el ámbito de aplicación de la propuesta también estén sujetos a otras disposiciones legislativas en materia de ciberseguridad podría generar incertidumbre en cuanto a la legislación aplicable. Aunque la CRA prevea ser coherente con el actual marco reglamentario de la UE relativo a los productos y con otras propuestas actualmente en curso en el contexto de la Estrategia Digital de la UE, normas como las aplicables a los productos de inteligencia artificial de alto riesgo —por poner un ejemplo— se solapan con las del Reglamento General de Protección de Datos. A este respecto, el CESE propone que la Comisión elabore directrices para orientar a los fabricantes y a los consumidores sobre su correcta aplicación. |
|
3.8. |
El CESE señala que la relación entre las autoridades de certificación en el marco de la CRA y otros organismos facultados para certificar la ciberseguridad en virtud de otras normativas igualmente aplicables no parece del todo clara. |
|
3.9. |
Por otro lado, una considerable carga de trabajo y responsabilidad recaerá en estas autoridades de certificación, cuya concreta operabilidad debe verificarse y garantizarse, de lo contrario la CRA podría conllevar una carga burocrática aún mayor de la ya prevista para operar en el mercado, en detrimento de los fabricantes. A este respecto, también sería importante que, en particular, las pymes y las microempresas tuvieran acceso a un apoyo especializado cualificado, capaz de prestar servicios profesionales específicos. |
|
3.10. |
La CRA exige que las autoridades de certificación tengan en cuenta las necesidades específicas de las pymes a la hora de prestar sus servicios; sin embargo, el CESE señala que convendría aclarar los criterios de aplicación. |
|
3.11. |
También puede surgir un problema de coordinación entre las autoridades de vigilancia previstas en el Reglamento objeto de examen y las que ya operan con arreglo a otras normas aplicables a los mismos productos. Por lo tanto, el CESE propone que la Comisión pida a los Estados miembros que ejerzan una labor de control y, en su caso, adopten medidas para remediar esta situación. |
Bruselas, 14 de diciembre de 2022.
La Presidenta del Comité Económico y Social Europeo
Christa SCHWENG
(1) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).
(2) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
(3) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).