"La Comisión ha presentado una propuesta de nueva Ley de Ciberresistencia para proteger a los consumidores y a las empresas de los productos con características de seguridad inadecuadas", siendo ésta "una primera legislación de este tipo en toda la UE [que] introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales, a lo largo de su ciclo de vida", anuncia el Ejecutivo comunitario en un comunicado.
Siguiendo una estrategia de ciberseguridad esbozada por el ejecutivo de la UE hace un año, la nueva legislación pretende garantizar que "los productos digitales, como los productos inalámbricos y por cable y los programas informáticos, sean más seguros para los consumidores de toda la UE".
En concreto, "además de aumentar la responsabilidad de los fabricantes, obligándoles a proporcionar soporte de seguridad y actualizaciones de software para solucionar las vulnerabilidades detectadas, permitirá a los consumidores disponer de información suficiente sobre la ciberseguridad de los productos que compran y utilizan", añade Bruselas.
El reglamento propuesto se aplica a todos los productos que están directa o indirectamente conectados a otro dispositivo o red, aunque se prevén algunas excepciones para los productos cuyos requisitos de ciberseguridad ya están establecidos en las normas vigentes de la UE, por ejemplo para los dispositivos médicos, la aviación o los automóviles. Las aplicaciones móviles y los videojuegos también están cubiertos, según la institución
La legislación prevé que, "para garantizar el cumplimiento efectivo de las obligaciones establecidas en la presente ley, cada autoridad de vigilancia del mercado estará facultada para imponer o solicitar la imposición de multas administrativas".
En caso de incumplimiento de los requisitos esenciales de ciberseguridad, están en juego multas de hasta 15 millones de euros o, si el infractor es una empresa, de hasta el 2,5% de su volumen de negocios total anual a nivel mundial correspondiente al ejercicio anterior. El incumplimiento de cualquier otra obligación prevista en este reglamento está sujeto a multas administrativas de hasta 10 millones o, si el infractor es una empresa, de hasta el 2% de su volumen de negocios anual.
Por otra parte, el suministro de información incorrecta, incompleta o engañosa a los organismos notificados y a las autoridades de vigilancia del mercado en respuesta a una solicitud, está sujeto a multas de hasta 5 millones de euros o, si el infractor es una empresa, de hasta el 1% de su volumen de negocios anual, según el reglamento propuesto.
Ahora corresponderá al Parlamento Europeo y al Consejo deliberar sobre la propuesta de Ley de Ciberresistencia, y Bruselas destaca "la buena voluntad" de los colegisladores y espera que esta iniciativa avance rápidamente.
Tras la entrada en vigor, las partes interesadas tendrán 24 meses para adaptarse a los nuevos requisitos, con la excepción de un período de gracia más limitado de 12 meses en relación con la obligación de informar para los fabricantes.
Los datos del Centro Común de Investigación de la Comisión Europea para 2021 revelan que los ataques de ransomware afectan a una organización cada 11 segundos en todo el mundo y que el coste global anual de la ciberdelincuencia se estima en 5,5 billones de euros.
También se calcula que el coste anual de las violaciones de datos es de al menos 10.000 millones de euros, mientras que el coste anual de los intentos maliciosos de interrumpir el tráfico de Internet se estima en 65.000 millones de euros.