REQUISITOS HORIZONTALES DE CIBERSEGURIDAD PARA LOS PRODUCTOS CON ELEMENTOS DIGITALES - DICTAMEN DEL SUPERVISOR EUROPEO DE PROTECCION DE DATOS.

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

Resumen

La propuesta tiene por objeto fijar condiciones límite que permitan el desarrollo de productos con elementos digitales seguros, garantizando que los productos consistentes en equipos y programas informáticos se introduzcan en el mercado con menos vulnerabilidades y que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida de un producto. También aspira a crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de elegir y utilizar productos con elementos digitales

Entre las resomendaciones, el SEPD formula las siguientes:

- incluir la protección de datos desde el diseño y por defecto en los requisitos esenciales de ciberseguridad para los productos con elementos digitales;

- explicar en el preámbulo la importancia de los productos con elementos digitales que realizan operaciones criptográficas, incluido el cifrado en reposo y en tránsito y la seudonimización, que son necesarios para la eficacia de la seguridad de la información, la ciberseguridad, la protección de datos y la privacidad.

El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: https://edps.europa.eu

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados ayudados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico  :   cferreyros@hotmail.com

___________________________________________________________________

Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020

(2022/C 452/07)

[El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: https://edps.europa.eu]

El 15 de septiembre de 2022, la Comisión Europea publicó una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (¹) (en lo sucesivo, «la propuesta»).

El SEPD acoge con satisfacción la propuesta y apoya plenamente su objetivo general de mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme relativo a los requisitos esenciales de ciberseguridad para la comercialización de productos con elementos digitales en la Unión.

El SEPD recuerda que en el artículo 5, apartado 1, letra f), del RGPD se establece la seguridad como uno de los principios fundamentales relativos al tratamiento de datos personales. El artículo 32 del RGPD define con más detalle esta obligación, aplicable tanto a los responsables como a los encargados del tratamiento, de garantizar un nivel de seguridad adecuado. Por consiguiente, el SEPD acoge con satisfacción que los principios de seguridad y de minimización de los datos ya estén integrados en los requisitos esenciales de ciberseguridad enumerados en el anexo I de la propuesta. Además, el SEPD recomienda encarecidamente incluir la protección de datos desde el diseño y por defecto en los requisitos esenciales de ciberseguridad para los productos con elementos digitales.

El considerando 17 establece disposiciones de gobernanza muy importantes que no se reflejan en la parte operativa de la propuesta. Por consiguiente, el SEPD recomienda especificar en la parte operativa de la propuesta todos los aspectos relacionados con la creación de sinergias tanto en materia de normalización como de certificación en los aspectos relativos a la ciberseguridad, así como las sinergias entre la propuesta y el Derecho de la Unión en materia de protección de datos en el ámbito de la vigilancia del mercado y la ejecución de las normas. Además, el SEPD considera necesario aclarar que la propuesta no pretende afectar a la aplicación de la legislación vigente de la UE que regula el tratamiento de datos personales, incluidas las funciones y competencias de las autoridades de control independientes competentes para supervisar el cumplimiento de dichos instrumentos.

El SEPD acoge con satisfacción el hecho de que esta disposición reconozca que el tratamiento de datos personales es una función crítica y sensible y, como tal, podría requerir los productos críticos correspondientes con elementos digitales para obtener un certificado europeo de ciberseguridad en el marco de un esquema europeo de certificación de la ciberseguridad. Al mismo tiempo, el SEPD recomienda aclarar en un considerando de la propuesta que la obtención de una certificación europea de ciberseguridad en virtud de la propuesta no garantiza el cumplimiento del RGPD.

Por último, el SEPD acoge con satisfacción las sanciones propuestas, que son similares a las del RGPD, en caso de infracción del artículo 32 del RGPD sobre la seguridad del tratamiento, con una multa máxima del 2,5 % del volumen de negocios total anual. En consecuencia, la propuesta podría servir como una forma de protección adicional para las personas que residen en los Estados miembros de la UE, junto con las disposiciones del RGPD.

1.   INTRODUCCIÓN

   1.         El 15 de septiembre de 2022, la Comisión Europea publicó una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (en lo sucesivo, «la propuesta»).

 

   2.         El objetivo de la propuesta es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme relativo a los requisitos esenciales de ciberseguridad para la comercialización de productos con elementos digitales en la Unión (²). En particular, la propuesta tiene por objeto fijar condiciones límite que permitan el desarrollo de productos con elementos digitales seguros, garantizando que los productos consistentes en equipos y programas informáticos se introduzcan en el mercado con menos vulnerabilidades y que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida de un producto. También aspira a crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de elegir y utilizar productos con elementos digitales (³).

3.            A tal fin, la propuesta establece (⁴):

—  normas para la introducción en el mercado de productos con elementos digitales a fin de garantizar la ciberseguridad de dichos productos;

—  requisitos esenciales para el diseño, el desarrollo y la fabricación de productos con elementos digitales y las obligaciones de los operadores económicos en relación con dichos productos, en lo que respecta a la ciberseguridad;

—  requisitos esenciales para los procesos de gestión de la vulnerabilidad establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales a lo largo de todo el ciclo de vida, y las obligaciones de los operadores económicos en relación con dichos procesos;

—  normas relativas a la vigilancia del mercado y a la aplicación de los requisitos y las normas antes mencionados.

 

 

 

 

 4.         El marco de la UE incluye varios actos legislativos horizontales que se aplican a determinados aspectos relativos a la ciberseguridad desde diferentes ángulos (productos, servicios, gestión de crisis y delitos). En 2013 entró en vigor la Directiva relativa a los ataques contra los sistemas de información (⁵), que armoniza la tipificación penal de una serie de delitos contra los sistemas de información y las sanciones penales aplicables. En agosto de 2016 entró en vigor la Directiva (UE) 2016/1148 (⁶) sobre la seguridad de las redes y sistemas de información (Directiva SRI), el primer acto legislativo a escala de la UE en materia de ciberseguridad. Su revisión, que dio origen a la Directiva SRI 2, aumenta el nivel común de ambición de la UE relativo a la ciberseguridad de los servicios de tecnologías de la información y de las comunicaciones. En 2019 entró en vigor el Reglamento sobre la Ciberseguridad de la Unión (⁷), que tiene por objeto mejorar la seguridad de los productos, servicios y procesos de tecnologías de la información y de las comunicaciones (TIC) mediante la introducción de un marco europeo voluntario de certificación de la ciberseguridad.

 

 5.         El presente Dictamen del SEPD se emite en respuesta a una consulta de la Comisión Europea, de 15 de septiembre de 2022, de conformidad con lo dispuesto en el artículo 42, apartado 1, del RPDUE. EL SEPD también acoge con satisfacción la referencia a esta consulta en el considerando 71 de la propuesta. A este respecto, el SEPD también toma nota con satisfacción de que, de conformidad con el considerando 60 del RPDUE, se le haya consultado informalmente.

3.   CONCLUSIONES

31.          En vista de lo anterior, el SEPD formula las recomendaciones siguientes:

(1) incluir la protección de datos desde el diseño y por defecto en los requisitos esenciales de ciberseguridad para los productos con elementos digitales;

 

(2) explicar en el preámbulo la importancia de los productos con elementos digitales que realizan operaciones criptográficas, incluido el cifrado en reposo y en tránsito y la seudonimización, que son necesarios para la eficacia de la seguridad de la información, la ciberseguridad, la protección de datos y la privacidad;

 

(3) añadir en el anexo II productos tangibles e intangibles con elementos digitales que realizan operaciones criptográficas;

 

(4) suprimir el Reglamento (UE) 2017/745 (⁸) de la lista de actos legislativos excluidos de la aplicación de la propuesta;

 

(5) aclarar expresamente en la propuesta cuáles son los elementos de los requisitos esenciales relativos a los datos personales y la privacidad a que se refiere el artículo 3, apartado 3, letra e), de la Directiva 2014/53/UE (⁹);

 

(6) especificar en la parte operativa de la propuesta todos los aspectos prácticos relacionados con la creación de sinergias tanto en materia de normalización como de certificación en los aspectos relativos a la ciberseguridad, así como las sinergias entre la propuesta y el Derecho de la Unión en materia de protección de datos en el ámbito de la vigilancia del mercado y la ejecución de las normas;

 

(7) aclarar que la propuesta no pretende afectar a la aplicación de la legislación vigente de la UE que regula el tratamiento de datos personales, incluidas las funciones y competencias de las autoridades de control independientes competentes para supervisar el cumplimiento de dichos instrumentos;

 

(8) añadir las definiciones pertinentes de «software libre», «software de código abierto» y «software libre y de código abierto»;

 

(9) aclarar en el considerando de la propuesta que la obtención de una certificación europea de ciberseguridad en virtud de la propuesta no garantiza el cumplimiento del RGPD.

Bruselas, 9 de noviembre de 2022

Wojciech Rafał WIEWIÓROWSKI

---

(¹)  COM/2022/454 final.

(²)  Considerando 1 de la propuesta.

(³)  Considerando 2 de la propuesta.

(⁴)  Artículo 1 de la propuesta.

(⁵)  Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (DO L 218 de 14.8.2013, p. 8).

(⁶)  Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).

(⁷)  Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.^o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(⁸)  Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) n.o 178/2002 y el Reglamento (CE) n.o 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de 5.5.2017, p. 1).

(⁹)  Directiva 2014/53/UE del Parlamento Europeo y del Consejo, de 16 de abril de 2014, relativa a la armonización de las legislaciones de los Estados miembros en materia de comercialización de equipos radioeléctricos y por la que se deroga la Directiva 1999/5/CE (DO L 153 de 22.5.2014, p. 62).