El nuevo reglamento tendrá por objeto "reducir los riesgos en la cadena de suministro tecnológico en la UE por parte de proveedores de terceros países con problemas de ciberseguridad", explica el Ejecutivo comunitario en un comunicado.

Según la UE, se establecerá un marco fiable de seguridad de la cadena de suministro de TIC basado en un enfoque armonizado, proporcionado y basado en el riesgo. "Esto permitirá a la UE y a los Estados miembros identificar y mitigar conjuntamente los riesgos en los dieciocho sectores críticos de la UE, teniendo en cuenta también las repercusiones económicas y la oferta del mercado", explica la Comisión.

Bruselas señala que "los recientes incidentes de ciberseguridad han puesto de relieve los principales riesgos que plantean las vulnerabilidades en las cadenas de suministro de TIC, que son esenciales para el funcionamiento de los servicios e infraestructuras críticos. En el panorama geopolítico actual, la seguridad de la cadena de suministro ya no se trata solo de la seguridad técnica de los productos o servicios, sino también de los riesgos relacionados con un proveedor, en particular las dependencias y la interferencia extranjera".

Explica que el reglamento de ciberseguridad "permitirá la reducción obligatoria del riesgo de las redes europeas de telecomunicaciones móviles de proveedores de terceros países de alto riesgo, sobre la base del trabajo ya realizado en el marco del conjunto de herramientas de seguridad 5G", en clara referencia a los vetos puestos desde la UE y desde varios países a fabricantes chinos acusados de espionaje como Huawei o ZTE.

CERTIFICACIÓN

La Ley de Ciberseguridad revisada garantizará que los productos y servicios que llegan a los consumidores de la UE se sometan a pruebas de seguridad de manera más eficiente. Esto se hará a través de un Marco Europeo de Certificación de la Ciberseguridad (ECCF) renovado. El ECCF aportará más claridad y simplificará los procedimientos, permitiendo que los regímenes de certificación se desarrollen en un plazo de doce meses por defecto. También introducirá una gobernanza más ágil y transparente para implicar mejor a las partes interesadas a través de la información y la consulta públicas.

El paquete introduce medidas para simplificar el cumplimiento de las normas de ciberseguridad de la UE y los requisitos de gestión de riesgos para las empresas que operan en la UE, complementando el punto de entrada único para la notificación de incidentes propuesto en el Ómnibus Digital. Las modificaciones específicas de la Directiva SRI 2 tienen por objeto aumentar la claridad jurídica. Facilitarán el cumplimiento para 28.700 empresas, incluidas 6.200 microempresas y pequeñas empresas. También introducirán una nueva categoría de pequeñas empresas de mediana capitalización para reducir los costos de cumplimiento para 22.500 empresas. Las enmiendas simplificarán las normas jurisdiccionales, racionalizarán la recopilación de datos sobre ataques de 'ransomware' y facilitarán la supervisión de las entidades transfronterizas con la función de coordinación reforzada de Enisa.

El Reglamento de Ciberseguridad será aplicable inmediatamente después de su aprobación por el Parlamento Europeo y el Consejo de la UE. Las modificaciones que acompañan a la Directiva SRI 2 también se presentarán para su aprobación. Una vez adoptada, los Estados miembros dispondrán de un año para incorporar la Directiva al Derecho nacional y comunicar los textos pertinentes a la Comisión.