CECE: “La UE ignora las advertencias de la industria sobre la complejidad de la arquitectura de las máquinas�

Contenido Premium

26 febrero 2024

Tras apenas dos meses de negociaciones interinstitucionales, los responsables políticos de la UE de la presidencia española del Consejo y del Parlamento Europeo alcanzaron un acuerdo sobre las principales disposiciones de la nueva ley de ciberseguridad de la UE para dispositivos conectados, la Ley de Ciberresiliencia (CRA).

Logotipo de CECE Comité Europeo de Equipos de DzԲٰܳó (CECE)

El acuerdo sobre el texto final se alcanzó en un tiempo récord a pesar de las advertencias de la industria sobre la necesidad de evitar la aprobación apresurada de esta pieza legislativa crucial.

No tiene en cuenta las demandas de los fabricantes de productos de larga duración en cuanto a un plazo de implementación adecuado.

Como representante de la industria europea de equipos de construcción, la CECE critica enérgicamente la falta de atención prestada a este asunto.

Como primera pieza legislativa de este tipo en el mundo, una vez en aplicación, la CRA introducirá un conjunto de requisitos de seguridad para productos conectados, desde juguetes inteligentes hasta maquinaria industrial.

Con su amplio alcance, que abarca todos los productos con elementos digitales (tanto hardware como software, con excepción de las piezas de repuesto) disponibles en el mercado y capaces de conectarse a un dispositivo o a una red, la CRA impondrá nuevas obligaciones a los fabricantes durante todo el ciclo de vida de los productos, desde la fase de diseño y desarrollo, y también más allá de la comercialización en el mercado de la UE.

Los productos con elementos digitales que caen dentro del alcance de la CRA se clasifican como categorías predeterminadas, importantes o críticas con un enfoque basado en el riesgo.

Por lo tanto, los fabricantes deberán realizar una evaluación de la conformidad basada en el riesgo asignado de amenazas a la seguridad.

En otras palabras, diferentes clasificaciones de productos requerirán diferentes procedimientos de evaluación de la conformidad.

No obstante, cabe señalar que la integración de productos críticos no convierte por sí sola al producto integrado en sujeto del mismo procedimiento de evaluación de la conformidad.

El enfoque del período de apoyo

La nueva ley de ciberseguridad para productos conectados constituye un expediente prioritario para los miembros de la CECE debido al impacto esperado una vez en aplicación.

A partir de mediados de 2027, los fabricantes de equipos de construcción deberán cumplir una serie de requisitos de seguridad esenciales al comercializar productos con elementos digitales.

Además, las obligaciones vinculadas al manejo de vulnerabilidades seguirán el enfoque del "período de soporte", que ahora se refiere al tiempo en que se espera que un producto esté en uso (tiempo de uso esperado en lugar de vida útil esperada) y reflejará las expectativas de los usuarios y la naturaleza del producto.

Un aspecto positivo radica en el hecho de que los fabricantes pueden considerar otros elementos al determinar la duración del período de soporte, como por ejemplo los períodos de soporte de componentes integrados (funciones principales) obtenidos de terceros, de manera que se garantice la proporcionalidad.

El período mínimo de soporte es de 5 años y todas las actualizaciones de seguridad puestas a disposición del usuario deben permanecer disponibles durante al menos 10 años o durante el resto del período de soporte, lo que sea más largo.

¿Qué pasa después?

El texto del acuerdo político provisional alcanzado en el trílogo debe ser aprobado formalmente tanto por el Parlamento como por el Consejo.

El texto se publicará posteriormente en el Diario Oficial de la UE (publicación prevista para mediados de 2024) y entrará en vigor el vigésimo día siguiente a su publicación.

El período de transición antes de que la CRA entre en vigor se ha ampliado ligeramente, sólo 12 meses.

Las nuevas normas de ciberseguridad para los productos conectados se aplicarán 36 meses, o 3 años, después de la entrada en vigor del nuevo reglamento.

Esto dará a los fabricantes de equipos de construcción un plazo muy limitado (hasta mediados de 2027) para cumplir con los nuevos requisitos de ciberseguridad.

Este breve plazo ignora por completo tanto las advertencias de la industria como la complejidad de los productos de maquinaria, que ahora requerirán cambios significativos en toda la arquitectura de la máquina.

Mantente conectado

Reciba la información que necesita cuando la necesite a través de nuestras revistas, boletines y resúmenes diarios líderes en el mundo.

CONECTE CON EL EQUIPO
Andy Brown Editor, Editorial, UK - Wadhurst Tel: +44 (0) 1892 786224 Correo electrónico: [email protected]
Neil Gerrard Editor Senior, Editorial, UK - Wadhurst Tel: +44 (0) 7355 092 771 Correo electrónico: [email protected]
Catrin Jones Editora Adjunta, Editorial, UK � Wadhurst Tel: +44 (0) 791 2298 133 Correo electrónico: [email protected]
Eleanor Shefford Gerente de Marca Tel: +44 (0) 1892 786 236 Correo electrónico: [email protected]