La importancia de regular los productos digitales críticos
Los productos con elementos digitales están presentes en una gran variedad de sectores industriales, empresariales y de consumo. Su uso se ha vuelto tan esencial que ciertos productos cuya funcionalidad básica responde a categorías establecidas en el anexo IV del nuevo Reglamento europeo deberán someterse a medidas de certificación específicas para garantizar su ciberseguridad. El Reglamento otorga a la Comisión Europea la facultad de adoptar actos delegados con el fin de identificar qué productos con elementos digitales deben obtener un certificado europeo de ciberseguridad con un nivel de garantía al menos «sustancial».
Esta certificación deberá realizarse en el marco de un esquema europeo de certificación de la ciberseguridad adoptado conforme al Reglamento (UE) 2019/881. Solo se aplicará a aquellos productos cuya categoría esté incluida en el anexo IV y que cuenten con un esquema de certificación vigente y disponible para los fabricantes. El objetivo es asegurar la conformidad con los requisitos esenciales de ciberseguridad definidos en el anexo I del nuevo Reglamento.
Evaluación de impacto y consulta con partes interesadas
Antes de implementar estos actos delegados, la Comisión deberá llevar a cabo una evaluación detallada de las posibles repercusiones en el mercado. Esta evaluación deberá incluir la consulta a partes interesadas clave, como el Grupo Europeo de Certificación de la Ciberseguridad, también establecido por el Reglamento (UE) 2019/881. La Comisión considerará también el nivel de preparación y la capacidad de los Estados miembros para aplicar eficazmente el correspondiente esquema de certificación.
En caso de que no se hayan adoptado estos actos delegados, los productos afectados continuarán estando sujetos a los procedimientos de evaluación de la conformidad especificados en el artículo 32.3 del Reglamento. Esta situación transitoria busca evitar vacíos legales y garantizar un mínimo de control mientras se desarrollan las medidas completas de certificación.
Períodos transitorios para la adaptación del mercado
Para facilitar la adaptación del mercado y de los fabricantes, los actos delegados incluirán un período transitorio mínimo de seis meses, salvo que existan razones de urgencia que justifiquen una aplicación más inmediata. Esto permite a los fabricantes ajustar sus procesos y productos a las nuevas exigencias sin generar interrupciones bruscas en la cadena de suministro o el mercado.
Modificación del anexo IV y criterios de selección
La Comisión también podrá adoptar actos delegados para modificar el anexo IV, añadiendo o eliminando categorías de productos críticos con elementos digitales. Esta decisión deberá basarse en criterios establecidos en el artículo 7.2 del Reglamento y en una evaluación similar a la mencionada anteriormente.
Criterios para considerar un producto digital como crítico
Al evaluar si una categoría de productos debe ser considerada crítica y sometida a certificación, se aplicarán al menos uno de los siguientes criterios:
Dependencia crítica por parte de entidades esenciales
Si las entidades consideradas esenciales según la Directiva (UE) 2022/2555 dependen críticamente de esa categoría de productos digitales, la Comisión podrá incluirlos en el anexo IV.
Impacto en la cadena de suministro
Si los incidentes o vulnerabilidades que afectan a esa categoría pueden generar perturbaciones graves en las cadenas de suministro críticas, también se considerará crítica y sujeta a los requisitos de certificación.
Conclusión
La regulación europea avanza hacia una mayor seguridad digital mediante la clasificación y certificación de productos críticos con elementos digitales. La Comisión contará con herramientas normativas para definir qué productos deben ser evaluados bajo un esquema europeo de certificación y con qué nivel de garantía. Estas medidas buscan proteger las infraestructuras críticas, reforzar la seguridad del mercado interior y asegurar que los productos digitales cumplen con los más altos estándares de ciberseguridad.
