Anexo I

Requisitos esenciales de ciberseguridad

Parte I Requisitos de ciberseguridad relativos a las propiedades de los productos con elementos digitales

    1. Los productos con elementos digitales se diseñarán, desarrollarán y producirán de manera que garanticen un nivel adecuado de ciberseguridad sobre la base de los riesgos existentes.
    1. Sobre la base de la evaluación de riesgos de ciberseguridad a la que hace referencia el artículo 13, apartado 2, y cuando proceda, los productos con elementos digitales:
    • a) se comercializarán sin vulnerabilidades aprovechables conocidas;
    • b) se comercializarán con una configuración segura por defecto, a menos que el fabricante y el usuario profesional acuerden otra cosa en relación con un producto a medida con elementos digitales, incluida la posibilidad de restablecer el producto a su estado original;
    • c) garantizarán que las vulnerabilidades puedan abordarse mediante actualizaciones de seguridad, incluidas, cuando proceda, las actualizaciones automáticas de seguridad instaladas en un plazo adecuado habilitadas como configuración por defecto, con un mecanismo de exclusión voluntaria claro y fácil de utilizar, mediante la notificación de las actualizaciones disponibles a los usuarios y la opción de posponerlas temporalmente;
    • d) garantizarán la protección contra el acceso no autorizado mediante mecanismos de control adecuados, incluidos, entre otros, sistemas de gestión de la autenticación, la identidad o el acceso, e informarán de posibles accesos no autorizados;
    • e) protegerán la confidencialidad de los datos personales o de otro tipo almacenados, transmitidos o tratados de otro modo, mediante, por ejemplo, el cifrado de los datos en reposo o en tránsito pertinentes por medio de mecanismos de última tecnología, o mediante la utilización de otros medios técnicos;
    • f) protegerán la integridad de los datos personales o de otro tipo almacenados, transmitidos o tratados de otro modo, los comandos, los programas y la configuración frente a toda manipulación o modificación no autorizada por el usuario, e informarán sobre los casos de corrupción de datos;
    • g) tratarán únicamente los datos personales o de otro tipo que sean adecuados, pertinentes y limitados a lo que sea necesario para la finalidad prevista del producto con elementos digitales («minimización de datos»);
    • h) protegerán la disponibilidad de funciones esenciales y básicas, también tras un incidente, también mediante medidas de resiliencia frente a ataques de denegación de servicio y paliativas de sus efectos;
    • i) minimizarán las repercusiones negativas de los propios productos o de los dispositivos conectados en la disponibilidad de servicios prestados por otros dispositivos o redes;
    • j) estarán diseñados, desarrollados y producidos para limitar las superficies de ataque, incluidas las interfaces externas;
    • k) estarán diseñados, desarrollados y producidos para reducir el impacto de un incidente, por medio de mecanismos y técnicas adecuados para paliar el aprovechamiento de las vulnerabilidades;
    • l) proporcionarán información relacionada con la seguridad mediante el registro o el seguimiento de la actividad interna pertinente, incluidos el acceso a datos, servicios o funciones y la modificación de estos, con un mecanismo de exclusión voluntaria para el usuario;
    • m) ofrecerán a los usuarios la posibilidad de eliminar de manera segura y fácil, de forma permanente, todos los datos y parámetros y, cuando esos datos puedan transferirse a otros productos o sistemas, garantizarán que esto se haga de manera segura.

Parte II Requisitos de gestión de las vulnerabilidades

Los fabricantes de los productos con elementos digitales:

    1. identificarán y documentarán las vulnerabilidades y los componentes presentes en el producto con elementos digitales, también mediante la elaboración de una nomenclatura de materiales de los programas informáticos en un formato comúnmente utilizado y legible por máquina, que incluya, como mínimo, las dependencias de máximo nivel del producto;
    1. por lo que respecta a los riesgos para los productos con elementos digitales, abordarán y subsanarán las vulnerabilidades sin demora, también mediante la provisión de actualizaciones de seguridad; cuando sea técnicamente viable, las nuevas actualizaciones de seguridad se facilitarán por separado con respecto a las actualizaciones de funcionalidad;
    1. llevarán a cabo exámenes y pruebas eficaces y periódicos de la seguridad del producto con elementos digitales;
    1. una vez esté disponible una actualización de seguridad, compartirán y divulgarán públicamente información sobre las vulnerabilidades solucionadas, incluidas una descripción de las vulnerabilidades, información que permita a los usuarios identificar el producto con elementos digitales afectado, las repercusiones y la gravedad de las vulnerabilidades e información clara y accesible que ayude a los usuarios a corregir las vulnerabilidades; en casos debidamente justificados, cuando los fabricantes consideren que los riesgos para la seguridad de la publicación superan los beneficios en materia de seguridad, podrán retrasar la publicación de información sobre una vulnerabilidad solucionada hasta que se haya dado a los usuarios la posibilidad de aplicar el parche correspondiente;
    1. pondrán en marcha y aplicarán una política de divulgación coordinada de vulnerabilidades;
    1. adoptarán medidas para facilitar el intercambio de información sobre posibles vulnerabilidades de su producto con elementos digitales, así como de los componentes de terceros presentes en el producto, también proporcionando una dirección de contacto para la notificación de las vulnerabilidades descubiertas en el producto con elementos digitales;
    1. preverán mecanismos para distribuir de manera segura las actualizaciones de los productos con elementos digitales, con el fin de garantizar que las vulnerabilidades se solucionen o se reduzcan de manera oportuna y, cuando proceda para las actualizaciones automáticas, de una manera automática;
    1. garantizarán que, cuando se disponga de actualizaciones de seguridad para hacer frente a los problemas de seguridad detectados, estos se difundan sin demora y, a menos que el fabricante y el usuario profesional acuerden otra cosa en relación con un producto a medida con elementos digitales, de forma gratuita, acompañados de mensajes de aviso que proporcionen a los usuarios la información pertinente, también en relación con las posibles medidas que deban adoptarse.