EL DO L, 2023/2841, 18.12.2023 publica el Reglamento (UE, Euratom) 2023/2841 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, por el que se establecen medidas destinadas a garantizar un elevado nivel común de ciberseguridad en las instituciones, los órganos y los organismos de la Unión.
Antecedentes
En la era digital, las tecnologías de la información y la comunicación son una piedra angular de una administración europea abierta, eficiente e independiente. La constante evolución tecnológica y la complejidad e interconexión crecientes de los sistemas digitales amplifican los riesgos relacionados con la ciberseguridad y hacen que las entidades de la Unión sean más vulnerables a las ciberamenazas y los incidentes, lo que supone una amenaza para la continuidad de sus actividades y la capacidad de proteger sus datos. Aunque el mayor uso de servicios en la nube, el uso extendido de las tecnologías de la información y de las comunicaciones (TIC), el alto grado de digitalización, el trabajo a distancia y las tecnologías y posibilidades de conexión en constante evolución son características fundamentales de todas las actividades de las entidades de la Unión, la resiliencia digital aún no se ha desarrollado lo suficiente.
El panorama de las ciberamenazas a las que se enfrentan las entidades de la Unión evoluciona constantemente. Las tácticas, las técnicas y los procedimientos empleados por los agentes de la amenaza también están en constante evolución, pero los principales motivos de sus ataques varían poco: desde robar información valiosa no divulgada hasta obtener dinero, manipular la opinión pública o debilitar la infraestructura digital. Los ciberataques de estos agentes se suceden cada vez con mayor frecuencia, y sus campañas, cada vez más sofisticadas y automatizadas, se dirigen contra superficies de ataque expuestas que no dejan de expandirse y aprovechan rápidamente las vulnerabilidades.
Objeto
El presente Reglamento establece medidas destinadas a lograr un elevado nivel común de ciberseguridad dentro de las entidades de la Unión en relación con:
- el establecimiento por cada entidad de la Unión de un marco interno de gestión, gobernanza y control de riesgos en materia de ciberseguridad
- la gestión, la notificación y el intercambio de información en materia de riesgos de ciberseguridad;
- la organización, el funcionamiento y la actividad del Consejo Interinstitucional de Ciberseguridad, así como la organización, el funcionamiento y la actividad del Servicio de Ciberseguridad para las instituciones, los órganos y los organismos de la Unión (CERT-EU por sus siglas en inglés);
- el seguimiento de la aplicación del presente Reglamento.
Entidades de la Unión
A los efectos del presente Reglamento, se entenderá por “entidades de la Unión”: las instituciones, los órganos y los organismos de la Unión creados o constituidos en virtud del Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea (TFUE) o el Tratado constitutivo de la Comunidad Europea de la Energía Atómica.
Los entornos de TIC de las entidades de la Unión se caracterizan por las interdependencias, los flujos de datos integrados y la estrecha colaboración entre sus usuarios. Debido a esa interconexión, toda perturbación, aunque en un primer momento se limite a una sola entidad de la Unión, puede tener un efecto en cascada más amplio y acabar perjudicando, de manera grave y duradera, al resto. Además, en algunos casos, ciertos entornos de TIC de las entidades de la Unión están conectados con los entornos de TIC de los Estados miembros, de manera que un incidente en una entidad de la Unión puede suponer un riesgo para la ciberseguridad de los entornos de TIC de los Estados miembros y viceversa. El intercambio de información sobre incidentes concretos puede facilitar la detección de ciberamenazas o incidentes similares que afecten a los Estados miembros.
Las entidades de la Unión son objetivos atractivos que se enfrentan a agentes de amenaza altamente cualificados y dotados de amplios recursos, pero también a otro tipo de amenazas. Por otra parte, hay grandes diferencias de una entidad a otra en cuanto al grado de madurez y ciberresiliencia, así como en cuanto a la capacidad de detectar y responder a actividades cibernéticas maliciosas. Así pues, el funcionamiento de las entidades de la Unión requiere que estas alcancen un elevado nivel común de ciberseguridad mediante la aplicación de medidas de ciberseguridad que guarden proporción con los riesgos de ciberseguridad identificados, así como mediante el intercambio de información y la colaboración.
Consejo Interinstitucional de Ciberseguridad
El presente Reglamento crea el Consejo Interinstitucional de Ciberseguridad (CIIC) a fin de facilitar un elevado nivel común de ciberseguridad en las entidades de la Unión. El CIIC debe desempeñar un papel exclusivo en el seguimiento y apoyo de la aplicación del presente Reglamento por parte de las entidades de la Unión, así como en la supervisión del cumplimiento de las prioridades y los objetivos generales del CERT-EU, al que debe marcar su dirección estratégica. Por consiguiente, el CIIC debe garantizar la representación de las instituciones de la Unión y contar con representantes de los órganos y organismos de la Unión a través de la Red de Agencias de la UE (EUAN, por sus siglas en inglés). La organización y el funcionamiento del CIIC deben regirse asimismo por un reglamento interno, en el que se pueden incluir disposiciones más detalladas sobre la periodicidad de las reuniones del CIIC, incluidos encuentros anuales a nivel político en los que la presencia de representantes del más alto nivel de dirección de cada miembro del CIIC permita al CIIC mantener debates sobre la estrategia y marcar la orientación estratégica del CIIC. Además, el CIIC debe tener la posibilidad de crear un comité ejecutivo que lo asista en el desempeño de su labor, y de delegar en él parte de sus funciones y facultades, especialmente en lo que atañe a las funciones que requieren conocimientos especializados de sus miembros, como, por ejemplo, la aprobación del catálogo de servicios y sus actualizaciones, las modalidades de los acuerdos de nivel de servicio, las evaluaciones de documentos e informes presentados por las entidades de la Unión al CIIC en virtud del presente Reglamento o las funciones relacionadas con la preparación de decisiones sobre las medidas de cumplimiento emitidas por el CIIC o con el seguimiento de su aplicación. El CIIC debe establecer el reglamento interno del comité ejecutivo, que ha de incluir sus funciones y facultades.
El objetivo del CIIC es apoyar a las entidades de la Unión para reforzar sus respectivas posturas de ciberseguridad mediante la aplicación del presente Reglamento. Con el fin de apoyar a las entidades de la Unión, el CIIC debe orientar al director del CERT-EU, adoptar una estrategia plurianual para aumentar el nivel de ciberseguridad en las entidades de la Unión, establecer la metodología y otros aspectos de las revisiones inter pares voluntarias y facilitar la creación de un grupo informal de responsables locales de ciberseguridad, con el apoyo de la Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés), al objeto de intercambiar mejores prácticas e información en relación con la aplicación del presente Reglamento.
Planteamiento en etapas
El presente Reglamento establece un planteamiento en varias etapas con respecto a la notificación de información sobre incidentes significativos con el fin de lograr el equilibrio idóneo entre, por un lado, una notificación ágil que ayude a reducir la posible propagación de incidentes significativos y permita a las entidades de la Unión buscar asistencia y, por otro, una notificación minuciosa que extraiga lecciones valiosas de cada incidente concreto y mejore con el tiempo la ciberresiliencia de entidades concretas de la Unión y contribuya a reforzar su nivel general de ciberseguridad. En este sentido, el presente Reglamento incluye la notificación de incidentes que, a partir de una evaluación inicial realizada por la entidad de la Unión de que se trate, podrían provocar perturbaciones operativas graves o pérdidas económicas graves a la entidad de la Unión de que se trate o podrían afectar a otras personas físicas o jurídicas causándoles perjuicios materiales o inmateriales considerables. La evaluación inicial debe tener en cuenta, entre otros aspectos, los sistemas de redes y de información afectados y, en particular, su importancia para el funcionamiento de la entidad de la Unión, la gravedad y las características técnicas de la ciberamenaza, así como las vulnerabilidades subyacentes que se estén aprovechando y la experiencia de la entidad de la Unión con incidentes similares. Indicadores como en qué medida se ve afectado el funcionamiento de la entidad de la Unión, cuánto dura un incidente o cuántas personas físicas o jurídicas se ven afectadas, son importantes a la hora de determinar si la perturbación operativa es grave.
