El Consejo de la UE ha publicado, bajo la presidencia de Suecia, un nuevo texto de la propuesta de la Ley de Ciberresiliencia.
Tras un debate el pasado 15 de febrero como parte de una reunión sobre la política horizontal en cuestiones cibernéticas, se alcanzó un compromiso parcial en relación a la Ley de Ciberresiliencia (“CRA”). De acuerdo a un informe de Euractiv, dicho compromiso estaría relacionado con otras leyes europeas, la autoridades de control, la aplicación de la normativa y las sanciones. En general, esta propuesta legislativa abarca los requisitos base para los dispositivos conectados.
El nuevo marco legislativo de la CRA requeriría que algunos productos críticos demuestren su conformidad a través de auditorías externas.
El texto aclara que las obligaciones para los operadores económicos, las provisiones sobre vigilancia de mercado, los aspectos relacionados con la aplicación de la normativa y los elementos de cooperación internacional se aplican a dispositivos conectados que no están cubiertos por la nueva ley de ciberseguridad u otra normativa europea de armonización. Se puede demostrar cumplimiento mediante la declaración de conformidad. Con el nuevo marco legislative, algunos productos críticos deberán, conforme a la CRA, demostrar su conformidad a través de auditorías externas. Por ejemplo, cumplir con los requisitos de seguridad será necesario para los sistemas de IA que supongan un alto riesgo de generar daños. También se obligará a los países europeos a implementar un procedimiento de apelación para que los fabricantes de productos puedan impugnar las decisiones de los autores acreditados.
La autoridad de control será responsable del cumplimiento y las sanciones, pero puede delegar estas tareas en una empresa privada.
A pesar de que la autoridad de control puede decidir delegar determinadas tareas en una empresa privada, la autoridad de control seguirá siendo responsable de que se cumpla con la normativa. Si un producto de IoT y los procesos internos del fabricante presentan un riesgo alto aun cuando cumplan con los requisitos, la autoridad de control podrá implementar las medidas apropiadas, como una solicitud para que el producto sea retirado del mercado, siempre y cuando sea proporcional al riesgo que presenta para los derechos y la seguridad de los sujetos, el interés público y la integridad de infraestructuras críticas. Bajo la CRA, un fabricante puede enfrentarse a una multa de hasta 15 millones de euros o el 2.5% de su beneficio anual por no cumplimiento con los requisitos esenciales y las obligaciones de notificación. También se podrán imponer multas de hasta 10 millones de euros o el 2% del beneficio anual en caso de infracciones menos graves.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, Implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado De Protección de Datos. Infórmate aquí.