La presidencia del Consejo y los negociadores del Parlamento Europeo han llegado el 26 de junio de 2023 a un acuerdo provisional sobre un reglamento destinado a garantizar un alto nivel común de ciberseguridad en todas las instituciones, órganos, oficinas y agencias de la UE.
Antecedentes
En sus conclusiones del 20 de junio de 2019, el Consejo Europeo invitó a las instituciones de la UE, junto con los Estados miembros, a trabajar en medidas para aumentar la resiliencia y mejorar la cultura de seguridad de la UE frente a amenazas cibernéticas e híbridas desde fuera de la UE, y a proteger mejor las redes de información y comunicación de la UE, y sus procesos de toma de decisiones, de actividades malintencionadas de todo tipo.
Sectores críticos como el transporte, la energía, la salud y las finanzas se han vuelto cada vez más dependientes de las tecnologías digitales para ejecutar su negocio principal. Si bien la digitalización brinda enormes oportunidades y proporciona soluciones para muchos de los desafíos que enfrenta Europa, sobre todo durante la crisis de COVID-19, también expone la economía y la sociedad a las amenazas cibernéticas.
Los ciberataques y los ciberdelitos están aumentando en número y sofisticación en toda Europa. Se espera que esta tendencia crezca aún más en el futuro, dado que se espera que 41 mil millones de dispositivos en todo el mundo estén conectados a Internet de las cosas para 2025.
Una respuesta de ciberseguridad más fuerte para construir un ciberespacio abierto y seguro puede crear una mayor confianza entre los ciudadanos en las herramientas y servicios digitales.
Vid.
Estrategia de ciberseguridad de la UE
En diciembre de 2020, la Comisión Europea y el Servicio Europeo de Acción Exterior (SEAE) presentaron una nueva estrategia de ciberseguridad de la UE. El objetivo de esta estrategia es fortalecer la resiliencia de Europa frente a las ciberamenazas y garantizar que todos los ciudadanos y las empresas puedan beneficiarse plenamente de servicios y herramientas digitales fiables y fiables. La nueva estrategia insertaba propuestas concretas para el despliegue de instrumentos regulatorios, de inversión y de política.
El 22 de marzo de 2021, el Consejo adoptó unas Conclusiones sobre la estrategia de ciberseguridad, subrayando que la ciberseguridad es esencial para construir una Europa resiliente, verde y digital. Los ministros de la UE establecieron como objetivo clave lograr la autonomía estratégica mientras se preserva una economía abierta. Esto incluía reforzar la capacidad de tomar decisiones autónomas en el área de la ciberseguridad, con el objetivo de fortalecer el liderazgo digital y las capacidades estratégicas de la UE .
El Consejo adopta su posición sobre normas comunes
En su posición de 18 de noviembre de 2023, el Consejo prestó su apoyo general a los elementos clave del reglamento propuesto, tales como:
- reforzar el mandato y la financiación del Equipo de Respuesta a Emergencias Informáticas para las instituciones, órganos, oficinas y agencias de la UE (CERT-UE)
- creación de un Consejo interinstitucional de Ciberseguridad para impulsar y supervisar la implementación de la nueva regulación
- fortalecer el intercambio de información relacionada con incidentes con CERT-EU
- promover la coordinación y la cooperación en respuesta a incidentes cibernéticos
Al mismo tiempo, el Consejo alineó algunos elementos del proyecto de reglamento con la futura directiva sobre medidas para un alto nivel común de ciberseguridad en toda la UE (Directiva ‘NIS 2’), al tiempo que ha eliminado las referencias a la Unidad Cibernética Conjunta, cuya el mandato y la composición aún no han sido definidos. También reforzó los mecanismos para asegurar el cumplimiento de la nueva regulación por parte de las entidades de la UE, respetando su autonomía institucional, y aseguró una mayor reciprocidad en el intercambio de información entre la administración pública de la UE y los Estados miembros.
Un marco común para todas las entidades de la UE en el ámbito de la ciberseguridad
El nuevo reglamento creará un marco común para todas las entidades de la UE en el ámbito de la ciberseguridad y mejorará su resiliencia y capacidades de respuesta ante incidentes.
Medidas para un alto nivel común de ciberseguridad
Para garantizar altos estándares comunes en todas las instituciones, organismos, oficinas y agencias de la UE, las nuevas reglas les exigen establecer un marco de gobernanza, gestión de riesgos y control en el área de la ciberseguridad.
Todas las entidades de la UE también deberán implementar medidas de ciberseguridad que aborden los riesgos identificados, realizar evaluaciones regulares de madurez de ciberseguridad y poner en marcha un plan de ciberseguridad.
Un CERT-UE más fuerte y una mejor coordinación
En virtud del nuevo reglamento, también se reforzará el mandato del Equipo de Respuesta a Emergencias Informáticas de la UE (CERT-EU), que pasará a llamarse ‘Servicio de Ciberseguridad para las instituciones, órganos, oficinas y agencias de la Unión’, manteniendo el acrónimo actual. .
CERT-EU asesorará a todas las instituciones, órganos, oficinas y agencias de la UE y les ayudará a prevenir, detectar y responder a incidentes. También actuará como un centro para el intercambio de información y la coordinación sobre ciberseguridad y respuesta a incidentes. Todas las entidades de la UE deberán compartir información no clasificada relacionada con incidentes con CERT-EU sin demora indebida.
Una nueva Mesa Interinstitucional de Ciberseguridad
Además, la nueva regulación establecerá una Junta de Ciberseguridad interinstitucional para impulsar y monitorear la implementación de la regulación por parte de las instituciones, órganos, oficinas y agencias de la UE.
La nueva junta también supervisará la implementación de las prioridades y objetivos generales del CERT-EU y le proporcionará una dirección estratégica.
La junta estará compuesta por representantes de todas las instituciones y órganos consultivos de la UE, el Banco Europeo de Inversiones, el Centro Europeo de Competencia en Ciberseguridad, la Agencia de Ciberseguridad de la Unión Europea (ENISA), el Supervisor Europeo de Protección de Datos, la Agencia de la UE para el Programa Espacial, así como representantes de la Red de Agencias de la UE.
La Secretaría del consejo estará a cargo de la Comisión Europea.
Actuaciones futuras
El acuerdo provisional ahora se finalizará a nivel técnico, después de lo cual se enviará a los embajadores de la UE de los estados miembros para su confirmación. Una vez confirmado tanto en el Consejo como en el Parlamento, será adoptado formalmente por ambas instituciones.
