Ciberseguridad de la Unión Europea: la Comisión propone la creación de una unidad informática conjunta para intensificar la respuesta a los incidentes de seguridad a gran escala (23 junio 2021)

La Comisión ha presentado el 23 de junio de 2021 una visión para construir una nueva unidad informática conjunta para hacer frente al creciente número de ciberincidentes graves que afectan a los servicios públicos y a la vida de las empresas y los ciudadanos en toda la Unión Europea. Con ello la UE se compromete a apoyar la nueva Estrategia de Ciberseguridad con un nivel de inversiones sin precedentes en la transición digital durante los siete próximos años, sobre todo con cargo al programa Europa Digital, Horizonte Europa y el Plan de Recuperación para Europa.

Vid. Recomendación (EU) 2021/1086 de la Comisión de 23 de junio de 2021 sobre la creación de una Unidad Cibernética Conjunta

Antecedentes

Cada vez son más necesarias respuestas avanzadas y coordinadas en el ámbito de la ciberseguridad, a medida que los ciberataques aumentan en número, escala y consecuencias, lo que afecta gravemente a nuestra seguridad. Todos las partes interesadas de la UE deben estar listas para responder colectivamente e intercambiar información pertinente sobre la base de la «necesidad de comunicar», y no solo de la «necesidad de conocer».

La ciberseguridad es una de las principales prioridades de la Comisión y una piedra angular de una Europa digital y conectada. El aumento de los ciberataques durante la crisis del coronavirus ha puesto de manifiesto la importancia de proteger los centros sanitarios y de atención, los centros de investigación y otras infraestructuras. Por tanto, es necesario adoptar medidas firmes en este ámbito, para que la economía y la sociedad de la UE estén preparadas para el futuro.

Además, en lo que respecta a la ciberseguridad, nuestra desprotección es la de nuestro eslabón más débil. Los ciberataques no se detienen en las fronteras físicas. Por consiguiente, la mejora de la cooperación, incluida la cooperación transfronteriza, en el ámbito de la ciberseguridad es también una prioridad de la UE: en los últimos años, la Comisión ha estado liderando y facilitando varias iniciativas para mejorar la preparación colectiva, ya que las estructuras conjuntas de la UE ya han prestado apoyo a los Estados miembros, tanto a nivel técnico como operativo. La presente recomendación de crear una unidad informática conjunta es otro paso hacia una mayor cooperación y una respuesta coordinada a las ciberamenazas.

Al mismo tiempo, la respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas, esto es, los instrumentos de ciberdiplomacia, fomenta la cooperación y promueve el comportamiento estatal responsable en el ciberespacio, permitiendo a la UE y a sus Estados miembros utilizar todas las medidas de la política exterior y de seguridad común, incluidas las medidas restrictivas, para prevenir, desalentar y contrarrestar las actividades informáticas malintencionadas.

Para garantizar la seguridad tanto en su entorno físico como digital, la Comisión presentó en julio de 2020 la Estrategia de la Unión Europea de la Seguridad para el período 2020-2025. Esta se centra en ámbitos prioritarios en los que la UE puede contribuir a ayudar a los Estados miembros a fomentar la seguridad para todas las personas que viven en Europa: lucha contra el terrorismo y la delincuencia organizada; prevención y detección de las amenazas híbridas y aumento de la resiliencia de nuestras infraestructuras críticas; promoción de la ciberseguridad y fomento de la investigación y la innovación.

Una nueva unidad informática conjunta para prevenir los ciberincidentes cibernéticos a gran escala y hacerles frente

La unidad informática conjunta funcionará como una plataforma destinará a garantizar una respuesta coordinada de la UE a los ciberincidentes y cibercrisis a gran escala, y a ofrecer asistencia para recuperarse de esos ataques. La UE y los Estados miembros cuentan actualmente con numerosas entidades interesadas en diferentes ámbitos y sectores. Aunque los ámbitos pueden ser específicos, las amenazas suelen ser comunes, por lo que es necesario coordinarse, compartir conocimientos e incluso lanzar alertas por anticipado.

Se pedirá a los participantes que faciliten recursos operativos para la asistencia mutua dentro de la unidad informática conjunta (véanse los participantes aquí). La unidad informática conjunta les permitirá intercambiar mejores prácticas e información en tiempo real sobre las amenazas que puedan surgir en sus ámbitos respectivos. También trabajará a nivel operativo y técnico para cumplir el plan de la UE de respuesta a incidentes y crisis de ciberseguridad, basado en los planes nacionales; creará y movilizará equipos de reacción rápida en materia de ciberseguridad de la UE; facilitará la adopción de protocolos de asistencia mutua entre los participantes; creará capacidades nacionales e internacionales de vigilancia y detección, tales como centros de operaciones de seguridad; y tendrá otras actividades.

El ecosistema de ciberseguridad de la UE es amplio y variado y, gracias a la unidad informática conjunta, ahora habrá un espacio común de colaboración entre diferentes grupos y ámbitos, lo que permitirá a las redes existentes aprovechar todo su potencial. Se basa en el trabajo iniciado en 2017 con la Recomendación sobre una respuesta coordinada a los incidentes y crisis, el llamado plan director.

La Comisión propone crear la unidad informática común a través de un proceso gradual y transparente con cuatro etapas, en régimen de responsabilidad común con los Estados miembros y las distintas entidades con actividades en este ámbito. El objetivo es velar porque esta unidad empiece a funcionar a más tardar el 30 de junio de 2022 y esté completamente creada un año después, a más tardar el 30 de junio de 2023. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ejercerá de secretaría en la fase preparatoria y la unidad funcionará cerca de sus oficinas de Bruselas y de la oficina del CERT-UE, el Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la UE.

La Comisión aportará las inversiones necesarias para la creación de la unidad informática conjunta, principalmente con cargo al programa Europa Digital. Los fondos servirán para crear la plataforma física y virtual, crear y mantener canales de comunicación seguros, y mejorar las capacidades de detección. El Fondo Europeo de Defensa podría contribuir, sobre todo para fomentar las capacidades de ciberdefensa de los Estados miembros.

Garantizar la seguridad de los europeos, tanto en línea como fuera de línea

La Comisión ha informado también acerca de los progresos registrados en relación con la Estrategia de la Unión de la Seguridad de la UE para mantener la seguridad de los europeos. Junto con el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad, también presenta el primer informe de ejecución de la nueva Estrategia de Ciberseguridad de la UE.

La Comisión y el Alto Representante presentaron la Estrategia de ciberseguridad de la UE en diciembre de 2020. El presente informe hace balance de los progresos registrados en relación con cada una de las 26 iniciativas de esa Estrategia y hace referencia a la reciente aprobación por el Parlamento Europeo y el Consejo de la Unión Europea del Reglamento por el que se crea la Red y el Centro de Competencias de Ciberseguridad. Se ha avanzado mucho en el refuerzo del marco jurídico para garantizar la resiliencia de los servicios esenciales mediante la propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad (Directiva SRI revisada o «SRI 2»). Por lo que se refiere a la seguridad de las redes de comunicación 5G, la mayoría de los Estados miembros está avanzando en la aplicación de la caja de herramientas 5G de la UE, que ya tiene listos o casi listos marcos para imponer las restricciones adecuadas a los proveedores de 5G. Los requisitos aplicables a los operadores de redes móviles se están reforzando mediante la transposición del Código Europeo de las Comunicaciones Electrónicas, mientras que la Agencia de la Unión Europea para la Ciberseguridad (ENISA) está preparando una propuesta de régimen de certificación de la ciberseguridad de la UE para las redes 5G.

El informe también señala lo realizado por el Alto Representante en materia de fomento de un comportamiento estatal responsable en el ciberespacio, sobre todo mediante la defensa de la creación de un programa de acción por las Naciones Unidas. Además, el Alto Representante ha iniciado el proceso de revisión del marco político de ciberdefensa de la UE para mejorar la cooperación en materia de ciberdefensa, y está llevando a cabo un «ejercicio de lecciones aprendidas» con los Estados miembros para mejorar las herramientas de ciberdiplomacia de la UE y definir oportunidades para seguir reforzando la cooperación internacional y de la UE con este fin. Además, el informe sobre los progresos registrados en la lucha contra las amenazas híbridas, que la Comisión y el Alto Representante también han publicado el 23 de junio de 2021, destaca que desde que se creó el marco común de 2016 de lucha contra las amenazas híbridas (una respuesta de la Unión Europea), la UE ha apoyado una mayor conciencia de la situación, la resiliencia en los sectores críticos, una respuesta adecuada y la recuperación frente a las amenazas híbridas crecientes, tales como la desinformación y los ciberataques, desde el inicio de la pandemia de coronavirus.

También se han dado pasos importantes en los seis últimos meses en relación con la Estrategia de la Unión de la Seguridad de la UE a fin de velar por la seguridad de nuestro entorno físico y digital. Ya se han establecido normas de la UE cruciales que obligarán a las plataformas en línea a retirar los contenidos terroristas señalados por las autoridades de los Estados miembros en el plazo de una hora. La Comisión también ha propuesto una ley de servicios digitales, con normas armonizadas sobre la eliminación de mercancías, servicios o contenidos ilícitos en línea, y una nueva estructura de supervisión de las plataformas en línea muy grandes. La propuesta también se ocupa de los puntos vulnerables de las plataformas a la hora de amplificar los contenidos nocivos o de difundir desinformación. El Parlamento Europeo y el Consejo de la Unión Europea han acordado una legislación temporal sobre la detección voluntaria de abusos sexuales de menores en línea por parte de los servicios de comunicaciones. También se está trabajando para proteger mejor los espacios públicos, lo que incluye apoyar a los Estados miembros en la gestión de la amenaza que representan los drones y mejorar la protección de los lugares de culto y de las grandes instalaciones deportivas frente a las amenazas terroristas, con un programa de apoyo en curso por valor de 20 millones de euros. Para apoyar mejor a los Estados miembros en la lucha contra la delincuencia grave y el terrorismo, la Comisión también propuso en diciembre de 2020 actualizar el mandato de Europol, la Agencia de la UE de cooperación policial.

Deja un comentario