Considerandos

La ciberseguridad es uno de los principales retos para la Unión. El número y la variedad de dispositivos conectados aumentará exponencialmente en los próximos años. Los ciberataques constituyen un asunto de interés público, ya que tienen un impacto crítico no solo en la economía de la Unión, sino también en la democracia y en la salud y la seguridad de los consumidores. Por lo tanto, es necesario reforzar el enfoque de la Unión respecto a la ciberseguridad, abordar la ciberresiliencia a escala de la Unión y mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme relativo a los requisitos esenciales de ciberseguridad para la introducción de productos con elementos digitales en el mercado la Unión. Deben abordarse dos problemas importantes que suponen un aumento de los costes para los usuarios y la sociedad: un bajo nivel de ciberseguridad de los productos con elementos digitales, que se refleja en vulnerabilidades generalizadas y en la oferta insuficiente e incoherente de actualizaciones de seguridad para hacerles frente, y la insuficiencia de la comprensión de la información y del acceso a ella por parte de los usuarios, que les impide elegir productos con las características de ciberseguridad adecuadas o utilizarlos de manera segura.

Top of page

El presente Reglamento tiene por objeto fijar condiciones límite que permitan el desarrollo de productos con elementos digitales seguros, garantizando que los productos consistentes en equipos y programas informáticos se introduzcan en el mercado con menos vulnerabilidades y que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida de un producto. También aspira a crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de elegir y utilizar productos con elementos digitales, por ejemplo, mejorando la transparencia con respecto al período de soporte de los productos con elementos digitales comercializados.

Top of page

El Derecho pertinente de la Unión en vigor está compuesto por varios conjuntos de normas horizontales que abordan determinados aspectos relacionados con la ciberseguridad desde diferentes perspectivas, incluidas medidas para mejorar la seguridad de la cadena de suministro digital. Sin embargo, el Derecho vigente de la Unión relativo a la ciberseguridad, incluidos el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo y la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo , no aborda de manera directa los requisitos obligatorios para la seguridad de los productos con elementos digitales.

Top of page

Aunque el Derecho vigente de la Unión se aplica a determinados productos con elementos digitales, no existe un marco regulador horizontal de la Unión que establezca requisitos de ciberseguridad exhaustivos para todos los productos con elementos digitales. Los diversos actos e iniciativas adoptados hasta la fecha a escala nacional y de la Unión abordan solo de manera parcial los problemas y riesgos detectados en relación con la ciberseguridad, creando un mosaico legislativo dentro del mercado interior, aumentando la inseguridad jurídica tanto para los fabricantes como para los usuarios de dichos productos y añadiendo una carga innecesaria a las empresas y las organizaciones vinculadas al cumplimiento de una serie de requisitos y obligaciones para tipos de productos similares. La ciberseguridad de esos productos tiene una dimensión transfronteriza de particular importancia, ya que los productos con elementos digitales fabricados en un Estado miembro o en un país tercero suelen ser utilizados por organizaciones y consumidores en todo el mercado interior. Por todo ello se hace necesario regular este ámbito a escala de la Unión para garantizar un marco regulador armonizado y la seguridad jurídica para los usuarios, las organizaciones y las empresas, incluidas las microempresas y las pequeñas y medianas empresas, tal como se definen en el anexo de la Recomendación 2003/361/CE de la Comisión . El panorama normativo de la Unión debe armonizarse mediante la introducción de requisitos horizontales de ciberseguridad para los productos con elementos digitales. Además, debe garantizarse en toda la Unión una mayor seguridad jurídica para los operadores económicos y los usuarios, así como una mejor armonización del mercado interior, de una forma proporcional para las microempresas y las pequeñas y medianas empresas, y de este modo establecer condiciones más viables para los operadores económicos que deseen acceder a dicho mercado.

Top of page

Por lo que se refiere a las microempresas y a las pequeñas y medianas empresas, a la hora de determinar la categoría a la que pertenece una empresa, deben aplicarse en su totalidad las disposiciones del anexo de la Recomendación 2003/361/CE. Por lo tanto, al calcular los efectivos y los límites financieros que determinan las categorías de empresas, también deben aplicarse las disposiciones del artículo 6 del anexo de la Recomendación 2003/361/CE, sobre la determinación de los datos de una empresa, como las empresas asociadas o las empresas vinculadas.

Top of page

La Comisión debe proporcionar orientaciones para ayudar a los operadores económicos, en particular a las microempresas y a las pequeñas y medianas empresas, en la aplicación del presente Reglamento. Esas orientaciones deben abarcar, entre otros aspectos, el ámbito de aplicación del presente Reglamento, en particular el tratamiento de datos a distancia y sus implicaciones para los desarrolladores de programas informáticos libres y de código abierto, la aplicación de los criterios utilizados para determinar los períodos de soporte de los productos con elementos digitales, la interacción entre el presente Reglamento y el resto del Derecho de la Unión y el concepto de modificación sustancial.

Top of page

A escala de la Unión, diversos documentos programáticos y políticos, como la Comunicación conjunta de la Comisión y del alto representante de la Unión para Asuntos Exteriores y Política de Seguridad, de 16 de diciembre de 2020, titulada «Estrategia de Ciberseguridad de la UE para la Década Digital», las Conclusiones del Consejo, de 2 de diciembre de 2020, sobre la ciberseguridad de los dispositivos conectados, y de 23 de mayo de 2022, sobre el desarrollo de la posición de la Unión Europea en materia de ciberseguridad y la Resolución del Parlamento Europeo, de 10 de junio de 2021, sobre la Estrategia de Ciberseguridad de la UE para la Década Digital , han hecho un llamamiento a que se establezcan requisitos específicos de ciberseguridad de la Unión para los productos digitales o conectados, y varios terceros países han introducido por iniciativa propia medidas para abordar esta cuestión. En el informe final de la Conferencia sobre el Futuro de Europa, los ciudadanos pidieron «reforzar el papel de la Unión en la lucha contra las amenazas a la ciberseguridad». A fin de que la Unión desempeñe internacionalmente un papel protagonista en materia de ciberseguridad, es importante establecer un marco normativo general ambicioso.

Top of page

Para aumentar el nivel general de ciberseguridad de todos los productos con elementos digitales que se comercialicen en el mercado interior, es necesario disponer de requisitos esenciales de ciberseguridad orientados a objetivos y tecnológicamente neutros que se apliquen horizontalmente a esos productos.

Top of page

En determinadas condiciones, todos los productos con elementos digitales integrados en un sistema electrónico de información más amplio o conectados a este pueden servir de vector de ataque para agentes malintencionados. En consecuencia, incluso los equipos y programas informáticos considerados menos críticos pueden facilitar que un dispositivo o red se vea comprometido en una fase inicial, lo que permite a los agentes malintencionados obtener un acceso privilegiado a un sistema o moverse lateralmente entre sistemas. Por consiguiente, los fabricantes deben garantizar que todos los productos con elementos digitales se diseñen y desarrollen de conformidad con los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento. Esta obligación se refiere tanto los productos que puedan conectarse físicamente, a través de interfaces en los equipos informáticos, como los que se conecten mediante conexiones lógicas, a través, por ejemplo, de zócalos, conductos, archivos, interfaces de programación de aplicaciones o cualquier otro tipo de interfaz de programa. Teniendo en cuenta que las amenazas a la ciberseguridad pueden propagarse a través de diversos productos con elementos digitales antes de alcanzar un objetivo determinado, por ejemplo, mediante el aprovechamiento sucesivo de múltiples vulnerabilidades, los fabricantes también deben garantizar la ciberseguridad de los productos cuya conexión a otros dispositivos o redes es indirecta.

Top of page

El establecimiento de requisitos de ciberseguridad para la introducción en el mercado de productos con elementos digitales persigue la mejora de la ciberseguridad de dichos productos tanto para los consumidores como para las empresas. Esos requisitos garantizarán asimismo que se tenga en cuenta la ciberseguridad a lo largo de todas las cadenas de suministro, mejorando así la seguridad de los productos finales con elementos digitales. Entre ellos se incluyen requisitos para la introducción en el mercado de productos de consumo con elementos digitales destinados a consumidores vulnerables, como juguetes y sistemas de vigilancia de bebés. Los productos de consumo con elementos digitales clasificados en el presente Reglamento como productos importantes con elementos digitales presentan un mayor riesgo de ciberseguridad al desempeñar una función que conlleva un riesgo significativo de efectos adversos en términos de intensidad y capacidad para dañar la salud, la protección o la seguridad de los usuarios de dichos productos, y deben someterse a un procedimiento de evaluación de la conformidad más estricto. Ello se aplica a productos como los domésticos inteligentes con funcionalidades de seguridad, incluidas las cerraduras inteligentes de puertas, los sistemas de vigilancia de bebés y los sistemas de alarma, los juguetes conectados y las tecnologías sanitarias personales ponibles. Además, los procedimientos de evaluación de la conformidad más estrictos que deben someterse otros productos con elementos digitales clasificados en el presente Reglamento como productos importantes o críticos con elementos digitales contribuirán a prevenir los posibles efectos negativos de la explotación de las vulnerabilidades para los consumidores.

Top of page

El presente Reglamento tiene por objeto garantizar un elevado nivel de ciberseguridad en productos con elementos digitales y sus soluciones de tratamiento de datos a distancia integradas. Tales soluciones de tratamiento de datos deben definirse como todo tratamiento de datos a distancia para el que el programa informático haya sido diseñado y desarrollado por el fabricante del producto con elementos digitales en cuestión o en su nombre, y cuya ausencia impediría que el producto con elementos digitales cumpliera alguna de sus funciones. Este enfoque garantiza que esos productos estén adecuadamente protegidos en su totalidad por sus fabricantes, con independencia de que los datos sean tratados o almacenados localmente en el dispositivo del usuario o a distancia por el fabricante. Al mismo tiempo, el tratamiento o el almacenamiento a distancia entran en el ámbito de aplicación del presente Reglamento únicamente en la medida en que sea necesario para que un producto con elementos digitales desempeñe sus funciones. Este tratamiento o almacenamiento a distancia incluye la situación en la que una aplicación móvil requiere el acceso a una interfaz de programación de aplicaciones o a una base de datos facilitada por medio de un servicio desarrollado por el fabricante. En tal caso, el servicio entra en el ámbito de aplicación del presente Reglamento como solución de tratamiento de datos a distancia. Los requisitos relativos a las soluciones de tratamiento de datos a distancia que entran en el ámbito de aplicación del presente Reglamento no implican, por tanto, medidas técnicas, operativas u organizativas destinadas a gestionar los riesgos para la seguridad de las redes y los sistemas de información de un fabricante en su conjunto.

Top of page

Las soluciones en la nube solo constituyen soluciones de tratamiento de datos a distancia en el sentido del presente Reglamento si se ajustan a la definición establecida en el presente Reglamento. Por ejemplo, las funciones habilitadas en la nube y prestadas por el fabricante de dispositivos para el hogar inteligente que permiten a los usuarios controlar el dispositivo de que se trate a distancia, entran en el ámbito de aplicación del presente Reglamento. Por otra parte, los sitios web que no admiten la funcionalidad de un producto con elementos digitales o los servicios en la nube diseñados y desarrollados fuera de la responsabilidad de un fabricante de un producto con elementos digitales no entran en el ámbito de aplicación del presente Reglamento. La Directiva (UE) 2022/2555 se aplica a los servicios de computación en la nube y a los modelos de servicios en nube, como la infraestructura como servicio (IaaS), la plataforma como servicio (PaaS), el software como servicio (SaaS) y la red como servicio (NaaS). Las entidades que presten servicios de computación en la nube en la Unión que se consideren medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE, o que superen los límites máximos para las medianas empresas previstos en el apartado 1 de ese artículo, entran en el ámbito de aplicación de la Directiva.

Top of page

De acuerdo con el objetivo del presente Reglamento de eliminar las barreras a la libre circulación de los productos con elementos digitales, los Estados miembros no impedirán, para las cuestiones reguladas en el presente Reglamento, la comercialización de productos con elementos digitales que sean conformes con el presente Reglamento. Por consiguiente, para las cuestiones armonizadas por el presente Reglamento, los Estados miembros no pueden imponer requisitos de ciberseguridad adicionales para la comercialización de productos con elementos digitales. No obstante, cualquier entidad, pública o privada, puede establecer requisitos adicionales a los establecidos en el presente Reglamento para la contratación o el uso de productos con elementos digitales para sus fines específicos y, por tanto, puede optar por utilizar productos con elementos digitales que cumplan requisitos de ciberseguridad más estrictos o específicos que los aplicables para la comercialización en virtud del presente Reglamento. Sin perjuicio de lo dispuesto en las Directivas 2014/24/UE y 2014/25/UE del Parlamento Europeo y del Consejo, al adquirir productos con elementos digitales que deben cumplir los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento, incluidos los relativos a la gestión de vulnerabilidades, los Estados miembros deben garantizar que esos requisitos se tengan en cuenta en el proceso de contratación pública y que también se tenga en cuenta la capacidad de los fabricantes para aplicar eficazmente las medidas de ciberseguridad y gestionar las ciberamenazas. Además, la Directiva (UE) 2022/2555 establece medidas para la gestión de riesgos de ciberseguridad para las entidades esenciales e importantes a que se refiere el artículo 3 de dicha Directiva que podrían implicar medidas de seguridad de la cadena de suministro que exijan el uso por dichas entidades de productos con elementos digitales que cumplan requisitos de ciberseguridad más estrictos que los establecidos en el presente Reglamento. De conformidad con la Directiva (UE) 2022/2555 y en consonancia con su principio de armonización mínima, los Estados miembros pueden, por tanto, imponer requisitos de ciberseguridad adicionales para el uso de productos de tecnologías de la información y comunicación (TIC) por parte de entidades esenciales o importantes en virtud de dicha Directiva, a fin de garantizar un mayor nivel de ciberseguridad, siempre que dichos requisitos sean coherentes con las obligaciones de los Estados miembros establecidas en el Derecho de la Unión. Las cuestiones no previstas en el presente Reglamento pueden incluir factores no técnicos relacionados con los productos con elementos digitales y sus fabricantes. Por consiguiente, los Estados miembros pueden establecer medidas nacionales, incluidas restricciones a los productos con elementos digitales o a los proveedores de esos productos que tengan en cuenta factores no técnicos. Las medidas nacionales relativas a tales factores deben ser conformes con el Derecho de la Unión.

Top of page

El presente Reglamento se entiende sin perjuicio de la responsabilidad de los Estados miembros para adoptar medidas que preserven la seguridad nacional, en cumplimiento del Derecho de la Unión. Los Estados miembros deben poder someter a medidas adicionales los productos con elementos digitales de los que hayan provisto, o que utilicen, con fines de seguridad nacional o defensa, siempre que dichas medidas sean coherentes con las obligaciones de los Estados miembros establecidas en el Derecho de la Unión.

Top of page

El presente Reglamento se aplica a los operadores económicos únicamente en relación con los productos con elementos digitales comercializados y, por tanto, suministrados para su distribución o uso en el mercado de la Unión en el transcurso de una actividad comercial. El suministro durante una actividad comercial puede caracterizarse no solo por la aplicación de un precio a un producto con elementos digitales, sino también por la aplicación de un precio a los servicios de asistencia técnica, cuando esta no se utilice únicamente para la recuperación de costes efectivos, mediante la intención de monetizar, por ejemplo por el suministro de una plataforma de software a través de la cual el fabricante monetiza otros servicios, requiriendo como condición para el uso el procesamiento de datos personales por razones distintas de las relacionadas exclusivamente con la mejora de la seguridad, la compatibilidad o la interoperabilidad del programa informático, o la aceptación de donaciones que excedan los costes asociados con el diseño, desarrollo y suministro de un producto con elementos digitales. La aceptación de donaciones sin la intención de obtener un beneficio no debe considerarse una actividad comercial.

Top of page

Los productos con elementos digitales proporcionados como parte de la prestación de un servicio por el que se cobra una tasa únicamente para recuperar los costes reales directamente relacionados con la explotación de dicho servicio, como puede ser el caso de determinados productos con elementos digitales proporcionados por entidades de la administración pública, no deben considerarse por esos mismos motivos una actividad comercial a efectos del presente Reglamento. Además, los productos con elementos digitales desarrollados o modificados por una entidad de la administración pública exclusivamente para su propio uso no deben considerarse comercializados en el sentido del presente Reglamento.

Top of page

Los programas informáticos y los datos que se compartan abiertamente y a los que los usuarios puedan acceder, usar, modificar y redistribuir con libertad (ya sean estos o versiones modificadas de ellos) pueden contribuir a la investigación e innovación en el mercado. Para promover el desarrollo y el despliegue de programas informáticos libres y de código abierto, en particular por parte de microempresas y pequeñas y medianas empresas, incluidas las empresas emergentes, los particulares y las organizaciones sin ánimo de lucro, y entidades y particulares dedicados a la investigación académica, la aplicación del presente Reglamento a los productos con elementos digitales considerados programas informáticos libres y de código abierto suministrados para la distribución o el uso durante una actividad comercial debe tener en cuenta la naturaleza de los diferentes modelos de desarrollo de programas informáticos distribuidos y desarrollados con arreglo programas informáticos libres y de código abierto.

Top of page

Un programa informático libre y de código abierto se entiende como un programa informático cuyo código fuente se comparte abiertamente y cuya licencia abarca todos los derechos para que el programa informático sea libremente accesible, utilizable, modificable y redistribuible. Los programas informáticos libres y de código abierto se desarrollan, mantienen y distribuyen abiertamente, también a través de plataformas en línea. En relación con los operadores económicos que entran en el ámbito de aplicación del presente Reglamento, solo deben entrar en el ámbito de aplicación del presente Reglamento los programas informáticos libres y de código abierto comercializados y, por tanto, suministrados para su distribución o uso en el transcurso de una actividad comercial. Por tanto, las circunstancias en las que el producto con elementos digitales se ha desarrollado el producto o el modo en que se ha financiado el desarrollo no se han de tener en cuenta a la hora de determinar el carácter comercial o no comercial de dicha actividad. Más concretamente, a efectos del presente Reglamento y en relación con los operadores económicos que entran en su ámbito de aplicación, a fin de garantizar que exista una distinción clara entre las fases de desarrollo y suministro, el suministro de productos con elementos digitales que se consideren programas informáticos libres y de código abierto que no sean monetizados por sus fabricantes no debe considerarse una actividad comercial. Además, el suministro de productos con elementos digitales que se consideren componentes de programas informáticos libres y de código abierto destinados a ser integrados por otros fabricantes en sus propios productos con elementos digitales no debe considerarse comercialización salvo que el componente sea monetizado por su fabricante original. Por ejemplo, el mero hecho de que un producto consistente en programas informáticos de código abierto con elementos digitales reciba apoyo financiero de los fabricantes o de que estos contribuyan al desarrollo de ese producto no debe determinar por sí solo que la actividad sea de carácter comercial. Además, la mera presencia de liberaciones periódicas no debe llevar por sí misma a la conclusión de que un producto con elementos digitales se suministra en el transcurso de una actividad comercial. Por último, a efectos del presente Reglamento, el desarrollo de productos con elementos digitales que se consideren programas informáticos libres y de código abierto por parte de organizaciones sin ánimo de lucro no debe considerarse una actividad comercial, siempre que la organización se haya establecido de tal manera que se garantice que todos los ingresos después de los costes se utilicen para alcanzar objetivos sin ánimo de lucro. El presente Reglamento no se aplicará a las personas físicas o jurídicas que contribuyan con código fuente a productos con elementos digitales que se consideren programas informáticos libres y de código abierto que no estén bajo su responsabilidad.

Top of page

Teniendo en cuenta la importancia para la ciberseguridad de muchos productos con elementos digitales que se consideran programas informáticos libres y de código abierto que se publican, pero no se comercializan en el sentido del presente Reglamento, se debe aplicar a las personas jurídicas que prestan apoyo de forma sostenida para el desarrollo de esos productos destinados a actividades comerciales y que desempeñan un papel principal a la hora de garantizar la viabilidad de dichos productos (administradores de comunidad de programas informáticos de código abierto) un régimen regulador flexible y adaptado. Entre los administradores de comunidad programas informáticos de código abierto figuran determinadas fundaciones, así como entidades que desarrollan y publican programas informáticos libres y de código abierto en un contexto empresarial, incluidas las entidades sin ánimo de lucro. El régimen regulador debe tener en cuenta su naturaleza específica y su compatibilidad con el tipo de obligaciones impuestas. Solo debe abarcar los productos con elementos digitales calificados como programas informáticos libres y de código abierto que estén destinados en última instancia a actividades comerciales, como la integración en servicios comerciales o en productos monetizados con elementos digitales. A efectos de dicho régimen regulador, la intención de integración en productos monetizados con elementos digitales incluye los casos en que los fabricantes que integran un componente en sus propios productos con elementos digitales contribuyen al desarrollo de dicho componente de manera regular o prestan asistencia financiera periódica para garantizar la continuidad de un producto consistente en programas informáticos. La prestación de apoyo continuado al desarrollo de un producto con elementos digitales incluye, entre otras cosas, el alojamiento y la gestión de plataformas de colaboración para el desarrollo de programa informático, el alojamiento de códigos fuente o programas informáticos, la administración o gestión de productos con elementos digitales que se consideren programas informáticos libres y de código abierto, así como la dirección del desarrollo de dichos productos. Dado que el régimen regulador flexible y adaptado no somete a quienes intervienen en calidad de administradores de comunidad de programas informáticos de código abierto a las mismas obligaciones que quienes intervienen en calidad de fabricantes con arreglo al presente Reglamento, no debe permitirse que coloquen el marcado CE en los productos con elementos digitales cuyo desarrollo apoyan.

Top of page

El solo acto de albergar productos con elementos digitales en repositorios abiertos también a través de administradores de paquetes o en plataformas de colaboración no constituye en sí mismo una comercialización de un producto con elementos digitales. Los proveedores de esos servicios no deben ser considerados distribuidores salvo si comercializan esos programas informáticos y, por lo tanto, los suministran para su distribución o uso en el mercado de la Unión en el transcurso de una actividad comercial.

Top of page

Con el fin de apoyar y facilitar la diligencia debida de los fabricantes que integren componentes de programas informáticos libres y de código abierto que no estén sujetos a los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento en sus productos con elementos digitales, la Comisión debe poder establecer programas voluntarios de certificación de seguridad, bien mediante un acto delegado que complemente el presente Reglamento, bien solicitando un esquema europeo de certificación de la ciberseguridad con arreglo al artículo 48 del Reglamento (UE) 2019/881 que tenga en cuenta las especificidades de los modelos de desarrollo de programas informáticos libres y de código abierto. Los programas de verificación de seguridad deben concebirse de manera que no solo las personas físicas o jurídicas que desarrollen o contribuyan al desarrollo de un producto con elementos digitales que se consideren programas informáticos libres y de código abierto puedan iniciar o financiar una verificación de seguridad, sino también terceros, como los fabricantes que integren dichos productos en sus propios productos con elementos digitales, los usuarios o las administraciones públicas de la Unión y nacionales.

Top of page

En vista de los objetivos de ciberseguridad pública del presente Reglamento y con el fin de mejorar el conocimiento de la situación de los Estados miembros en lo que respecta a la dependencia de la Unión de los componentes consistentes en programas informáticos, en particular, de los componentes consistentes en programas informáticos potencialmente libres y de código abierto, un Grupo Específico de Cooperación Administrativa (ADCO, por sus siglas en inglés) establecido por el presente Reglamento debe poder decidir llevar a cabo conjuntamente una evaluación de la dependencia de la Unión. Las autoridades de vigilancia del mercado deben poder solicitar a los fabricantes de categorías de productos con elementos digitales establecidos por el ADCO que presenten las nomenclaturas de materiales de los programas informáticos (SBOM, por sus siglas en inglés) que hayan generado en virtud del presente Reglamento. Con el fin de proteger la confidencialidad de las SBOM, las autoridades de vigilancia del mercado deben presentar al ADCO la información pertinente sobre las dependencias de manera anonimizada y agregada.

Top of page

La eficacia de la aplicación del presente Reglamento dependerá también de la disponibilidad de capacidades adecuadas en materia de ciberseguridad. A escala de la Unión, varios documentos programáticos y políticos, incluida la Comunicación de la Comisión, de 18 de abril de 2023, titulada «Colmar la brecha de talento en materia de ciberseguridad para impulsar la competitividad, el crecimiento y la resiliencia de la UE» y las Conclusiones del Consejo, de 22 de mayo de 2023, sobre la política de ciberdefensa de la UE, reconocieron el déficit de capacidades en materia de ciberseguridad en la Unión y la necesidad de abordar estos retos con carácter prioritario, tanto en el sector público como en el privado. Con el fin de garantizar una aplicación efectiva del presente Reglamento, los Estados miembros deben asegurarse de que se disponga de los recursos adecuados para que las autoridades de vigilancia del mercado y los organismos de evaluación de la conformidad cuenten con personal adecuado para llevar a cabo sus tareas tal como dispone el presente Reglamento. Estas medidas deben mejorar la movilidad de la mano de obra en el ámbito de la ciberseguridad y sus trayectorias profesionales asociadas. También deben contribuir a que la mano de obra en materia de ciberseguridad sea más resiliente e inclusiva, también en términos de género. Por consiguiente, los Estados miembros deben adoptar medidas para garantizar que dichas tareas las lleven a cabo profesionales adecuadamente formados, con las capacidades necesarias en materia de ciberseguridad. Del mismo modo, los fabricantes deben garantizar que su personal tenga las capacidades necesarias para cumplir sus obligaciones tal como dispone el presente Reglamento. Los Estados miembros y la Comisión, en consonancia con sus prerrogativas y competencias y con las tareas específicas que les confiere el presente Reglamento, deben adoptar medidas de apoyo a los fabricantes y, en particular, a las microempresas y a las pequeñas y medianas empresas, incluidas las empresas emergentes, también en ámbitos como el desarrollo de capacidades, a efectos del cumplimiento de sus obligaciones establecidas en el presente Reglamento. Además, dado que la Directiva (UE) 2022/2555 exige a los Estados miembros que adopten políticas que promuevan y desarrollen formación en materia de ciberseguridad y capacidades de ciberseguridad como parte de sus estrategias nacionales de ciberseguridad, al adoptar dichas estrategias los Estados miembros también pueden considerar que se aborden las necesidades en materia de capacidades de ciberseguridad derivadas del presente Reglamento, incluidas las relacionadas con el reciclaje profesional y el perfeccionamiento de las capacidades.

Top of page

Una internet segura es indispensable para el funcionamiento de las infraestructuras críticas y para la sociedad en su conjunto. La Directiva (UE) 2022/2555 tiene por objeto garantizar un elevado nivel de ciberseguridad de los servicios prestados por entidades esenciales e importantes mencionadas en el artículo 3 de la Directiva, incluidos los proveedores de infraestructuras digitales que apoyan las funciones básicas de la internet abierta o garantizan el acceso a internet y prestación de los servicios de internet. Por consiguiente, es importante que los productos con elementos digitales necesarios para que los proveedores de infraestructuras digitales garanticen el funcionamiento de internet se desarrollen de manera segura y cumplan normas de seguridad de internet bien establecidas. El presente Reglamento, que se aplica a todos los productos conectables consistentes en equipos y programas informáticos, tiene también por objeto facilitar que los proveedores de infraestructuras digitales cumplan los requisitos de la cadena de suministro con arreglo a la Directiva (UE) 2022/2555, garantizando que los productos con elementos digitales que utilizan para prestar sus servicios se desarrollen de forma segura y que tienen acceso a actualizaciones de seguridad oportunas para dichos productos.

Top of page

El Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo establece normas sobre los productos sanitarios y el Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo establece normas sobre los productos sanitarios para diagnóstico in vitro. Esos Reglamentos abordan los riesgos de ciberseguridad y adoptan enfoques particulares que el presente Reglamento también aborda. Más concretamente, los Reglamentos (UE) 2017/745 y (UE) 2017/746 establecen requisitos esenciales de ciberseguridad para los productos sanitarios que funcionan a través de un sistema electrónico o que son en sí mismos programas informáticos. Esos Reglamentos también abarcan algunos tipos de programas informáticos no incorporados y el enfoque global del ciclo de vida. Esos requisitos obligan a los fabricantes a desarrollar y crear sus productos aplicando principios de gestión de riesgos y estableciendo requisitos que tengan en cuenta las medidas de seguridad informática y los procedimientos de evaluación de la conformidad correspondientes. Además, desde diciembre de 2019 existen orientaciones específicas sobre la ciberseguridad de los productos sanitarios, que proporcionan a los fabricantes de productos sanitarios, incluidos los productos para diagnóstico in vitro, orientaciones relativas al cumplimiento de todos los requisitos esenciales de ciberseguridad pertinentes relativos a la ciberseguridad establecidos en el anexo I de dichos Reglamentos. Por lo tanto, a los productos con elementos digitales a los que se aplique alguno de esos Reglamentos no se les debe aplicar el presente Reglamento.

Top of page

Los productos con elementos digitales que se desarrollen o modifiquen exclusivamente con fines militares o de seguridad nacional o los productos que estén específicamente diseñados para procesar información clasificada no entrarán dentro del alcance del presente Reglamento. Se anima a los Estados miembros a que garanticen el mismo grado o uno mayor de protección para dichos productos que para aquellos entrantes en el alcance del presente Reglamento.

Top of page

El Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo establece requisitos para la homologación de tipo de los vehículos, así como de sus sistemas y componentes, a cuyo fin introduce determinados requisitos de ciberseguridad, también relativos al funcionamiento de un sistema de gestión de la ciberseguridad certificado y a las actualizaciones de los programas informáticos; aborda las políticas y los procesos de las organizaciones en relación con los riesgos de ciberseguridad que afectan a todo el ciclo de vida de los vehículos, los equipos y los servicios, en consonancia con los reglamentos aplicables de las Naciones Unidas sobre especificaciones técnicas y ciberseguridad; en particular el Reglamento n. o 155 de las Naciones Unidas – Disposiciones uniformes relativas a la homologación de los vehículos de motor en lo que respecta a la ciberseguridad y al sistema de gestión de esta y establece procedimientos específicos de evaluación de la conformidad. En el ámbito de la aviación, el principal objetivo del Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo es establecer y mantener un nivel elevado y uniforme de seguridad de la aviación civil en la Unión. Este Reglamento crea un marco para los requisitos esenciales de ciberseguridad de aeronavegabilidad de los productos, componentes y equipos aeronáuticos, incluidos los programas informáticos, que comprenden las obligaciones relativas a la protección contra las amenazas para la seguridad de la información. El proceso de certificación establecido en el Reglamento (UE) 2018/1139 garantiza el nivel de garantía al que aspira el presente Reglamento. Por consiguiente, los productos con elementos digitales a los que se aplica el Reglamento (UE) 2019/2144 y los productos certificados de conformidad con el Reglamento (UE) 2018/1139 no deben estar obligados a cumplir los requisitos esenciales de ciberseguridad ni se les deben aplicar los procedimientos de evaluación de la conformidad establecidos en el presente Reglamento.

Top of page

El presente Reglamento establece normas horizontales en materia de ciberseguridad que no son específicas de determinados sectores o productos con elementos digitales. No obstante, podrían introducirse normas de la Unión específicas por productos o sectores que establezcan requisitos que aborden la totalidad o parte de los riesgos cubiertos por los requisitos esenciales de ciberseguridad previstos en el presente Reglamento. En tales casos, la aplicación del presente Reglamento a los productos con elementos digitales a los que se apliquen otras normas de la Unión que establezcan requisitos que abordan la totalidad o parte de los riesgos cubiertos por los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento puede limitarse o excluirse siempre que dicha limitación o exclusión sea coherente con el marco regulador general aplicable a dichos productos y que las normas sectoriales alcancen como mínimo un nivel de protección equivalente al previsto en el presente Reglamento. La Comisión debe estar facultada para adoptar actos delegados para completar el presente Reglamento mediante la especificación de dichos productos y normas. El presente Reglamento incluye disposiciones específicas que aclaran su relación con el Derecho vigente de la Unión que implique la aplicación de tales limitaciones o exclusiones.

Top of page

Con el fin de garantizar que los productos con elementos digitales comercializados puedan repararse eficazmente y que su durabilidad se amplíe, debe disponerse una exención para los repuestos. Dicha exención deber referirse tanto a los repuestos concebidos para reparar productos heredados comercializados antes de la fecha de aplicación del presente Reglamento como para los repuestos que ya se hayan sometido a un procedimiento de evaluación de la conformidad con arreglo al presente Reglamento y que suministra el mismo fabricante.

Top of page

El Reglamento Delegado (UE) 2022/30 de la Comisión especifica que ciertos requisitos esenciales de ciberseguridad establecidos en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE del Parlamento Europeo y del Consejo , relativa a los daños a la red y al uso inadecuado de los recursos de la red, la protección de los datos personales y la privacidad, y al fraude, se aplican a determinados equipos radioeléctricos. La Decisión de Ejecución C(2022) 5637 de la Comisión, de 5 de agosto de 2022, relativa a una solicitud de normalización presentada al Comité Europeo de Normalización y al Comité Europeo de Normalización Electrotécnica establece requisitos para la elaboración de normas específicas que detallan con mayor precisión cómo deben abordarse esos requisitos esenciales de ciberseguridad. Los requisitos esenciales de ciberseguridad previstos en el presente Reglamento incluyen todos los elementos de los requisitos esenciales de ciberseguridad contemplados en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE. Asimismo, los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento se ajustan a los objetivos de los requisitos de las normas específicas incluidos en dicha petición de normalización. Por tanto, cuando la Comisión deroga o modifica el Reglamento Delegado (UE) 2022/30 y, en consecuencia, este deja de aplicarse a determinados productos sujetos al presente Reglamento, la Comisión y las organizaciones europeas de normalización deben tener en cuenta el trabajo de normalización llevado a cabo en el contexto de la Decisión de Ejecución C(2022) 5637 en lo que respecta a la preparación y el desarrollo de normas armonizadas para facilitar la ejecución del presente Reglamento. Durante el período transitorio para la aplicación del presente Reglamento, la Comisión debe proporcionar orientaciones a los fabricantes a los que se aplica el presente Reglamento que también deban cumplir el Reglamento Delegado (UE) 2022/30 para facilitar la demostración del cumplimiento de ambos Reglamentos.

Top of page

La Directiva (UE) 2024/2853 del Parlamento Europeo y del Consejo se complementa con el presente Reglamento. Dicha Directiva establece normas en materia de responsabilidad por los daños causados por productos defectuosos, de forma que los perjudicados puedan reclamar una indemnización cuando hayan sufrido un daño derivado de dichos productos. Establece el principio de que el fabricante de un producto es responsable de los daños causados por la falta de seguridad de su producto, con independencia de la eventual existencia de culpa («responsabilidad objetiva»). Cuando dicha falta de seguridad consista en una falta de actualizaciones de seguridad posterior a la introducción del producto en el mercado, y esta cause daños, podría aplicarse la responsabilidad del fabricante. Las obligaciones de los fabricantes relativas a la provisión de actualizaciones de seguridad deben establecerse en el presente Reglamento.

Top of page

El presente Reglamento debe entenderse sin perjuicio del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo , incluidas las disposiciones relativas a la implantación de mecanismos de certificación en materia de protección de datos y sellos y marcas de protección de datos a fin de demostrar la conformidad con ese Reglamento de las operaciones realizadas por los responsables y los encargados del tratamiento. Este tipo de operaciones podrían integrarse en un producto con elementos digitales. La protección de datos desde el diseño y por defecto, así como la ciberseguridad en general, son elementos clave del Reglamento (UE) 2016/679. Al proteger a los consumidores y a las organizaciones de los riesgos de ciberseguridad, los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento también contribuyen a mejorar la protección de los datos personales y la privacidad de las personas. Deben tenerse en cuenta las sinergias tanto en materia de normalización como de certificación de los aspectos relativos a la ciberseguridad a través de la cooperación entre la Comisión, las organizaciones europeas de normalización, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el Comité Europeo de Protección de Datos creado por el Reglamento (UE) 2016/679 y las autoridades nacionales de supervisión de la protección de datos. También deben fomentarse las sinergias entre el presente Reglamento y el Derecho de la Unión en materia de protección de datos en el ámbito de la vigilancia del mercado y la ejecución de las normas. A tal fin, las autoridades nacionales de vigilancia del mercado designadas con arreglo al presente Reglamento deben cooperar con las autoridades responsables de supervisar la aplicación del Derecho de la Unión en materia de protección de datos. Estas últimas también deben tener acceso a la información pertinente para el desempeño de sus tareas.

Top of page

En la medida en que sus productos entren en el ámbito de aplicación del presente Reglamento, los proveedores de carteras de identidad digital europea a que se refiere el artículo 5 bis , apartado 2, del Reglamento (UE) n. o 910/2014 del Parlamento Europeo y del Consejo deben cumplir tanto los requisitos esenciales de ciberseguridad horizontales establecidos en el presente Reglamento como los requisitos específicos de seguridad establecidos en el artículo 5 bis del Reglamento (UE) n. o 910/2014. A fin de facilitar el cumplimiento de sus obligaciones, los proveedores de carteras deben poder demostrar la conformidad de las carteras de identidad digital europea con los requisitos establecidos en el presente Reglamento y en el Reglamento (UE) n. o 910/2014, mediante la certificación de sus productos con arreglo a un esquema europeo de certificación de la ciberseguridad establecido con arreglo al Reglamento (UE) 2019/881 para el cual la Comisión haya especificado, mediante actos delegados una presunción de conformidad con el presente Reglamento, en la medida en que el certificado, o partes de este, abarque dichos requisitos.

Top of page

Al integrar componentes procedentes de terceros en productos con elementos digitales durante la fase de diseño y desarrollo, los fabricantes, a fin de garantizar que los productos se diseñen, desarrollen y produzcan de conformidad con los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento, deben ejercer la diligencia debida con respecto a dichos componentes, incluidos los componentes de programas informáticos libres y de código abierto que no se hayan comercializado. El nivel apropiado de diligencia debida depende de la naturaleza y del nivel de riesgo de ciberseguridad asociado a un componente concreto, y debe, a tal efecto, tener en cuenta una o varias de las acciones que siguen: verificar, según proceda, que el fabricante de un componente ha demostrado la conformidad con el presente Reglamento, también comprobando si el componente ya lleva el marcado CE; verificar que un componente recibe actualizaciones de seguridad periódicas, por ejemplo comprobando su historial de actualizaciones de seguridad; verificar que un componente está libre de vulnerabilidades registradas en la base de datos europea de vulnerabilidades establecida en virtud del artículo 12, apartado 2, de la Directiva (UE) 2022/2555 o en otras bases de datos de vulnerabilidades de acceso público; o realizar pruebas de seguridad adicionales. Las obligaciones de gestión de las vulnerabilidades establecidas en el presente Reglamento, que los fabricantes deben cumplir al introducir un producto con elementos digitales en el mercado y durante el período de soporte, se aplican a los productos con elementos digitales en su totalidad, incluidos todos los componentes integrados. Cuando, en el ejercicio de la diligencia debida, el fabricante del producto con elementos digitales identifique una vulnerabilidad en un componente, incluido un componente libre y de código abierto, debe informar a la persona o entidad que fabrique o mantenga el componente, abordar y corregir la vulnerabilidad y, en su caso, facilitar a la persona o entidad la solución de seguridad aplicada.

Top of page

Inmediatamente después del período transitorio para la aplicación del presente Reglamento, es posible que un fabricante de un producto con elementos digitales que integre uno o varios componentes procedentes de terceros a los que también se aplique el presente Reglamento no pueda verificar, como parte de su obligación de diligencia debida, que los fabricantes de dichos componentes han demostrado la conformidad con el presente Reglamento comprobando, por ejemplo, si los componentes ya llevan el marcado CE. Este puede ser el caso cuando los componentes se hayan integrado antes de que el presente Reglamento sea aplicable a los fabricantes de dichos componentes. En tal caso, un fabricante que integre dichos componentes debe ejercer la diligencia debida por otros medios.

Top of page

Los productos con elementos digitales deben llevar el marcado CE para acreditar de manera visible, legible e indeleble su conformidad con el presente Reglamento y así poder circular libremente por el mercado interno. Los Estados miembros no deben crear obstáculos injustificados a la introducción en el mercado de productos con elementos digitales que cumplan los requisitos establecidos en el presente Reglamento y lleven el marcado CE. Asimismo, los Estados miembros no impedirán que en ferias, exposiciones, demostraciones o actos similares se presenten o usen productos con elementos digitales que no sean conformes con el presente Reglamento, incluidos sus prototipos, a condición de que el producto se presente con una señal visible que indique claramente que el producto no es conforme con el presente Reglamento y no debe comercializarse hasta que lo sea.

Top of page

A fin de garantizar que los fabricantes puedan lanzar programas informáticos con fines de prueba antes de someter sus productos con elementos digitales a la evaluación de la conformidad, los Estados miembros no deben impedir la disponibilidad de programas informáticos incompletos, como versiones alfa, beta o candidatas a la publicación, siempre y cuando el programa informático inacabado solo se ponga a disposición durante el tiempo necesario para probarla y recabar información al respecto. Los fabricantes deben garantizar que los programas informáticos disponibles en esas condiciones solo sean lanzados una vez que se sometan a la evaluación de riesgos y que cumplan, en la medida de lo posible, los requisitos de seguridad relativos a las propiedades de los productos con elementos digitales previstos en el presente Reglamento. Los fabricantes también deben aplicar, en la medida de lo posible, los requisitos de gestión de las vulnerabilidades. Los fabricantes no deben obligar a los usuarios a actualizar las versiones publicadas únicamente a efectos de prueba.

Top of page

A fin de garantizar que los productos con elementos digitales no planteen riesgos de ciberseguridad para las personas y las organizaciones al ser introducidos en el mercado, deben establecerse requisitos esenciales de ciberseguridad para dichos productos. Estos requisitos esenciales de ciberseguridad, incluidos los requisitos de gestión de la vulnerabilidad, se aplican a cada producto individual con elementos digitales cuando se introduce en el mercado, independientemente de si el producto con elementos digitales se fabrica como una unidad individual o en serie. Por ejemplo, para un tipo de producto, cada producto con elementos digitales debe haber recibido todos los parches o actualizaciones de seguridad disponibles para abordar problemas de seguridad pertinentes cuando se introduzca en el mercado. Cuando los productos con elementos digitales se modifiquen posteriormente, por medios físicos o digitales, de una manera no prevista por el fabricante en la evaluación de riesgo inicial y que pueda implicar que dejen de cumplir los requisitos esenciales de ciberseguridad pertinentes, dicha modificación debe considerarse sustancial. Por ejemplo, las reparaciones pueden ser incluidas entre las operaciones de mantenimiento siempre que no modifiquen un producto con elementos digitales ya introducido en el mercado de tal manera que puedan afectar a su observancia de los requisitos vigentes o cambiar la finalidad prevista para el cual se ha evaluado el producto.

Top of page

Al igual que en el caso de las reparaciones o modificaciones físicas, un producto con elementos digitales debe considerarse sustancialmente modificado por un cambio en los programas informáticos cuando la actualización de los programas informáticos modifique la finalidad prevista para ese producto y esos cambios no estuviesen previstos por el fabricante en la evaluación del riesgo inicial; o cuando la naturaleza del peligro haya cambiado o el nivel de riesgo de ciberseguridad haya aumentado debido a la actualización del programa informático, y la versión actualizada del producto se comercialice. Cuando una actualización de seguridad, diseñada para reducir el nivel de riesgo de ciberseguridad de un producto con elementos digitales, no modifique la finalidad prevista de un producto con elementos digitales, no se considera una modificación sustancial. Ello suele incluir situaciones en las que las actualizaciones de seguridad solo implican ajustes menores del código fuente. Por ejemplo, este podría ser el caso cuando una actualización de seguridad aborde una vulnerabilidad conocida, también en el caso de que lo haga modificando funciones o el rendimiento de un producto con elementos digitales con el único fin de reducir el nivel de riesgo de ciberseguridad. Del mismo modo, una actualización de funcionalidad menor, como una mejora visual o la incorporación de nuevos pictogramas o nuevas lenguas a la interfaz de usuario, en general, no deben considerarse una modificación sustancial. Por el contrario, cuando una actualización de características modifique las funciones previstas originales o el tipo o el rendimiento de un producto con elementos digitales y cumpla dichos criterios, debe considerarse una modificación sustancial, ya que la incorporación de nuevas características suele dar lugar a una superficie de ataque más amplia, aumentando así el riesgo de ciberseguridad. Por ejemplo, este podría ser el caso cuando se añada un nuevo elemento de entrada a una solicitud que exija al fabricante que garantice una validación adecuada de los datos de entrada. A la hora de evaluar si una actualización de características se considera una modificación sustancial, no es pertinente si se presenta como actualización separada o en combinación con una actualización de seguridad. La Comisión debe emitir orientaciones sobre el modo de determinar lo que constituye una modificación sustancial.

Top of page

Teniendo en cuenta el carácter iterativo del desarrollo de programas informáticos, los fabricantes que hayan introducido en el mercado versiones posteriores de productos consistentes en programas informáticos como consecuencia de una posterior modificación sustancial de dicho producto deben poder proporcionar actualizaciones de seguridad durante el período de soporte únicamente para la versión del producto consistente en un programa informático que hayan introducido en el mercado por última vez. Solo deben poder hacerlo si los usuarios de las versiones anteriores pertinentes del producto tienen acceso gratuito a la versión del producto introducida por última vez en el mercado y no incurren en costes adicionales para adaptar el entorno de equipos o programas informáticos en el que operan el producto. Este podría ser el caso, por ejemplo, cuando la mejora del sistema operativo de mesa no requiera un nuevo equipo informático, como una unidad central de procesamiento más rápida o más memoria. No obstante, el fabricante debe seguir cumpliendo, durante el período de soporte, otros requisitos de gestión de vulnerabilidades, como disponer de una política de divulgación coordinada de vulnerabilidades o de medidas para facilitar el intercambio de información sobre posibles vulnerabilidades para todas las versiones posteriores sustancialmente modificadas del programa informático introducido en el mercado. Los fabricantes deben poder proporcionar actualizaciones menores de seguridad o funcionalidad que no constituyan una modificación sustancial únicamente de la última versión o subversión de un producto consistente en un programa informático que no haya sido modificado sustancialmente. Al mismo tiempo, cuando un producto consistente en un equipo informático, como un teléfono inteligente, no sea compatible con la última versión del sistema operativo con el que se entregó originalmente, el fabricante debe seguir proporcionando actualizaciones de seguridad al menos para la última versión compatible del sistema operativo durante el período de soporte.

Top of page

En consonancia con el concepto comúnmente establecido de «modificación sustancial» de los productos regulados por la legislación de armonización de la Unión, cuando se produzca una modificación sustancial que pueda afectar al cumplimiento del presente Reglamento por parte del producto con elementos digitales o cuando la finalidad prevista del producto cambie, conviene que se verifique la conformidad del producto con elementos digitales y que, cuando proceda, se someta a una nueva evaluación de la conformidad. En su caso, si el fabricante lleva a cabo una evaluación de la conformidad en la que participa un tercero, deben notificarse a este último los cambios que puedan dar lugar a una modificación sustancial.

Top of page

Cuando un producto con elementos digitales sea objeto de «reacondicionamiento», «mantenimiento» y «reparación», tal como se define en el artículo 2, puntos 18, 19 y 20, del Reglamento (UE) 2024/1781 del Parlamento Europeo y el Consejo , ello no conduce necesariamente a una modificación sustancial del producto, por ejemplo, si la finalidad prevista y las funcionalidades no se modifican y el nivel de riesgo no se ve afectado. No obstante, la mejora de un producto con elementos digitales por parte del fabricante podría dar lugar a cambios en el diseño y el desarrollo del producto y podría, por tanto, afectar a su finalidad prevista y a la conformidad con los requisitos establecidos en el presente Reglamento.

Top of page

El producto con elementos digitales debe considerarse importante si el impacto negativo de la explotación de las posibles vulnerabilidades del producto pueden ser graves, debido, por ejemplo, a la función vinculada a la ciberseguridad o a una función que entraña un riesgo significativo de efectos adversos en cuanto a su intensidad y su capacidad para perturbar, controlar o dañar un gran número de otros productos con elementos digitales, o la salud, la protección o la seguridad de sus usuarios, a través de una manipulación directa (por ejemplo, una función central del sistema, incluidos la gestión de la red, el control de la configuración, la virtualización o el tratamiento de datos personales). En particular, las vulnerabilidades de los productos con elementos digitales cuya funcionalidad está relacionada con la ciberseguridad, como los gestores de arranque, pueden llevar a una propagación de las cuestiones de seguridad a lo largo de la cadena de suministro. La gravedad del impacto de un incidente también puede aumentar cuando el producto desempeñe una función del sistema central, incluida la gestión de la red, el control de la configuración, la virtualización o el tratamiento de datos personales.

Top of page

Algunas categorías de productos con elementos digitales deben someterse a procedimientos de evaluación de la conformidad más estrictos, al tiempo que se garantiza un enfoque proporcionado. A tal fin, los productos importantes con elementos digitales deben dividirse en dos clases que reflejen el nivel de riesgo de ciberseguridad presente en esas categorías de productos. Un posible incidente de ciberseguridad que afecte a productos importantes con elementos digitales incluidos en la clase II podría dar lugar a mayores repercusiones negativas que un incidente que afecte a productos importantes con elementos digitales incluidos en la clase I, por ejemplo debido a la naturaleza de su función relacionada con la ciberseguridad o al desempeño de otra función que entrañe un riesgo significativo de efectos adversos. Como indicación de esa mayor repercusión negativa, los productos con elementos digitales incluidos en la clase II podrían desempeñar una funcionalidad relacionada con la ciberseguridad u otra función que entrañe un riesgo significativo de efectos adversos superior a los enumerados en la clase I, o bien cumplir ambos criterios. Por lo tanto, los productos importantes con elementos digitales incluidos en la clase II deben someterse a un procedimiento de evaluación de la conformidad más estricto.

Top of page

Los productos importantes con elementos digitales a que se refiere el presente Reglamento deben entenderse como productos que tienen la funcionalidad básica de una categoría de productos importantes con elementos digitales establecida en el presente Reglamento. Por ejemplo, el presente Reglamento establece categorías de productos importantes con elementos digitales que se definen por su funcionalidad principal como cortafuegos o sistemas de detección o prevención de intrusiones de la clase II. Como consecuencia de ello, los cortafuegos y sistemas de detección o prevención están sujetos a una evaluación de la conformidad por parte de terceros obligatoria. Esto no sucede con otros productos con elementos digitales no clasificados como productos importantes con elementos digitales que pueden llevar incorporados cortafuegos o sistemas de detección o prevención de intrusiones. La Comisión debe adoptar un acto de ejecución para especificar la descripción técnica de las categorías de productos importantes con elementos digitales incluidos en las clases I y II, tal como se dispone en el presente Reglamento.

Top of page

Las categorías de productos críticos con elementos digitales establecidas en el presente Reglamento tienen una funcionalidad relacionada con la ciberseguridad y desempeñan una función que conlleva un riesgo significativo de efectos adversos en términos de intensidad y capacidad para perturbar, controlar o dañar un gran número de otros productos con elementos digitales mediante manipulación directa. Además, estas categorías de productos con elementos digitales se consideran dependencias críticas de las entidades esenciales a que se refiere el artículo 3, apartado 1, de la Directiva (UE) 2022/2555. Las categorías de productos críticos con elementos digitales establecidas en un anexo del presente Reglamento, debido a su carácter crítico, ya utilizan ampliamente diversas formas de certificación, y también están cubiertas por el esquema europeo de certificación de la ciberseguridad basado en criterios comunes establecidos en el Reglamento de Ejecución (UE) 2024/482 de la Comisión . Por consiguiente, a fin de garantizar una protección común adecuada de la ciberseguridad de los productos críticos con elementos digitales en la Unión, podría ser adecuado y proporcionado someter dichas categorías de productos, mediante un acto delegado, a una certificación europea obligatoria de la ciberseguridad cuando ya exista un esquema europeo de certificación de la ciberseguridad pertinente que cubra esos productos y la Comisión haya llevado a cabo una evaluación del posible impacto en el mercado de la certificación obligatoria prevista. Dicha evaluación debe tener en cuenta tanto el lado de la oferta como el de la demanda, también si existe una demanda suficiente de los productos con elementos digitales de que se trate tanto de los Estados miembros como de los usuarios para exigir el certificado europeo de ciberseguridad, así como las finalidades previstas para los que se pretende utilizar los productos con elementos digitales, como las dependencias críticas de las entidades esenciales a que se refiere el artículo 3, apartado 1, de la Directiva (UE) 2022/2555. La evaluación también debe analizar los posibles efectos de la certificación obligatoria en la disponibilidad de dichos productos en el mercado interior y las capacidades y la preparación de los Estados miembros para la aplicación de los esquemas europeos de certificación de la ciberseguridad pertinentes.

Top of page

Los actos delegados que exijan un certificado europeo obligatoria de la ciberseguridad deben determinar los productos con elementos digitales que tienen la funcionalidad básica de una categoría de productos críticos con elementos digitales establecida en el presente Reglamento que deben estar sujetos a certificación obligatoria, así como el nivel de garantía requerido, que debe ser como mínimo «sustancial». El nivel de garantía requerido debe ser proporcional al nivel de riesgo de ciberseguridad asociado al producto con elementos digitales. Por ejemplo, si el producto con elementos digitales tiene la funcionalidad básica de una categoría de productos críticos con elementos digitales establecida en el presente Reglamento y está destinado al uso en un entorno sensible o crítico, como los productos destinados al uso de las entidades esenciales a que se refiere el artículo 3, apartado 1, de la Directiva (UE) 2022/2555, puede requerir el nivel de garantía más alto.

Top of page

A fin de garantizar una protección común adecuada de la ciberseguridad en la Unión de los productos con elementos digitales que tengan la funcionalidad básica de una categoría de productos críticos con elementos digitales establecida en el presente Reglamento, la Comisión también debe estar facultada para adoptar actos delegados que modifiquen el presente Reglamento añadiendo o retirando categorías de productos críticos con elementos digitales para los que los fabricantes podrían estar obligados a obtener un certificado europeo de ciberseguridad en virtud de un esquema europeo de certificación de la ciberseguridad en virtud del Reglamento (UE) 2019/881 para demostrar la conformidad con el presente Reglamento. Puede añadirse a dichas categorías una nueva categoría de productos críticos con elementos digitales si existe una dependencia crítica de ellos por parte de las entidades esenciales a que se refiere el artículo 3, apartado 1, de la Directiva (UE) 2022/2555 o, si se ven afectadas por incidentes o al contener vulnerabilidades aprovechadas, esto podría dar lugar a perturbaciones de las cadenas de suministro críticas. Al evaluar la necesidad de añadir o retirar categorías de productos críticos con elementos digitales mediante un acto delegado, la Comisión debe poder tener en cuenta si los Estados miembros han identificado a nivel nacional productos con elementos digitales que desempeñan un papel fundamental para la resiliencia de las entidades esenciales a que se refiere el artículo 3, apartado 1, de la Directiva (UE) 2022/2555 y que se enfrentan cada vez más a ciberataques en la cadena de suministro, con posibles efectos perturbadores graves. Asimismo, la Comisión debe poder tener en cuenta los resultados de las evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas a escala de la Unión llevadas a cabo de conformidad con el artículo 22 de la Directiva (UE) 2022/2555.

Top of page

La Comisión debe asegurarse de que se consulte de manera estructurada y periódica a una amplia gama de partes interesadas pertinentes a la hora de preparar las medidas para la aplicación del presente Reglamento. Este debe ser el caso, en particular, cuando la Comisión evalúe la necesidad de posibles actualizaciones de las listas de categorías de productos importantes o críticos con elementos digitales, cuando se consulte a los fabricantes pertinentes y se tengan en cuenta sus puntos de vista para analizar los riesgos de ciberseguridad, así como el equilibrio de costes y beneficios de designar tales categorías de productos como importantes o críticos.

Top of page

El presente Reglamento aborda los riesgos de ciberseguridad de una manera específica. Sin embargo, los productos con elementos digitales podrían plantear otros riesgos para la seguridad en ocasiones ajenos a la ciberseguridad pero que pueden obedecer a una infracción de la seguridad. Estos riesgos deben seguir estando regulados por la legislación de armonización de la Unión pertinente distinta del presente Reglamento. Si no es aplicable ninguna legislación de armonización de la Unión distinta del presente Reglamento, debe estar sujeta al Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo . Por consiguiente, habida cuenta del carácter específico del presente Reglamento, no obstante lo dispuesto en el artículo 2, apartado 1, párrafo tercero, letra b), del Reglamento (UE) 2023/988, el capítulo III, sección 1, los capítulos V y VII y los capítulos IX a XI del Reglamento (UE) 2023/988 deben ser aplicables a los productos con elementos digitales en lo que respecta a los riesgos para la seguridad no contemplados en el presente Reglamento, a condición de que dichos productos no estén sujetos a requisitos específicos impuestos por otra legislación de armonización de la Unión, aparte de este Reglamento, a los efectos del artículo 3, punto 27, del Reglamento (UE) 2023/988.

Top of page

Los productos con elementos digitales considerados sistemas de inteligencia artificial (IA) de alto riesgo en virtud del artículo 6 del Reglamento (UE) 2024/1689 del Parlamento Europeo y el Consejo que entren en el ámbito de aplicación del presente Reglamento deben cumplir los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento. Cuando estos sistemas de IA de alto riesgo cumplan los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento, debe considerarse que cumplen los requisitos de ciberseguridad establecidos en el artículo 15 del Reglamento (UE) 2024/1689 en la medida en que dichos requisitos estén contemplados en la declaración UE de conformidad expedida en virtud del presente Reglamento o en partes de esta. A tal efecto, la evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales clasificado como un sistema de IA de alto riesgo de conformidad con el Reglamento (UE) 2024/1689 que debe tenerse en cuenta durante las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento del producto con elementos digitales, con arreglo a lo previsto por el presente Reglamento, deben tener en cuenta los riesgos de ciberresiliencia de un sistema de IA en lo relativo a los intentos de terceros no autorizados de alterar su uso, comportamiento o desempeño, incluidas las vulnerabilidades específicas de la IA como el envenenamiento de datos o los ataques adversarios, así como los riesgos pertinentes para los derechos fundamentales, de conformidad con el Reglamento (UE) 2024/1689. Por lo que se refiere a los procedimientos de evaluación de la conformidad relativos a los requisitos esenciales de ciberseguridad de un producto con elementos digitales que entra dentro del ámbito de aplicación del presente Reglamento y considerado sistema de IA de alto riesgo, las disposiciones pertinentes del artículo 43 del Reglamento (UE) 2024/1689 deben aplicarse como norma general en lugar de las disposiciones pertinentes del presente Reglamento. Sin embargo, esta regla no debe dar lugar a una reducción del nivel de garantía necesario para los productos importantes o críticos con elementos digitales tal como se menciona en el presente Reglamento. Por consiguiente, como excepción a lo dispuesto en esta norma, los sistemas de IA de alto riesgo que entren en el ámbito de aplicación del Reglamento (UE) 2024/1689, que asimismo se consideren productos importantes o críticos con elementos digitales tal como se menciona en el presente Reglamento y a los que se aplique el procedimiento de evaluación de la conformidad basado en el control interno especificado en el anexo VI del Reglamento (UE) 2024/1689 deben estar sujetos a las procedimientos relativos a la evaluación de la conformidad incluidos en el presente Reglamento en la medida en que se refieran a los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento. En este caso, para todos los demás aspectos que entren en el ámbito de aplicación del Reglamento (UE) 2024/1689, deben aplicarse las disposiciones pertinentes sobre la evaluación de la conformidad basadas en el control interno establecidas en el anexo VI de dicho Reglamento.

Top of page

Para mejorar la seguridad de los productos con elementos digitales comercializados en el mercado interior, es necesario establecer requisitos esenciales de ciberseguridad aplicables a esos productos. Esos requisitos esenciales de ciberseguridad deben entenderse sin perjuicio de las evaluaciones coordinadas de los riesgos de seguridad a escala de la Unión que se efectúen con respecto a las cadenas de suministro críticas previstas en el artículo 22 de la Directiva (UE) 2022/2555, que tienen en cuenta factores de riesgo tanto técnicos como, cuando proceda, de otra índole, por ejemplo la influencia indebida de un tercer país sobre los proveedores. Además, sin perjuicio de las prerrogativas de los Estados miembros y con el fin de garantizar un alto nivel de resiliencia, deben establecerse requisitos adicionales que tengan en cuenta los factores no técnicos, incluidos los definidos en la Recomendación (UE) 2019/534 de la Comisión , en la evaluación coordinada de riesgos de la ciberseguridad a escala de la Unión de la seguridad de las redes 5G y en el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G acordado por el Grupo de Cooperación establecido en virtud del artículo 14 la Directiva (UE) 2022/2555.

Top of page

Los fabricantes de productos incluidos en el ámbito de aplicación del Reglamento (UE) 2023/1230 del Parlamento Europeo y del Consejo que sean también productos con elementos digitales tal como se definen en el presente Reglamento deben cumplir tanto los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento como los requisitos esenciales de ciberseguridad de salud y seguridad establecidos en el Reglamento (UE) 2023/1230. Los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento y determinados requisitos esenciales de ciberseguridad establecidos en el Reglamento (UE) 2023/1230 podrían abordar riesgos de ciberseguridad similares. Por consiguiente, el cumplimiento de los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento podría facilitar el cumplimiento de los requisitos esenciales de ciberseguridad que también cubren determinados riesgos de ciberseguridad establecidos en el Reglamento (UE) 2023/1230, y en particular los relativos a la protección contra la corrupción y la seguridad y fiabilidad de los sistemas de control establecidos en el anexo III, secciones 1.1.9 y 1.2.1, de ese Reglamento. El fabricante debe demostrar tales sinergias, por ejemplo, aplicando, cuando estén disponibles, normas armonizadas u otras especificaciones técnicas que abarquen los requisitos esenciales de ciberseguridad pertinentes tras una evaluación de riesgos que incluya esos riesgos de ciberseguridad. El fabricante también debe seguir los procedimientos de evaluación de la conformidad aplicables establecidos en el presente Reglamento y en el Reglamento (UE) 2023/1230. La Comisión y las organizaciones europeas de normalización, en los trabajos preparatorios que apoyan la aplicación del presente Reglamento y del Reglamento (UE) 2023/1230 y los procesos de normalización conexos, deben promover la coherencia en la forma en que deben evaluarse los riesgos de ciberseguridad y en la forma en que esos riesgos deben ser cubiertos por las normas armonizadas con respecto a los requisitos esenciales de ciberseguridad pertinentes. En particular, la Comisión y las organizaciones europeas de normalización deben tener en cuenta el presente Reglamento en la preparación y el desarrollo de normas armonizadas para facilitar la aplicación del Reglamento (UE) 2023/1230 en lo que respecta, en particular, a los aspectos de ciberseguridad relacionados con la protección contra la corrupción y la seguridad y fiabilidad de los sistemas de control establecidos en el anexo III, secciones 1.1.9 y 1.2.1, de ese Reglamento. La Comisión debe proporcionar orientaciones para ayudar a los fabricantes a los que se aplique el presente Reglamento que también deban cumplir lo dispuesto en el Reglamento (UE) 2023/1230, en particular para facilitar la demostración de la conformidad con los requisitos esenciales de ciberseguridad pertinentes establecidos en el presente Reglamento y en el Reglamento (UE) 2023/1230.

Top of page

Para garantizar que los productos con elementos digitales sean seguros tanto en el momento de su introducción en el mercado como durante el tiempo que esté previsto utilizar el producto con elementos digitales, es necesario establecer requisitos esenciales de ciberseguridad para la gestión de las vulnerabilidades y requisitos esenciales de ciberseguridad de ciberseguridad relativos a las propiedades de los productos con elementos digitales. Si bien los fabricantes deben cumplir todos los requisitos esenciales de ciberseguridad en relación con la gestión de las vulnerabilidades a través del período de soporte a lo largo de todo el período de soporte, también deben determinar qué otros requisitos esenciales de ciberseguridad relacionados con las propiedades del producto son pertinentes para el tipo de producto con elementos digitales de que se trate. A tal fin, los fabricantes deben llevar a cabo una evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales para determinar los riesgos y los requisitos esenciales de ciberseguridad pertinentes, para ofrecer sus productos con elementos digitales sin vulnerabilidades aprovechables conocidas que puedan incidir en su seguridad y aplicar adecuadamente las normas armonizadas, especificaciones comunes o normas internacionales o europeas apropiadas.

Top of page

Cuando determinados requisitos esenciales de ciberseguridad no sean aplicables a un producto con elementos digitales, el fabricante debe incluir una justificación clara en la evaluación del riesgo de ciberseguridad incluido en la documentación técnica. Este podría ser el caso cuando un requisito esencial sea incompatible con la naturaleza de un producto con elementos digitales. Por ejemplo, la finalidad prevista de un producto con elementos digitales puede requerir que el fabricante siga normas de interoperabilidad ampliamente reconocidas, incluso si sus características de seguridad ya no se consideran de última tecnología. Del mismo modo, otra normativa de la Unión exige a los fabricantes que apliquen requisitos específicos de interoperabilidad. Cuando un requisito esencial no sea aplicable a un producto con elementos digitales, pero el fabricante haya identificado riesgos de ciberseguridad en relación con dicho requisito esencial, debe adoptar medidas para hacer frente a dichos riesgos por otros medios, por ejemplo, limitando la finalidad prevista del producto a entornos de confianza o informando a los usuarios de dichos riesgos.

Top of page

Una de las medidas más importantes que deben adoptar los usuarios para proteger sus productos con elementos digitales de los ciberataques es instalar las últimas actualizaciones de seguridad disponibles lo antes posible. Por consiguiente, los fabricantes deben diseñar sus productos y poner en marcha procesos para garantizar que los productos con elementos digitales incluyan funciones que permitan la notificación, distribución, descarga e instalación de actualizaciones de seguridad automáticamente, en particular en el caso de los productos de consumo. También deben ofrecer la posibilidad de aprobar la descarga y la instalación de las actualizaciones de seguridad como paso final. Los usuarios deben conservar la capacidad de desactivar las actualizaciones automáticas, con un mecanismo claro y fácil de utilizar, respaldado por instrucciones claras sobre cómo pueden renunciar los usuarios. Los requisitos relativos a las actualizaciones automáticas establecidos en un anexo del presente Reglamento no son aplicables a los productos con elementos digitales destinados principalmente a integrarse como componentes en otros productos. Tampoco se aplican a los productos con elementos digitales para los que los usuarios no esperarían razonablemente actualizaciones automáticas, incluidos los productos con elementos digitales destinados a ser utilizados en redes profesionales de TIC, y especialmente en entornos críticos e industriales en los que una actualización automática podría causar interferencias con las operaciones. Con independencia de si un producto con elementos digitales está diseñado para recibir actualizaciones automáticas o no, su fabricante debe informar a los usuarios sobre las vulnerabilidades y poner a disposición las actualizaciones de seguridad sin demora. Cuando un producto con elementos digitales tenga una interfaz de usuario o medios técnicos similares que permitan una interacción directa con sus usuarios, el fabricante debe hacer uso de dichas características para informar a los usuarios de que su producto con elementos digitales ha alcanzado el final del período de soporte. Las notificaciones deben limitarse a lo necesario para garantizar la recepción efectiva de esta información y no deben tener una repercusión negativa en la experiencia del usuario del producto con elementos digitales.

Top of page

Para mejorar la transparencia de los procesos de gestión de las vulnerabilidades y garantizar que los usuarios no estén obligados a instalar nuevas actualizaciones de funcionalidad con el único fin de recibir las últimas actualizaciones de seguridad, los fabricantes deben garantizar, cuando sea técnicamente viable, que las nuevas actualizaciones de seguridad se proporcionen por separado de las actualizaciones de funcionalidad.

Top of page

En la Comunicación conjunta de la Comisión y del alto representante de la Unión para Asuntos Exteriores y Política de Seguridad, de 20 de junio de 2023, titulada «Estrategia Europea de Seguridad Económica», se afirmaba que la Unión debe maximizar los beneficios de su apertura económica, minimizando al mismo tiempo los riesgos derivados de la dependencia económica de los proveedores de alto riesgo, a través de un marco estratégico común para la seguridad económica de la Unión. Las dependencias respecto a proveedores de alto riesgo de productos con elementos digitales entrañan un riesgo estratégico que debe abordarse a escala de la Unión, especialmente cuando los productos con elementos digitales se han concebido para su uso por entidades esenciales a que se refiere el artículo 3, apartado 1, de la Directiva (UE) 2022/2555. Tales riesgos pueden estar vinculados al órgano jurisdiccional al que está sujeto el fabricante, a las características de su titularidad corporativa y los vínculos de control con el gobierno de un tercer país en el que se encuentre establecido, en particular si un país tercero lleva a cabo actividades de espionaje económico y su legislación permite el acceso arbitrario a todo tipo de operaciones o datos empresariales, incluidos los datos comercialmente sensibles, y puede imponer obligaciones con fines de inteligencia sin controles ni equilibrios democráticos, mecanismos de supervisión, garantías procesales o el derecho de recurso ante un órgano jurisdiccional independiente. Al determinar la importancia de un riesgo de ciberseguridad de acuerdo con lo previsto en el presente Reglamento, la Comisión y las autoridades de vigilancia del mercado también tendrán en cuenta los factores de riesgo no técnicos, en particular los establecidos como resultado de las evaluaciones coordinadas de riesgos para la seguridad de las cadenas de suministro críticas a escala de la Unión realizadas de conformidad con el artículo 22 de la Directiva (UE) 2022/2555.

Top of page

Con el fin de garantizar la seguridad de los productos con elementos digitales tras su introducción en el mercado, los fabricantes deben determinar un período de soporte, que deben reflejar el tiempo que se espera que el producto con elementos digitales esté en uso. Al determinar un período de soporte, el fabricante debe tener en cuenta, en particular, las expectativas razonables de los usuarios, la naturaleza del producto, así como la legislación pertinente de la Unión que determina la vida útil de los productos con elementos digitales. Los fabricantes también deben poder tener en cuenta otros factores pertinentes. Los criterios deben aplicarse de manera que se garantice la proporcionalidad en la determinación de los períodos de soporte. Previa solicitud, un fabricante debe facilitar a las autoridades de vigilancia del mercado la información que se ha tenido en cuenta para determinar el período de soporte de un producto con elementos digitales.

Top of page

El período de soporte durante el cual el fabricante garantiza la gestión eficaz de las vulnerabilidades no debe ser inferior a cinco años, a menos que la vida útil del producto con elementos digitales sea inferior a cinco años, en cuyo caso el fabricante debe garantizar la gestión de la vulnerabilidad durante dicha vida útil. Cuando el tiempo de utilización del producto con elementos digitales sea superior a cinco años, como suele ocurrir en el caso de los componentes de equipo informático, como placas madre o microprocesadores, dispositivos de red como enrutadores, módems o conmutadores, así como programas informáticos, como sistemas operativos o herramientas de edición de vídeo, los fabricantes deben garantizar en consecuencia períodos de soporte más largos. En particular, los productos con elementos digitales destinados a ser utilizados en entornos industriales, como los sistemas de control industrial, suelen utilizarse durante períodos de tiempo mucho más largos. Un fabricante solo debe poder definir un período de soporte inferior a cinco años cuando así lo justifique la naturaleza del producto con elementos digitales de que se trate y cuando se prevea que dicho producto se utilice durante menos de cinco años, en cuyo caso el período de soporte debe corresponder al tiempo de uso previsto. Por ejemplo, la vida útil de una aplicación de rastreo de contactos destinada a utilizarse durante una pandemia podría limitarse a la duración de la pandemia. Además, algunas aplicaciones informáticas solo pueden ponerse a disposición, por naturaleza, sobre la base de un modelo de suscripción, en particular cuando la aplicación deja de estar disponible para el usuario y, por consiguiente, ya no se utiliza una vez que caduque la suscripción.

Top of page

Cuando los productos con elementos digitales alcancen el final de sus períodos de soporte, a fin de garantizar que las vulnerabilidades puedan tratarse una vez finalizado el período de soporte, los fabricantes deben considerar la posibilidad de divulgar el código fuente de dichos productos con elementos digitales a otras empresas que se comprometan a ampliar la prestación de servicios de gestión de vulnerabilidades o al público. Cuando los fabricantes divulguen el código fuente a otras empresas, deben poder proteger la propiedad del producto con elementos digitales e impedir la difusión del código fuente al público, por ejemplo mediante acuerdos contractuales.

Top of page

A fin de garantizar que los fabricantes de toda la Unión determinen períodos de soporte similares para productos comparables con elementos digitales, el ADCO debe publicar estadísticas sobre los períodos de soporte medios determinados por los fabricantes para las categorías de productos con elementos digitales y publicar orientaciones que indiquen períodos de soporte adecuados para dichas categorías. Además, con vistas a garantizar un enfoque armonizado en todo el mercado interior, la Comisión debe poder adoptar actos delegados para especificar períodos mínimos de soporte para categorías específicas de productos cuando los datos facilitados por las autoridades de vigilancia del mercado sugieran que los períodos de soporte determinados por los fabricantes o bien no se ajustan sistemáticamente a los criterios para determinar los períodos de soporte establecidos en el presente Reglamento, o bien que los fabricantes de diferentes Estados miembros determinan injustificadamente diferentes períodos de soporte.

Top of page

Los fabricantes deben establecer un punto de contacto único que permita a los usuarios comunicarse fácilmente con ellos, también con el fin de notificar y recibir información sobre las vulnerabilidades del producto con elemento digital. Deben hacer que el punto de contacto único sea fácilmente accesible para los usuarios e indicar claramente su disponibilidad, manteniendo esta información actualizada. Cuando los fabricantes opten por ofrecer herramientas automatizadas, por ejemplo, cajas de chat, también deben ofrecer un número de teléfono u otros medios digitales de contacto, como una dirección de correo electrónico o un formulario de contacto. El punto de contacto único no debe basarse exclusivamente en herramientas automatizadas.

Top of page

Los fabricantes deben comercializar sus productos con elementos digitales con una configuración segura por defecto y proporcionar actualizaciones de seguridad a los usuarios de forma gratuita. Los fabricantes solo deben poder apartarse de esos requisitos esenciales de ciberseguridad en relación con los productos adaptados que se ajusten a un fin particular para una determinada empresa y cuando tanto el fabricante como el usuario hayan acordado explícitamente un conjunto diferente de condiciones contractuales.

Top of page

Los fabricantes deben notificar simultáneamente, a través de la plataforma única de notificación, tanto al equipo de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés) designado como coordinador, así como a la ENISA, las vulnerabilidades aprovechadas activamente contenidas en productos con elementos digitales, así como los incidentes graves que repercutan en la seguridad de esos productos. Las notificaciones deben presentarse utilizando el punto final de notificación electrónica de un CSIRT designado como coordinador y deben ser accesibles simultáneamente para la ENISA.

Top of page

Los fabricantes deben notificar las vulnerabilidades aprovechadas activamente para garantizar que los CSIRT designados como coordinadores y la ENISA tengan una visión de conjunto adecuada de esas vulnerabilidades y reciban la información necesaria para desempeñar sus tareas, tal como se establece en la Directiva (UE) 2022/2555, aumentar el nivel general de ciberseguridad de las entidades esenciales e importantes a que se refiere el artículo 3 de dicha Directiva, así como para garantizar el funcionamiento eficaz de las autoridades de vigilancia del mercado. Dado que la mayoría de los productos con elementos digitales se comercializan en todo el mercado interior, cualquier vulnerabilidad aprovechada en un producto con elementos digitales debe considerarse una amenaza para el funcionamiento del mercado interior. La ENISA, de acuerdo con el fabricante, debe divulgar vulnerabilidades solucionadas a la base de datos europea de vulnerabilidades creada de conformidad con el artículo 12, apartado 2, de la Directiva (UE) 2022/2555. La base de datos europea de vulnerabilidades ayudará a los fabricantes a detectar las vulnerabilidades aprovechables conocidas halladas en sus productos con el fin de asegurarse de que la comercialización de productos seguros.

Top of page

Los fabricantes también deben notificar cualquier incidente grave que repercuta en la seguridad del producto con elementos digitales al CSIRT designado como coordinador y a la ENISA. Para garantizar que los usuarios puedan reaccionar rápidamente ante incidentes graves que repercutan en la seguridad de sus productos con elementos digitales, los fabricantes también deben informar a sus usuarios sobre cualquier incidente de este tipo y, en su caso, sobre las medidas correctoras que los usuarios puedan adoptar para atenuar las repercusiones del incidente, por ejemplo, mediante la publicación de la información pertinente en sus sitios web o, cuando el fabricante pueda ponerse en contacto con los usuarios y los riesgos de ciberseguridad lo justifiquen, comunicándose directamente con ellos.

Top of page

Las vulnerabilidades aprovechadas activamente se refieren a casos en los que un fabricante establece que una violación de la seguridad que afecta a sus usuarios o a cualquier otra persona física o jurídica se debe a un agente malintencionado que hace uso de un defecto en uno de los productos con elementos digitales comercializados por el fabricante. Ejemplos de estas vulnerabilidades podrían ser deficiencias en las funciones de identificación y autenticación de un producto. Las vulnerabilidades que se descubren sin una intención maliciosa con fines de comprobación de buena fe, investigación, corrección o divulgación para promover la seguridad o la protección del propietario del sistema y sus usuarios no deben ser objeto de notificaciones obligatorias. Los incidentes graves que repercuten en la seguridad del producto con elementos digitales, por otra parte, se refieren a situaciones en las que un incidente de ciberseguridad afecta a los procesos de desarrollo, producción o mantenimiento del fabricante de manera que pueda dar lugar a un aumento del riesgo de ciberseguridad para los usuarios u otras personas. Es incidente grave puede consistir en una situación en la que un atacante haya comprometido con éxito el canal de publicación a través del que el fabricante hace llegar las actualizaciones de seguridad a los usuarios.

Top of page

Para garantizar que las notificaciones puedan difundirse rápidamente a todos los CSIRT pertinentes designados como coordinadores y para que los fabricantes puedan presentar una notificación única en cada fase del proceso de notificación, la ENISA debe establecer una plataforma única de notificación con puntos finales nacionales de notificación electrónica. La ENISA debe gestionar y mantener las operaciones cotidianas de esa plataforma única de notificación. Los CSIRT designados como coordinadores deben informar a sus respectivas autoridades de vigilancia del mercado sobre las vulnerabilidades o incidentes notificados. La plataforma única de notificación debe diseñarse de manera que garantice la confidencialidad de las notificaciones, en particular en lo que respecta a las vulnerabilidades para las que todavía no se dispone de una actualización de seguridad. Además, la ENISA debe establecer procedimientos para tratar la información de manera segura y confidencial. Sobre la base de la información que recopile, la ENISA debe elaborar un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperación establecido en virtud del artículo 14 de la Directiva (UE) 2022/2555.

Top of page

En circunstancias excepcionales, y en particular a petición del fabricante, el CSIRT designado como coordinador que reciba inicialmente una notificación debe poder decidir retrasar su difusión a los demás CSIRT pertinentes designados como coordinadores a través de la plataforma única de notificación cuando ello pueda justificarse por motivos relacionados con la ciberseguridad y durante un período de tiempo estrictamente necesario. El CSIRT designado como coordinador debe informar inmediatamente a la ENISA sobre la decisión de retrasar y por qué motivos, así como sobre cuándo tiene la intención de seguir difundiendo. La Comisión debe elaborar, mediante un acto delegado, especificaciones sobre las condiciones para cuándo podrían aplicarse los motivos relacionados con la ciberseguridad y debe cooperar con la red de CSIRT establecida en virtud del artículo 15 de la Directiva (UE) 2022/2555 y con la ENISA en la preparación del proyecto de acto delegado. Algunos ejemplos de motivos relacionados con la ciberseguridad son un procedimiento coordinado de divulgación de vulnerabilidades en curso o situaciones en las que se espera que un fabricante proporcione una medida correctora en breve y los riesgos de ciberseguridad de una difusión inmediata a través de la plataforma única de notificación compensan con creces sus beneficios. Si así lo solicita el CSIRT designado como coordinador, la ENISA debe poder apoyar a dicho CSIRT en la aplicación de motivos relacionados con la ciberseguridad en relación con el aplazamiento de la difusión de la notificación sobre la base de la información que la ENISA haya recibido de ese CSIRT sobre la decisión de denegar una notificación por esos motivos de ciberseguridad. Además, en circunstancias especialmente excepcionales, la ENISA no debe recibir todos los detalles de una notificación de vulnerabilidad aprovechada activamente de manera simultánea. Este sería el caso cuando el fabricante señale en su notificación que la vulnerabilidad notificada ha sido aprovechada activamente por un agente malintencionado y que, según la información disponible, no ha sido aprovechada en otro Estado miembro distinto del CSIRT designado como coordinador al que el fabricante haya notificado la vulnerabilidad, cuando cualquier difusión ulterior inmediata de la vulnerabilidad notificada pueda dar lugar probablemente a que se facilite información cuya divulgación sea contraria a los intereses esenciales de dicho Estado miembro, o cuando la vulnerabilidad notificada plantee un riesgo de ciberseguridad elevado inminente derivado de la ulterior difusión. En tales casos, la ENISA solo recibirá acceso simultáneo a la información de que el fabricante ha realizado una notificación, información general sobre el producto con elementos digitales de que se trate, información sobre el carácter general del aprovechamiento de la vulnerabilidad e información sobre el hecho de que dichos motivos de seguridad fueron planteados por el fabricante y, por tanto, no se divulga todo el contenido de la notificación. La notificación completa debe entonces ponerse a disposición de la ENISA y de otros CSIRT pertinentes designados como coordinadores cuando el CSIRT designado inicialmente como coordinador que recibió la notificación considere que esos motivos de seguridad, que reflejan circunstancias especialmente excepcionales, tal como se establecen en el presente Reglamento, dejan de existir. Cuando, sobre la base de la información citada, la ENISA considere que existe un riesgo sistémico que afecta a la seguridad en el mercado interior, recomendará al CSIRT receptor que difunda la notificación completa a los demás CSIRT designados como coordinadores y a la propia ENISA.

Top of page

Cuando los fabricantes notifiquen una vulnerabilidad aprovechada activamente o un incidente grave que afecte a la seguridad de un producto con elementos digitales, deben indicar en qué medida consideran sensible la información notificada. El CSIRT designado como coordinador que recibe inicialmente la notificación debe tener en cuenta esta información a la hora de evaluar si la notificación da lugar a circunstancias excepcionales que justifiquen un retraso en la difusión de la notificación a los demás CSIRT pertinentes designados como coordinadores por motivos justificados relacionados con la ciberseguridad. También debe tener en cuenta esta información a la hora de evaluar si la notificación de una vulnerabilidad aprovechada activamente da lugar a circunstancias especialmente excepcionales que justifiquen que la notificación completa no se ponga simultáneamente a disposición de la ENISA. Por último, los CSIRT designados como coordinadores deben poder tener en cuenta dicha información a la hora de determinar las medidas adecuadas para atenuar los riesgos derivados de tales vulnerabilidades e incidentes.

Top of page

A fin de simplificar la notificación de la información requerida en virtud del presente Reglamento, teniendo en cuenta otros requisitos complementarios de presentación de informes establecidos en el Derecho de la Unión, como el Reglamento (UE) 2016/679, el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo , la Directiva 2002/58/CE del Parlamento Europeo y del Consejo y la Directiva (UE) 2022/2555, así como para reducir la carga administrativa para las entidades, se anima a los Estados miembros a que consideren la posibilidad de establecer a nivel nacional puntos de entrada únicos para esos requisitos de información. El uso de dicho punto de entrada único para la notificación de incidentes de seguridad con arreglo al Reglamento (UE) 2016/679 y a la Directiva 2002/58/CE no debe afectar a la aplicación de las disposiciones del Reglamento (UE) 2016/679 y de la Directiva 2002/58/CE, en particular las relativas a la independencia de las autoridades a que estos actos se refieren. Al establecer la plataforma única de notificación a que se refiere el presente Reglamento, la ENISA debe tener en cuenta la posibilidad de que los puntos finales nacionales de notificación electrónica a que se refiere el presente Reglamento se integren en los puntos de entrada únicos nacionales, que también pueden integrar otras notificaciones exigidas por el Derecho de la Unión.

Top of page

Al establecer la plataforma única de notificación a que se refiere el presente Reglamento y con el fin de aprovechar la experiencia adquirida, la ENISA debe consultar a otras instituciones o agencias de la Unión que gestionan plataformas o bases de datos sujetas a estrictos requisitos de seguridad, como la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA). La ENISA debe también analizar la posible complementariedad con la base de datos europea de vulnerabilidades establecida en virtud del artículo 12, apartado 2, de la Directiva (UE) 2022/2555.

Top of page

Los fabricantes y otras personas físicas y jurídicas deben poder notificar a un CSIRT designado como coordinador o a la ENISA, de forma voluntaria, cualquier vulnerabilidad contenida en un producto con elementos digitales, ciberamenazas que puedan afectar al perfil de riesgo de un producto con elementos digitales, cualquier incidente que afecte a la seguridad de un producto con elementos digitales, así como cuasiincidentes que puedan haber dado lugar a dicho incidente.

Top of page

Los Estados miembros deben tener como objetivo abordar, en la medida de lo posible, los retos a que se enfrentan los investigadores de vulnerabilidades, incluida la posibilidad de incurrir en responsabilidad penal, de conformidad con el Derecho nacional. Dado que las personas físicas y jurídicas que investigan vulnerabilidades podrían incurrir en algunos Estados miembros en responsabilidad civil y penal, se alienta a los Estados miembros a que adopten directrices para que no se actúe penalmente cuando se trate de investigadores de seguridad de la información y que no se exija responsabilidad civil por sus actividades.

Top of page

Los fabricantes de productos con elementos digitales deben establecer políticas de divulgación coordinada de las vulnerabilidades para facilitar la notificación de vulnerabilidades por parte de particulares o entidades, ya sea directamente al fabricante o indirectamente, y cuando se requiera de forma anónima, a través de CSIRT designados coordinadores a efectos de la divulgación coordinada de vulnerabilidades de conformidad con el artículo 12, apartado 1, de la Directiva (UE) 2022/2555. Una política de divulgación coordinada de vulnerabilidades de los fabricantes debe especificar un proceso estructurado a través del cual las vulnerabilidades se notifican al fabricante de tal manera que este pueda diagnosticar y subsanar las vulnerabilidades antes de que se revele información detallada sobre ellas a terceros o al público. Además, los fabricantes también deben considerar la posibilidad de publicar sus políticas de seguridad en un formato legible por máquina. Dado que la información sobre vulnerabilidades aprovechables en productos de uso generalizado con elementos digitales puede venderse a precios elevados en el mercado negro, los fabricantes de estos productos, como parte de sus políticas de divulgación coordinada de vulnerabilidades, deben poder utilizar programas para incentivar la notificación de vulnerabilidades, garantizando que las personas o las entidades reciban reconocimiento y compensación por sus esfuerzos. Esto atañe a los denominados «programas de recompensa por detección de errores» o «bug bounty».

Top of page

A fin de facilitar el análisis de las vulnerabilidades, los fabricantes deben especificar y documentar los componentes contenidos en los productos con elementos digitales, también mediante la elaboración de una SBOM. Una SBOM puede proporcionar a quienes fabrican, compran y utilizan dichos programas información que mejore su comprensión de la cadena de suministro, lo que tiene múltiples beneficios, en particular ayuda a los fabricantes y a los usuarios a rastrear las vulnerabilidades y los riesgos de ciberseguridad conocidos de reciente aparición. Es de particular importancia que los fabricantes garanticen que sus productos con elementos digitales no contengan componentes vulnerables desarrollados por terceros. Los fabricantes no deben estar obligados a hacer pública la SBOM.

Top of page

Conforme a los nuevos modelos de negocio complejos vinculados a las ventas en línea, una empresa que opere en línea puede prestar diversos servicios. Dependiendo de la naturaleza de los servicios prestados en relación con un determinado producto con elementos digitales, la misma entidad puede pertenecer a diferentes categorías de modelos de negocio u operadores económicos. Cuando una entidad presta servicios de intermediación en línea respecto a un producto concreto con elementos digitales y es sencillamente proveedora de un mercado en línea, conforme se define en el artículo 3, apartado 14, del Reglamento (UE) 2023/988, no puede ser considerada operador económico conforme se define en el presente Reglamento. Cuando una misma entidad sea proveedora de un mercado en línea y también ejerza como operador económico tal como se define en el presente Reglamento respecto a la venta de productos con elementos digitales, debe someterse a las obligaciones establecidas en el presente Reglamento para ese tipo de operador económico. Por ejemplo, si el proveedor del mercado en línea también distribuye un producto con elementos digitales, entonces, con respecto a la venta de ese producto, se le consideraría un distribuidor. Del mismo modo, si la entidad en cuestión vende sus propios productos con elementos digitales de marca actuaría como fabricante y, por tanto, tendría que cumplir los requisitos aplicables a los fabricantes. Asimismo, algunas entidades pueden considerarse prestadores de servicios logísticos, tal como se definen en el artículo 3, punto 11, del Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo , si ofrecen tales servicios. Estos casos tendrían que evaluarse caso por caso. Habida cuenta del papel destacado que desempeñan los mercados en línea en la posibilitación del comercio electrónico, deben esforzarse por cooperar con las autoridades de vigilancia del mercado de los Estados miembros con el fin de asegurarse de que los productos con elementos digitales adquiridos en esos mercados en línea se atengan a los requisitos de ciberseguridad formulados en el presente Reglamento.

Top of page

A fin de facilitar la evaluación de la conformidad con los requisitos establecidos en el presente Reglamento, debe aplicarse una presunción de conformidad de los productos con elementos digitales que sean conformes con normas armonizadas que plasmen los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento en especificaciones técnicas detalladas y se adopten de conformidad con el Reglamento (UE) n. o 1025/2012 del Parlamento Europeo y del Consejo . Ese Reglamento establece un procedimiento de presentación de objeciones a las normas armonizadas para el caso en que estas no cumplan plenamente los requisitos establecidos en el presente Reglamento. El proceso de normalización debe garantizar una representación equilibrada de intereses y la participación efectiva de las partes interesadas de la sociedad civil, incluidas las organizaciones de consumidores. También deben tenerse en cuenta las normas internacionales que estén en consonancia con el nivel de protección de la ciberseguridad perseguido por los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento, a fin de facilitar el desarrollo de normas armonizadas y la aplicación del presente Reglamento, así como de facilitar el cumplimiento por parte de las empresas, en particular las microempresas y las pequeñas y medianas empresas, y las que operan a escala mundial.

Top of page

El desarrollo oportuno de normas armonizadas durante el período transitorio para la aplicación del presente Reglamento y la disponibilidad antes de la fecha de aplicación del presente Reglamento serán especialmente importantes para su aplicación efectiva. Esto es, en particular, el caso de los productos con elementos digitales importantes que entran dentro de la clase I. La disponibilidad de las normas armonizadas permitirá a los fabricantes de esos productos llevar a cabo evaluaciones de la conformidad a través del procedimiento de control interno y, por consiguiente, puede evitar los cuellos de botella y los retrasos en las actividades de los organismos de evaluación de la conformidad.

Top of page

El Reglamento (UE) 2019/881 establece un marco europeo voluntario de certificación de la ciberseguridad para productos, procesos y servicios de TIC. Los esquemas europeos de certificación de la ciberseguridad pueden proporcionar un marco común de confianza para que los usuarios utilicen los productos con elementos digitales que entren dentro del ámbito de aplicación del presente Reglamento. El presente Reglamento debe crear por consiguiente sinergias con el Reglamento (UE) 2019/881. A fin de facilitar la evaluación de la conformidad con los requisitos establecidos en el presente Reglamento, se presupondrá que los productos con elementos digitales que hayan sido certificados o para los que se haya expedido una declaración de conformidad en el marco de un esquema europeo de ciberseguridad establecido en virtud del Reglamento (UE) 2019/881 y reconocido por la Comisión mediante acto de ejecución son conformes con los requisitos esenciales de ciberseguridad del presente Reglamento en la medida en que el certificado europeo de ciberseguridad o la declaración de conformidad, o partes de estos, cubran dichos requisitos. La necesidad de nuevos esquemas europeos de certificación de la ciberseguridad para productos con elementos digitales debe evaluarse a la luz del presente Reglamento, también al preparar programa de trabajo evolutivo de la Unión de conformidad con el Reglamento (UE) 2019/881. Cuando sea necesario un nuevo esquema que abarque los productos con elementos digitales, también para facilitar el cumplimiento del presente Reglamento, la Comisión podrá solicitar a la ENISA que prepare propuestas de esquema de conformidad con el artículo 48 del Reglamento (UE) 2019/881. Estos futuros esquemas europeos de certificación de la ciberseguridad que se apliquen a productos con elementos digitales deben tener en cuenta los requisitos esenciales de ciberseguridad y los procedimientos de evaluación de la conformidad establecidos en el presente Reglamento y facilitar su cumplimiento. En el caso de los esquemas europeos de certificación de la ciberseguridad que entren en vigor antes de la entrada en vigor del presente Reglamento, pueden ser necesarias especificaciones adicionales sobre aspectos detallados de cómo puede aplicarse una presunción de conformidad. La Comisión, a través de actos delegados, debe estar facultada para especificar en qué condiciones los esquemas europeos de certificación de la ciberseguridad puedan utilizarse para demostrar la conformidad con los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento. Además, con el fin de evitar cargas administrativas excesivas para los fabricantes, no debería haber obligación alguna para los fabricantes de llevar a cabo una evaluación de la conformidad por parte de terceros, tal como dispone el presente Reglamento para los requisitos correspondientes cuando se haya expedido un certificado de ciberseguridad europeo en el marco de dichos esquemas europeos de certificación de la ciberseguridad, en un nivel sustancial o alto.

Top of page

Tras la entrada en vigor del Reglamento de Ejecución (UE) 2024/482 que se refiere a los productos que entran dentro del ámbito de aplicación del presente Reglamento, como los módulos de seguridad del hardware (HSM) y los microprocesadores de los equipos informáticos, la Comisión debe poder especificar, mediante un acto delegado, el modo en que el esquema europeo de certificación de la ciberseguridad supone la presunción de conformidad con los requisitos esenciales de ciberseguridad especificados en el presente Reglamento o partes de estos. Además, dicho acto delegado podrá especificar la medida en que un certificado expedido con arreglo al esquema europeo de certificación de la ciberseguridad exime a los fabricantes de la obligación de llevar a cabo una evaluación de terceros, tal como exige el presente Reglamento para los requisitos correspondientes.

Top of page

El actual marco de normalización europeo, que se basa en los principios del nuevo enfoque establecidos en la Resolución del Consejo de 7 de mayo de 1985 relativa a una nueva aproximación en materia de armonización y de normalización y en el Reglamento (UE) n. o 1025/2012, representa el marco por defecto para elaborar normas que prevean una presunción de conformidad con los requisitos esenciales de ciberseguridad pertinentes del presente Reglamento. Las normas europeas deben estar orientadas al mercado y tener en cuenta el interés público, así como los objetivos estratégicos claramente enunciados en la solicitud de la Comisión a una o varias organizaciones europeas de normalización para que elaboren normas armonizadas dentro de un plazo determinado y a partir del consenso. No obstante, en ausencia de referencias pertinentes a normas armonizadas, la Comisión debe poder adoptar actos de ejecución que establezcan especificaciones comunes relativas a los requisitos esenciales de ciberseguridad que establece el presente Reglamento, siempre que al hacerlo respete debidamente el papel y las funciones de los organismos de normalización, como solución alternativa excepcional para facilitar la obligación del fabricante de cumplir esos requisitos esenciales de ciberseguridad, o cuando el proceso de normalización esté bloqueado o cuando se produzcan retrasos en el establecimiento de normas armonizadas adecuadas. Si dichos retrasos se deben a la complejidad técnica de la norma en cuestión, la Comisión debe tenerlo en cuenta antes de considerar si procede establecer especificaciones comunes.

Top of page

Con vistas a establecer, de la manera más eficiente, especificaciones comunes que comprendan los requisitos esenciales de ciberseguridad de diseño ecológico que establece el presente Reglamento, la Comisión debe implicar proceso a las partes interesadas pertinentes.

Top of page

Por «período razonable» debe entenderse, en relación con la publicación de la referencia a normas armonizadas en el Diario Oficial de la Unión Europea de conformidad con el Reglamento (UE) n. o 1025/2012, un período durante el cual se espera la publicación en el Diario Oficial de la Unión Europea de la referencia a la norma, su corrección de errores o su modificación, y que no debe exceder de un año después de la fecha límite para la elaboración de una norma europea establecida de conformidad con el Reglamento (UE) n. o 1025/2012.

Top of page

Para facilitar la evaluación de la conformidad con los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento, debe presuponerse la conformidad de los productos con elementos digitales que sean conformes con las especificaciones comunes adoptadas por la Comisión con arreglo al presente Reglamento a fin de indicar las especificaciones técnicas detalladas de dichos requisitos.

Top of page

La aplicación de normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 que aporten una presunción de conformidad en relación con los requisitos esenciales de ciberseguridad aplicables a los productos con elementos digitales facilitará la evaluación de la conformidad por parte de los fabricantes. Si el fabricante opta por no aplicar tales medios a determinados requisitos, ha de indicar en su documentación técnica cómo se alcanza la conformidad de otro modo. Además, la aplicación de normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 que reconozcan una presunción de conformidad por parte de los fabricantes facilitaría el control de la conformidad de los productos con elementos digitales por parte de las autoridades de vigilancia del mercado. Por consiguiente, se anima a los fabricantes de productos con elementos digitales a aplicar dichas normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad.

Top of page

Los fabricantes deben elaborar una declaración UE de conformidad a fin de aportar la información requerida por el presente Reglamento sobre la conformidad de los productos con elementos digitales con los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento y, cuando proceda, en otra legislación de armonización de la Unión aplicable al producto con elementos digitales. También puede obligarse a los fabricantes a preparar una declaración UE de conformidad con arreglo a otros actos jurídicos de la Unión. Para garantizar un acceso efectivo a la información con fines de vigilancia del mercado, debe prepararse una única declaración UE de conformidad relativa al cumplimiento de todos los actos jurídicos pertinentes de la Unión. A fin de reducir las cargas administrativas para los operadores económicos, dicha declaración única de la UE ha de poder consistir en un expediente compuesto por cada una de las correspondientes declaraciones de conformidad.

Top of page

El marcado CE, que indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluación de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n. o 765/2008 del Parlamento Europeo y del Consejo . En el presente Reglamento deben establecerse normas relativas a la colocación del marcado CE en productos con elementos digitales. El marcado CE debe ser el único marcado que garantice que los productos con elementos digitales cumplen con los requisitos establecidos en el presente Reglamento.

Top of page

Para que los operadores económicos puedan demostrar la conformidad con los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento y para que las autoridades de vigilancia del mercado puedan garantizar que los productos con elementos digitales comercializados cumplen dichos requisitos, es necesario establecer procedimientos de evaluación de la conformidad. La Decisión n. o 768/2008/CE del Parlamento Europeo y del Consejo establece módulos de procedimientos de evaluación de la conformidad proporcionales al nivel de riesgo existente y al nivel de seguridad requerido. Para garantizar la coherencia intersectorial y evitar variantes ad hoc , los procedimientos de evaluación de la conformidad adecuados para verificar la conformidad de los productos con elementos digitales con los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento se deben basar en dichos módulos. Los procedimientos de evaluación de la conformidad deben examinar y verificar los requisitos relacionados con los productos y los procesos que abarcan todo el ciclo de vida de los productos con elementos digitales, incluidos la planificación, el diseño, el desarrollo o la producción, las pruebas y el mantenimiento del producto con elementos digitales.

Top of page

La evaluación de la conformidad de los productos con elementos digitales que no figuren en la lista de productos importantes o críticos con elementos digitales en el presente Reglamento podrá ser realizada por el fabricante bajo su propia responsabilidad siguiendo el procedimiento de control interno basado en el módulo A de la Decisión n. o 768/2008/CE, de conformidad con el presente Reglamento. Esto también se aplica a los casos en que un fabricante opte por no aplicar total o parcialmente una norma armonizada, una especificación común o un esquema europeo de certificación de la ciberseguridad aplicable. El fabricante mantiene la opción de elegir un procedimiento de evaluación de la conformidad más estricto en el que participe un tercero. En el marco del procedimiento de evaluación de la conformidad de control interno, el fabricante garantiza y declara, bajo su exclusiva responsabilidad, que el producto con elementos digitales y los procesos del fabricante cumplen los requisitos esenciales de ciberseguridad aplicables establecidos en el presente Reglamento. Si un producto importante con elementos digitales entra dentro de la clase I, se requieren garantías adicionales para demostrar la conformidad con los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento. Si el fabricante desea llevar a cabo la evaluación de la conformidad bajo su propia responsabilidad (módulo A), debe aplicar normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 que hayan sido reconocidos por la Comisión mediante un acto de ejecución. Si el fabricante no aplica estas normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad, debe someterse a una evaluación de la conformidad en la que participe un tercero (basado en los módulos B y C o H). Teniendo en cuenta la carga administrativa de los fabricantes y el hecho de que la ciberseguridad desempeña un papel importante en la fase de diseño y desarrollo de productos tangibles e intangibles con elementos digitales, los procedimientos de evaluación de la conformidad basados, respectivamente, en los módulos B y C o H de la Decisión n. o 768/2008/CE han sido elegidos como los más adecuados para evaluar la conformidad de los productos con elementos digitales importantes de manera proporcionada y eficaz. El fabricante que opte por la evaluación de la conformidad de terceros puede elegir el procedimiento que se adapte mejor a su proceso de diseño y producción. Dado el riesgo de ciberseguridad aún mayor vinculado al uso de productos con elementos digitales importantes incluidos en la clase II, la evaluación de la conformidad debe implicar siempre a un tercero, incluso cuando el producto cumpla total o parcialmente las normas armonizadas, las especificaciones comunes o los esquemas europeos de certificación de la ciberseguridad. Los fabricantes de productos importantes con elementos digitales que se consideren programas informáticos libres y de código abierto deben poder seguir el procedimiento de control interno basado en el módulo A, siempre que pongan la documentación técnica a disposición del público.

Top of page

Si bien la creación de productos tangibles con elementos digitales suele exigir a los fabricantes un esfuerzo considerable a lo largo de las fases de diseño, desarrollo y producción, la creación de productos con elementos digitales en forma de programas informáticos se centra casi exclusivamente en el diseño y el desarrollo, mientras que la fase de producción desempeña un papel menor. No obstante, en muchos casos, los productos consistentes en programas informáticos aún tienen que compilarse, integrarse, empaquetarse, hacerse disponibles para su descarga o copiarse en soportes físicos antes de su introducción en el mercado. Estas actividades deben considerarse como equivalentes a la fase de producción cuando se apliquen los módulos de evaluación de la conformidad pertinentes para verificar la conformidad del producto con los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento a lo largo de las fases de diseño, desarrollo y producción.

Top of page

En relación con las microempresas y las pequeñas empresas, a fin de garantizar la proporcionalidad, conviene aligerar los costes administrativos sin afectar al nivel de protección de la ciberseguridad de los productos con elementos digitales que entran en el ámbito de aplicación del presente Reglamento o a la igualdad de condiciones entre fabricantes. Procede, por tanto, que la Comisión establezca un formulario simplificado de documentación técnica dirigido a las necesidades de las microempresas y las pequeñas empresas. El formulario simplificado de documentación técnica adoptado por la Comisión debe abarcar todos los elementos aplicables relacionados con la documentación técnica establecidos en el presente Reglamento y especificar cómo una microempresa o una pequeña empresa puede proporcionar los elementos solicitados de manera concisa, como la descripción del diseño, el desarrollo y la producción del producto con elementos digitales. De este modo, el formulario contribuiría a aliviar la carga administrativa de cumplimiento proporcionando a las empresas afectadas seguridad jurídica sobre el alcance y el detalle de la información que debe facilitarse. Las microempresas y las pequeñas empresas deben poder optar por proporcionar los elementos aplicables relacionados con la documentación técnica de forma amplia y no aprovechar la forma técnica simplificada de que disponen.

Top of page

Con el fin de promover y proteger la innovación, es importante que se tengan especialmente en cuenta los intereses de los fabricantes que sean microempresas o pequeñas o medianas empresas, en particular microempresas y pequeñas empresas, incluidas las empresas emergentes. A tal fin, los Estados miembros podrían desarrollar iniciativas dirigidas a fabricantes que sean microempresas o pequeñas empresas, también en materia de formación, sensibilización, comunicación de información, pruebas y actividades de evaluación de la conformidad por terceros, así como la creación de espacios controlados de pruebas. Los costes de traducción relacionados con la documentación obligatoria, como la documentación técnica y la información y las instrucciones para el usuario exigidas en virtud del presente Reglamento, y la comunicación con las autoridades, pueden constituir un coste significativo para los fabricantes, en particular los de menor tamaño. Por consiguiente, los Estados miembros deben tener la posibilidad de considerar que una de las lenguas en las que determinen y acepten que los fabricantes presenten la documentación pertinente y que pueda usarse para la comunicación con los fabricantes sea una lengua ampliamente conocida por el mayor número posible de usuarios.

Top of page

Con el fin de garantizar una aplicación fluida del presente Reglamento, los Estados miembros deben esforzarse por garantizar, antes de la fecha de aplicación del presente Reglamento, que existe un número suficiente de organismos notificados en la Unión para llevar a cabo las evaluaciones de la conformidad de terceros. La Comisión debe asistir a los Estados miembros y otras partes pertinentes en esta labor, con el fin de evitar los cuellos de botella y los obstáculos de los fabricantes a la entrada al mercado. Las actividades de formación específicas dirigidas por los Estados miembros, también, cuando proceda, con el apoyo de la Comisión, pueden contribuir a la disponibilidad de profesionales cualificados, incluido el apoyo a las actividades de los organismos notificados en virtud del presente Reglamento. Además, teniendo en cuenta los costes que puede entrañar la evaluación de la conformidad por parte de terceros, deben considerarse iniciativas de financiación a escala nacional y de la Unión destinadas a aliviar dichos costes para las microempresas y las pequeñas empresas.

Top of page

A fin de garantizar la proporcionalidad, los organismos de evaluación de la conformidad, al fijar las tarifas por los procedimientos de evaluación de la conformidad, deben tener en cuenta los intereses y necesidades específicos de las microempresas y las pequeñas y medianas empresas, incluidas las empresas emergentes. En particular, los organismos de evaluación de la conformidad solo deben aplicar el procedimiento de examen y las pruebas pertinentes previstos en el presente Reglamento cuando proceda y siguiendo un enfoque basado en el riesgo.

Top of page

Los objetivos de los espacios controlados de pruebas deben ser fomentar la innovación y la competitividad de las empresas mediante el establecimiento de entornos de prueba controlados antes de la introducción en el mercado de productos con elementos digitales. Los espacios controlados de pruebas deben contribuir a mejorar la seguridad jurídica para todos los operadores que entran en el ámbito de aplicación del presente Reglamento y facilitar y acelerar el acceso al mercado de la Unión de los productos con elementos digitales, en particular cuando los suministren microempresas y pequeñas empresas, incluidas las empresas emergentes.

Top of page

Las autoridades notificantes nacionales deben informar a la Comisión y a los demás Estados miembros acerca de los organismos que realizarán la evaluación de la conformidad por parte de terceros de los productos con elementos digitales, siempre y cuando cumplan una serie de requisitos, en particular en lo que respecta a su independencia, sus competencias y la ausencia de conflictos de intereses.

Top of page

Para garantizar un mismo nivel de calidad en la evaluación de la conformidad de los productos con elementos digitales, también es necesario establecer los requisitos que deben cumplir las autoridades notificantes y otros organismos que participen en la evaluación, la notificación y la supervisión de los organismos notificados. El sistema que dispone el presente Reglamento debe complementarse con el sistema de acreditación establecido en el Reglamento (CE) n. o 765/2008. Puesto que la acreditación es un medio esencial para comprobar la competencia de los organismos de evaluación de la conformidad, debe utilizarse también a efectos de notificación.

Top of page

Los organismos de evaluación de la conformidad que hayan sido acreditados y notificados con arreglo al Derecho de la Unión que establezcan requisitos similares a los establecidos en el presente Reglamento, como un organismo de evaluación de la conformidad que haya sido notificado para un esquema europeo de certificación de la ciberseguridad adoptado en virtud del Reglamento (UE) 2019/881 o notificado con arreglo al Reglamento Delegado (UE) 2022/30, deben ser evaluados de nuevo y notificados con arreglo al presente Reglamento. Sin embargo, las autoridades competentes pueden definir sinergias en relación con cualquier requisito que se solape, a fin de evitar una carga financiera y administrativa innecesaria, así como garantizar un proceso de notificación fluido y oportuno.

Top of page

Una acreditación transparente como la prevista en el Reglamento (CE) n. o 765/2008, que garantice el nivel de confianza necesario en los certificados de conformidad, debe ser considerada por las autoridades públicas nacionales de toda la Unión la forma más adecuada de demostrar la competencia técnica de dichos organismos de evaluación. No obstante, las autoridades nacionales pueden considerar que poseen los medios adecuados para llevar a cabo esa evaluación por sí mismas. En tal caso, con el fin de garantizar que las evaluaciones realizadas por otras autoridades nacionales tengan un grado adecuado de credibilidad, estas autoridades deben proporcionar a la Comisión y a los demás Estados miembros las pruebas documentales necesarias de que los organismos de evaluación de la conformidad evaluados cumplen los requisitos normativos aplicables.

Top of page

Es frecuente que los organismos de evaluación de la conformidad subcontraten parte de sus actividades relacionadas con la evaluación de la conformidad o que recurran a una filial. A fin de salvaguardar el nivel de protección exigido para la introducción en el mercado de productos con elementos digitales, es esencial que los subcontratistas y las filiales que evalúen la conformidad cumplan los mismos requisitos que los organismos notificados en cuanto a la realización de las tareas de evaluación de la conformidad.

Top of page

La autoridad notificante debe enviar la notificación de un organismo de evaluación de la conformidad a la Comisión y a los demás Estados miembros a través del Sistema de información sobre organismos notificados y designados de nuevo enfoque (NANDO, por sus siglas en inglés). El Sistema de información NANDO es la herramienta de notificación electrónica desarrollada y gestionada por la Comisión, y en ella se puede encontrar una lista de todos los organismos notificados.

Top of page

Dado que los organismos notificados pueden ofrecer sus servicios en toda la Unión, procede ofrecer a los demás Estados miembros y a la Comisión la oportunidad de presentar objeciones a propósito de un organismo notificado. Por lo tanto, es importante fijar un plazo durante el que se pueda aclarar cualquier duda o preocupación sobre la competencia de los organismos de evaluación de la conformidad antes de que empiecen a trabajar como organismos notificados.

Top of page

En aras de la competitividad, es fundamental que los organismos notificados apliquen los procedimientos de evaluación de la conformidad sin crear cargas innecesarias para los operadores económicos. Por el mismo motivo y para garantizar la igualdad de trato a esos operadores, debe garantizarse que la aplicación técnica de los procedimientos de evaluación de la conformidad sea uniforme. La mejor manera de lograrlo es instaurar una coordinación y una cooperación adecuadas entre los organismos notificados.

Top of page

La vigilancia del mercado es un instrumento esencial para garantizar la aplicación correcta y uniforme del Derecho de la Unión. Por lo tanto, es oportuno establecer un marco jurídico en el que pueda llevarse a cabo la vigilancia del mercado de manera apropiada. Las normas sobre vigilancia del mercado de la Unión y control de los productos que entran en el mercado de la Unión establecidas en el Reglamento (UE) 2019/1020 se aplican a los productos con elementos digitales que entran dentro del ámbito de aplicación del presente Reglamento.

Top of page

De conformidad con el Reglamento (UE) 2019/1020, las autoridades de vigilancia del mercado efectúan la vigilancia del mercado en el territorio del Estado miembro que las designe. El presente Reglamento no debe impedir que los Estados miembros elijan a las autoridades competentes para desempeñar funciones de vigilancia del mercado. Cada Estado miembro debe designar a una o varias autoridades de vigilancia del mercado en su territorio. Los Estados miembros deben poder optar por designar a cualquier autoridad existente o nueva para que actúe en calidad de autoridad de vigilancia del mercado, incluidas las autoridades nacionales competentes designadas o especificadas en virtud del artículo 8 de la Directiva (UE) 2022/2555 y las autoridades nacionales de certificación de la ciberseguridad designadas en virtud del artículo 58 del Reglamento (UE) 2019/881 o las autoridades de vigilancia del mercado designadas a efectos de la Directiva 2014/53/UE. Los operadores económicos deben cooperar plenamente con las autoridades de vigilancia del mercado y otras autoridades competentes. Cada Estado miembro debe informar a la Comisión y a los demás Estados miembros acerca de sus autoridades de vigilancia del mercado y de los ámbitos de competencia de cada una de ellas, así como garantizar las capacidades y los recursos necesarios para desempeñar las funciones de vigilancia del mercado relacionadas con el presente Reglamento. En virtud del artículo 10, apartados 2 y 3, del Reglamento (UE) 2019/1020, cada Estado miembro debe designar una oficina de enlace única que debe ser responsable de, entre otras cosas, representar la posición coordinada de las autoridades de vigilancia del mercado y prestar asistencia en la cooperación entre las autoridades de vigilancia del mercado en diferentes Estados miembros.

Top of page

Debe establecerse un Grupo de Cooperación Administrativa (ADCO, por sus siglas en inglés) específico en relación con la ciberresiliencia de los productos con elementos digitales para la aplicación uniforme del presente Reglamento, de conformidad con el artículo 30, apartado 2, del Reglamento (UE) 2019/1020. El ADCO debe estar compuesto por representantes de las autoridades de vigilancia del mercado designadas y, en su caso, por representantes de las oficinas de enlace únicas. La Comisión debe apoyar y fomentar la cooperación entre las autoridades de vigilancia del mercado a través de la Red de la Unión sobre Conformidad de los Productos, establecida en virtud del artículo 29 del Reglamento (UE) 2019/1020 y compuesta por representantes de cada Estado miembro, incluidos un representante de cada oficina de enlace única a que se refiere el artículo 10 del citado Reglamento y un experto nacional opcional, los presidentes de los ADCO y representantes de la Comisión. La Comisión debe participar en las reuniones de la Red de la Unión sobre Conformidad de los Productos, sus subgrupos y el ADCO. También debe ayudar al ADCO por medio de una secretaría ejecutiva que preste apoyo técnico y logístico. El ADCO también podrá invitar a participar a expertos independientes y servir de enlace con otros ADCO, como el establecido con arreglo a la Directiva 2014/53/UE.

Top of page

Las autoridades de vigilancia del mercado, a través del ADCO establecido con arreglo al presente Reglamento, deben cooperar estrechamente y deben poder elaborar documentos de orientación para facilitar las actividades de vigilancia del mercado a nivel nacional, por ejemplo, mediante el desarrollo de mejores prácticas e indicadores para comprobar eficazmente la conformidad de los productos con elementos digitales con el presente Reglamento.

Top of page

A fin de garantizar el establecimiento de medidas oportunas, proporcionadas y eficaces en relación con los productos con elementos digitales que presenten un riesgo de ciberseguridad significativo, debe preverse un procedimiento de salvaguardia de la Unión con arreglo al cual se informe a las partes interesadas de las medidas que se vayan a adoptar en relación con dichos productos. También debe permitir a las autoridades de vigilancia del mercado actuar, en cooperación con los operadores económicos correspondientes, en una fase más temprana cuando sea necesario. Si los Estados miembros y la Comisión están de acuerdo en la justificación de una medida adoptada por un Estado miembro, no debe exigirse mayor intervención de la Comisión excepto en los casos en los que la no conformidad pueda atribuirse a la insuficiencia de una norma armonizada.

Top of page

En determinados casos, un producto con elementos digitales que cumpla lo dispuesto en el presente Reglamento puede, no obstante, presentar un riesgo de ciberseguridad significativo o plantear un riesgo para la salud o la seguridad de las personas, para el cumplimiento de las obligaciones en virtud del Derecho nacional o de la Unión en materia de protección de los derechos fundamentales, para la disponibilidad, autenticidad, integridad o confidencialidad de los servicios ofrecidos mediante un sistema electrónico de información por entidades esenciales contempladas en el artículo 3, apartado 1, de la Directiva (UE) 2022/2555 o para otros aspectos relativos a la protección del interés público. Es por tanto necesario establecer normas que garanticen la reducción de estos riesgos. En consecuencia, las autoridades de vigilancia del mercado deben adoptar medidas para exigir al operador económico que se asegure de que el producto ya no presenta dicho riesgo, que lo retire del mercado o que lo recupere, dependiendo del riesgo que presente. Tan pronto como una autoridad de vigilancia del mercado restrinja o prohíba la libre circulación de un producto con elementos digitales de esa manera, el Estado miembro debe notificar inmediatamente a la Comisión y a los demás Estados miembros las medidas provisionales, indicando las razones y la justificación de esa decisión. Cuando una autoridad de vigilancia del mercado adopte tales medidas contra productos con elementos digitales que planteen un riesgo, la Comisión debe consultar sin demora a los Estados miembros y al operador o los operadores económicos pertinentes y debe evaluar la medida nacional. Basándose en los resultados de dicha evaluación, la Comisión debe decidir si la medida nacional está o no justificada. La Comisión debe comunicar inmediatamente su decisión a todos los Estados miembros y al operador o los operadores económicos pertinentes. Si la medida se considera justificada, la Comisión también debe considerar si adopta o no propuestas para revisar el Derecho de la Unión pertinente.

Top of page

Por lo que respecta a los productos con elementos digitales que presenten un riesgo de ciberseguridad significativo y en relación con los cuales existan motivos para creer que incumplen el presente Reglamento, o bien a los productos que cumplen el presente Reglamento pero presentan otros riesgos importantes, como riesgos para la salud o la seguridad de las personas, para el cumplimiento de las obligaciones con arreglo al Derecho de la Unión o nacional en materia de protección de los derechos fundamentales o para la disponibilidad, autenticidad, integridad o confidencialidad de los servicios ofrecidos mediante un sistema de electrónico información por entidades esenciales contempladas en el artículo 3, apartado 1, de la Directiva (UE) 2022/2555, la Comisión debe poder solicitar a la ENISA que lleve a cabo una evaluación. Sobre la base de dicha evaluación, la Comisión debe poder adoptar, mediante actos de ejecución, medidas correctoras o restrictivas a escala de la Unión, como obligar a que los productos con elementos digitales de que se trate se retiren del mercado o se recuperen en un plazo razonable, proporcional a la naturaleza del riesgo. La Comisión solo debe poder recurrir a tal medida en circunstancias excepcionales que justifiquen una intervención inmediata para preservar el correcto funcionamiento del mercado interior y únicamente cuando las autoridades de vigilancia del mercado no hayan adoptado medidas eficaces para subsanar la situación. Tales circunstancias excepcionales pueden darse en situaciones de emergencia en las que, por ejemplo, un fabricante comercialice de manera generalizada en varios Estados miembros un producto con elementos digitales no conforme utilizado asimismo en sectores clave por entidades que entren en el ámbito de aplicación de la Directiva (UE) 2022/2555, a pesar de contener vulnerabilidades conocidas que estén siendo aprovechadas por agentes malintencionados y para las que el fabricante no proporcione parches disponibles. La Comisión solo debe poder intervenir en situaciones de emergencia de este tipo mientras duren las circunstancias excepcionales y si persiste el incumplimiento del presente Reglamento o los riesgos importantes detectados.

Top of page

Cuando existan indicios de incumplimiento del presente Reglamento en varios Estados miembros, las autoridades de vigilancia del mercado deben poder llevar a cabo actividades conjuntas con otras autoridades, con el objetivo de verificar el cumplimiento y determinar los riesgos de ciberseguridad de los productos con elementos digitales.

Top of page

Las acciones de control simultáneas coordinadas («barridos») son medidas de ejecución específicas que las autoridades de vigilancia del mercado llevan a cabo para seguir mejorando la seguridad de los productos. En particular, deben llevarse a cabo barridos cuando las tendencias del mercado, las reclamaciones de los consumidores u otras indicaciones muestren que determinadas categorías de productos con elementos digitales presentan a menudo riesgos de ciberseguridad graves. Además, al determinar las categorías de productos para las que deben llegarse a cabo barridos, las autoridades de vigilancia del mercado también deben tener en cuenta circunstancias relacionadas con factores de riesgo no técnicos. A tal fin, las autoridades de vigilancia del mercado deben poder tener en cuenta los resultados de las evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas a escala de la Unión llevadas a cabo de conformidad con el artículo 22 de la Directiva (UE) 2022/2555, incluidas circunstancias relativas a factores de riesgo no técnicos. La ENISA debe presentar a las autoridades de vigilancia del mercado propuestas de categorías de productos con elementos digitales para las que podrían organizarse barridos, sobre la base, entre otras cosas, de las notificaciones de vulnerabilidades e incidentes que reciba.

Top of page

En vista de sus conocimientos técnicos y su mandato, la ENISA debe poder apoyar el proceso de ejecución del presente Reglamento. En particular, la ENISA debe ser capaz de proponer actividades conjuntas que las autoridades de vigilancia del mercado deban llevar a cabo sobre la base de indicaciones o información sobre el posible incumplimiento del presente Reglamento por parte de productos con elementos digitales en varios Estados miembros, o de determinar categorías de productos para las que deban organizarse barridos. En circunstancias excepcionales que requieran una intervención inmediata para preservar el correcto funcionamiento del mercado interior, la ENISA, a petición de la Comisión, debe poder llevar a cabo evaluaciones relativas a productos específicos con elementos digitales que presenten un riesgo de ciberseguridad significativo.

Top of page

El presente Reglamento encomienda a la ENISA determinadas tareas que requieren recursos adecuados tanto en términos de conocimientos especializados como de recursos humanos para que la ENISA pueda llevarlas a cabo de manera eficaz. Al preparar el proyecto de presupuesto general de la Unión, la Comisión propondrá los recursos presupuestarios necesarios para la plantilla de personal de la ENISA, de conformidad con el procedimiento establecido en el artículo 29 del Reglamento (UE) 2019/881. En ese proceso, la Comisión tomará en consideración los recursos globales de la ENISA que le permitan desempeñar sus tareas, incluidas las que se le encomiendan en virtud del presente Reglamento.

Top of page

A fin de garantizar que el marco regulador pueda adaptarse cuando sea necesario, deben delegarse en la Comisión los poderes para adoptar actos con arreglo a lo dispuesto en el artículo 290 del Tratado de Funcionamiento de la Unión Europea (TFUE) a efectos de actualizar e incluir en la lista del anexo los productos importantes con elementos digitales. Deben delegarse en la Comisión los poderes para adoptar actos con arreglo a dicho artículo a fin de identificar los productos con elementos digitales regulados por otras normas de la Unión que supongan el mismo nivel de protección que el presente Reglamento y especificar si sería necesaria una limitación o una exclusión del ámbito de aplicación del presente Reglamento, así como, en su caso, el alcance de dicha limitación. También deben delegarse en la Comisión los poderes para adoptar actos con arreglo a dicho artículo con respecto a la posible exigencia de certificación —en el marco de un esquema europeo de certificación— de los productos críticos con elementos digitales que figuran en un anexo del presente Reglamento, así como a la actualización de la lista de productos críticos con elementos digitales, sobre la base de los criterios de criticidad establecidos en el presente Reglamento, y a la especificación de los esquemas europeos de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 que pueden utilizarse para demostrar la conformidad con los requisitos esenciales de ciberseguridad, o partes de ellos, establecidos en un anexo del presente Reglamento. También deben delegarse en la Comisión los poderes para adoptar actos con el fin de especificar el período de soporte mínimo para categorías de producto específicas cuando los datos de vigilancia del mercado indiquen que esos períodos resultan inadecuados, así como de especificar las condiciones de aplicación de los motivos relacionados con la ciberseguridad en lo que respecta al aplazamiento de la difusión de notificaciones sobre vulnerabilidades aprovechadas activamente. Asimismo, deben delegarse en la Comisión los poderes para adoptar actos con el fin de crear programas voluntarios de certificación de la seguridad para evaluar la conformidad de los productos con elementos digitales que se consideren programas informáticos libres y de código abierto con todos o algunos de los requisitos esenciales de ciberseguridad u otras obligaciones establecidos en el presente Reglamento, así como de especificar el contenido mínimo de la declaración UE de conformidad y de completar los elementos que deben incluirse en la documentación técnica. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, incluidas a expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación . En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados. Los poderes para adoptar actos delegados de conformidad con el presente Reglamento deben otorgarse a la Comisión durante un período de cinco años a partir del 10 de diciembre de 2024. La Comisión debe elaborar un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de poderes debe prorrogarse tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.

Top of page

A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución para: especificar la descripción técnica de las categorías de productos importantes con elementos digitales establecidas en un anexo del presente Reglamento; especificar el formato y los elementos de la SBOM; especificar el formato y el procedimiento para las notificaciones de vulnerabilidades aprovechadas activamente e incidentes graves que repercutan en la seguridad de los productos con elementos digitales presentadas por los fabricantes; establecer especificaciones comunes en relación con los requisitos técnicos que permiten cumplir los requisitos esenciales de ciberseguridad establecidos en un anexo del presente Reglamento; establecer especificaciones técnicas para las etiquetas, los pictogramas o cualquier otro marcado relativo a la seguridad de los productos con elementos digitales, su período de soporte y mecanismos para promover su uso y sensibilizar al público sobre la seguridad de los productos con elementos digitales; especificar el formulario de documentación simplificado orientado a las necesidades de las microempresas y las pequeñas empresas; y adoptar decisiones sobre medidas correctoras o restrictivas a escala de la Unión en circunstancias excepcionales que justifiquen una intervención inmediata para preservar el correcto funcionamiento del mercado interior. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n. o 182/2011 del Parlamento Europeo y del Consejo .

Top of page

Todas las partes que participen en la aplicación del presente Reglamento deben respetar la confidencialidad de la información y los datos que obtengan en el ejercicio de sus funciones, con vistas a garantizar la cooperación constructiva y basada en la confianza de las autoridades de vigilancia del mercado en la Unión y a escala nacional.

Top of page

A fin de garantizar el cumplimiento efectivo de las obligaciones establecidas en el presente Reglamento, las autoridades de vigilancia del mercado deben estar facultadas para imponer multas administrativas o solicitar su imposición. Por consiguiente, deben establecerse niveles máximos para las multas administrativas que deben prever las legislaciones nacionales en caso de incumplimiento de las obligaciones establecidas en el presente Reglamento. A la hora de decidir la cuantía de la multa administrativa en cada caso concreto se tomarán en consideración todas las circunstancias pertinentes de la situación correspondiente y, como mínimo, las establecidas explícitamente en el presente Reglamento, también si el fabricante es una microempresa o una pequeña o mediana empresa, incluida una empresa emergente, y si las mismas u otras autoridades de vigilancia del mercado han impuesto ya multas administrativas al mismo operador económico por infracciones similares. Tales circunstancias pueden ser agravantes, en situaciones en las que la infracción cometida por el mismo operador económico persista en el territorio de Estados miembros distintos de aquel en el que ya se haya impuesto una multa administrativa, o bien atenuantes, de modo que se garantice que cualquier otra multa administrativa propuesta por otra autoridad de vigilancia del mercado para el mismo operador económico o el mismo tipo de infracción ya toma en consideración, además de otras circunstancias específicas pertinentes, las sanciones impuestas en otros Estados miembros y la cuantía de estas. En todos estos casos, la multa administrativa acumulada que puedan aplicar las autoridades de vigilancia del mercado de varios Estados miembros a un mismo operador económico por el mismo tipo de infracción debe garantizar el respeto del principio de proporcionalidad. Dado que las multas administrativas no se aplican a las microempresas o pequeñas empresas por el incumplimiento del plazo de veinticuatro horas para presentar notificaciones de alerta temprana de vulnerabilidades aprovechadas activamente o incidentes graves que repercutan en la seguridad de un producto con elementos digitales, ni a los administradores de comunidad de programas informáticos de código abierto por ninguna infracción del presente Reglamento, y respetando el principio de que las sanciones deben ser eficaces, proporcionadas y disuasorias, los Estados miembros no deben imponer otros tipos de sanciones de carácter pecuniario a dichas entidades.

Top of page

Si las multas administrativas se imponen a una persona que no sea una empresa, al valorar la cuantía apropiada de la multa, la autoridad competente debe tener en cuenta el nivel general de ingresos en el Estado miembro, así como la situación económica de la persona. Debe corresponder a los Estados miembros determinar si se debe imponer multas administrativas a las autoridades públicas y en qué medida.

Top of page

Los Estados miembros deben examinar, teniendo en cuenta las circunstancias nacionales, la posibilidad de utilizar los ingresos procedentes de las sanciones previstas en el presente Reglamento o su equivalente financiero para apoyar las políticas de ciberseguridad y aumentar el nivel de ciberseguridad en la Unión, entre otras cosas, incrementando el número de profesionales cualificados en materia de ciberseguridad, reforzando el desarrollo de capacidades de las microempresas y las pequeñas y medianas empresas y mejorando la sensibilización pública sobre las ciberamenazas.

Top of page

En sus relaciones con terceros países, la Unión procura fomentar el comercio internacional de productos regulados. Puede aplicarse una amplia variedad de medidas para facilitar el comercio, incluidos varios instrumentos jurídicos, como los acuerdos de reconocimiento mutuo (ARM) bilaterales (intergubernamentales) para la evaluación de la conformidad y el marcado de productos regulados. Los ARM se establecen entre la Unión y los terceros países que poseen un nivel comparable de desarrollo técnico y un enfoque compatible en lo concerniente a la evaluación de la conformidad. Estos acuerdos se basan en la aceptación mutua de los certificados, las marcas de conformidad y los informes de pruebas emitidos por los organismos de evaluación de la conformidad de cualquiera de las partes de manera conforme con la legislación de la otra parte. Actualmente hay ARM vigentes con varios terceros países. Dichos ARM se han celebrado en varios sectores específicos, que pueden variar según los terceros países. Con el fin de facilitar aún más el comercio y reconociendo que las cadenas de suministro de productos con elementos digitales son mundiales, la Unión, de conformidad con el artículo 218 del TFUE, puede celebrar ARM relativos a la evaluación de la conformidad de los productos regulados por el presente Reglamento. La cooperación con los países terceros asociados también es importante para reforzar la ciberresiliencia a escala mundial, ya que, a largo plazo, contribuirá a reforzar el marco de ciberseguridad tanto dentro como fuera de la Unión.

Top of page

Los consumidores deben poder hacer valer sus derechos en relación con las obligaciones impuestas a los operadores económicos con arreglo al presente Reglamento mediante acciones de representación en virtud de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo . A tal fin, el presente Reglamento debe establecer que la Directiva (UE) 2020/1828 sea aplicable a las acciones de representación relativas a infracciones del presente Reglamento que perjudiquen o puedan perjudicar los intereses colectivos de los consumidores. Por lo tanto, procede modificar el anexo I de dicha Directiva en consecuencia. Corresponde a los Estados miembros garantizar que dicha modificación se refleje en sus medidas de transposición adoptadas en virtud de dicha Directiva, aunque la adopción de medidas nacionales de transposición a este respecto no es una condición para la aplicabilidad de esa Directiva a las acciones de representación citadas. La aplicabilidad de dicha Directiva a las acciones de representación ejercidas en relación con infracciones de las disposiciones del presente Reglamento que perjudiquen o puedan perjudicar los intereses colectivos de los consumidores cometidas por operadores económicos debe comenzar a partir del 11 de diciembre de 2027.

Top of page

La Comisión debe evaluar y revisar periódicamente el presente Reglamento, en consulta con las partes interesadas pertinentes, en particular para determinar si se precisa alguna modificación a raíz de cambios en la situación social, política, tecnológica o del mercado. El presente Reglamento facilitará el cumplimiento de las obligaciones en materia de seguridad de la cadena de suministro de las entidades que entran en el ámbito de aplicación del Reglamento (UE) 2022/2554 y de la Directiva (UE) 2022/2555 y utilizan productos con elementos digitales. En el marco de la citada revisión periódica, la Comisión debe evaluar los efectos combinados del marco de ciberseguridad de la Unión.

Top of page

Los operadores económicos deben disponer de tiempo suficiente para adaptarse a los requisitos establecidos en el presente Reglamento. El presente Reglamento debe ser aplicable a partir del 11 de diciembre de 2027, a excepción de las obligaciones de información relativas a vulnerabilidades aprovechadas activamente e incidentes graves que repercutan en la seguridad de productos con elementos digitales, que deben ser aplicables a partir del 11 de septiembre de 2026 y de las disposiciones relativas a la notificación de los organismos de evaluación de la conformidad, que deben ser aplicables a partir del 11 de junio de 2026.

Top of page

Es importante prestar apoyo en la aplicación del presente Reglamento a las microempresas y a las pequeñas y medianas empresas, incluidas las empresas emergentes, a fin de minimizar los riesgos para la aplicación derivados de la falta de conocimientos y experiencia en el mercado y de facilitar el cumplimiento por parte de los fabricantes de las obligaciones que les impone el presente Reglamento. El programa Europa Digital y otros programas pertinentes de la Unión proporcionan apoyo financiero y técnico que permite a dichas empresas contribuir al crecimiento de la economía de la Unión y al refuerzo del nivel común de ciberseguridad en la Unión. El Centro Europeo de Competencia en Ciberseguridad y los centros nacionales de coordinación, así como los centros europeos de innovación digital creados por la Comisión y los Estados miembros a escala nacional o de la Unión, también podrían apoyar a las empresas y a las organizaciones del sector público y contribuir a la aplicación del presente Reglamento. Dentro de sus respectivas misiones y ámbitos de competencia, podrían prestar apoyo técnico y científico a las microempresas y a las pequeñas y medianas empresas, por ejemplo para actividades de prueba y evaluaciones de la conformidad por parte de terceros. También podrían fomentar el despliegue de herramientas para facilitar la aplicación del presente Reglamento.

Top of page

Por otra parte, los Estados miembros deben considerar la posibilidad de adoptar medidas complementarias encaminadas a proporcionar orientación y apoyo a las microempresas y a las pequeñas y medianas empresas, como el establecimiento de espacios controlados de pruebas y canales de comunicación específicos. Con el fin de reforzar el nivel de ciberseguridad en la Unión, los Estados miembros también pueden considerar la posibilidad de prestar apoyo para desarrollar capacidades y competencias relacionadas con la ciberseguridad de los productos con elementos digitales, mejorar la ciberresiliencia de los operadores económicos —en particular de las microempresas y las pequeñas y medianas empresas— y fomentar la sensibilización pública sobre la ciberseguridad de los productos con elementos digitales.

Top of page

Dado que el objetivo del presente Reglamento no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a los efectos de la acción, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

Top of page

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo , emitió su dictamen el 9 de noviembre de 2022 .

Top of page