Europa se enfrenta a diario a ataques cibernéticos e híbridos contra servicios esenciales e instituciones democráticas, perpetrados por sofisticadas organizaciones delictivas y otras amparadas por determinados Estados. La Comisión Europea ha propuesto hoy un nuevo paquete de ciberseguridad para seguir reforzando la resiliencia y las capacidades de la UE en materia de ciberseguridad frente a estas crecientes amenazas.
El paquete incluye una propuesta de revisión del Reglamento sobre la Ciberseguridad, que mejora la seguridad de las cadenas de suministro de las tecnologías de la información y la comunicación (TIC) de la UE, y garantiza la ciberseguridad en el diseño de los productos que llegan a los ciudadanos de la UE a través de un proceso de certificación más sencillo. También facilita el cumplimiento de las normas vigentes de la UE en materia de ciberseguridad y refuerza la Agencia de la Unión Europea para la Ciberseguridad (ENISA) a la hora de apoyar a los Estados miembros y a la Unión en la gestión de las amenazas a la ciberseguridad.
Reforzar la seguridad de las cadenas de suministro de las TIC en la UE
El nuevo Reglamento sobre la Ciberseguridad tiene por objeto reducir los riesgos en la cadena de suministro de las TIC de la UE derivados de proveedores de terceros países que plantean problemas en el ámbito de la ciberseguridad. Establece un marco fiable de seguridad para esta cadena de suministro basado en un enfoque armonizado, proporcionado y centrado en el riesgo. Esto permitirá a la UE y a los Estados miembros detectar y mitigar conjuntamente los riesgos en los 18 sectores críticos de la UE, teniendo en cuenta también las repercusiones económicas y el suministro del mercado.
Las cadenas de suministro de las TIC son esenciales para el funcionamiento de las infraestructuras y de los servicios críticos, y los recientes incidentes de ciberseguridad han puesto de relieve los principales riesgos que plantean las vulnerabilidades en estas cadenas. En el panorama geopolítico actual, la seguridad de la cadena de suministro ya no se limita únicamente a la seguridad técnica de los productos o servicios, sino que también abarca los riesgos relacionados con un proveedor, en particular los riesgos derivados de las dependencias y de las injerencias extranjeras.
El Reglamento sobre la Ciberseguridad obligará a eliminar el riesgo que para las redes de telecomunicaciones móviles europeas suponen los proveedores de terceros países de alto riesgo sobre la base del trabajo ya realizado en el marco del conjunto de instrumentos de seguridad de las redes 5G.
Simplificar y mejorar el Marco Europeo de Certificación de la Ciberseguridad
El Reglamento sobre la Ciberseguridad revisado garantizará que los productos y servicios que llegan a los consumidores de la UE se sometan a pruebas de seguridad de manera más eficiente. Esto se llevará a cabo a través de un Marco Europeo de Certificación de la Ciberseguridad renovado (ECCF, por sus siglas en inglés). El ECCF aportará más claridad y procedimientos más sencillos, lo que permitirá desarrollar los regímenes de certificación en un plazo de 12 meses por defecto. También introducirá una gobernanza más ágil y transparente para implicar mejor a las partes interesadas mediante la información y consulta públicas.
Los regímenes de certificación, gestionados por la ENISA, se convertirán en una herramienta práctica y voluntaria para las empresas, pues les permitirá demostrar el cumplimiento de la legislación de la UE, reduciendo la carga y los costes. Más allá de los productos, servicios y procesos de las TIC y de los servicios de seguridad gestionados, las empresas y organizaciones podrán certificar su situación en materia de ciberseguridad para satisfacer las necesidades del mercado. En última instancia, el ECCF renovado será un activo competitivo para las empresas de la UE. Para los ciudadanos, las empresas y las autoridades públicas de la UE, garantizará un alto nivel de seguridad y confianza en las complejas cadenas de suministro de las TIC.
Facilitar el cumplimiento de las normas de ciberseguridad
El paquete introduce medidas para simplificar el cumplimiento de las normas de ciberseguridad de la UE y de los requisitos de gestión de riesgos para las empresas que operan en la Unión, complementando la ventanilla única para la notificación de incidentes propuesta en el paquete ómnibus digital. Las modificaciones específicas de la Directiva SRI 2 tienen por objeto aumentar la claridad jurídica. Facilitarán el cumplimiento a 28 700 empresas —incluidas 6 200 microempresas y pequeñas empresas— e introducirán una nueva categoría de pequeñas empresas de mediana capitalización para reducir los costes de cumplimiento para 22 500 entidades. Con el refuerzo de la función de coordinación de la ENISA, las modificaciones simplificarán las normas jurisdiccionales, agilizarán la recogida de datos sobre ataques con programas de secuestro de archivos y facilitarán la supervisión de las entidades transfronterizas.
Capacitar a la ENISA para impulsar la resiliencia de Europa en materia de ciberseguridad
Desde la adopción del primer Reglamento sobre la Ciberseguridad en 2019, la ENISA ha crecido como piedra angular del ecosistema de ciberseguridad de la UE. El Reglamento sobre la Ciberseguridad revisado presentado hoy permite a la ENISA ayudar a la UE y a los Estados miembros a comprender las amenazas comunes, prepararse y responder a los incidentes de ciberseguridad.
La Agencia seguirá apoyando a las empresas y a las partes interesadas que operan en la UE mediante la emisión de alertas tempranas sobre las ciberamenazas e incidentes. En cooperación con Europol y los equipos de respuesta a incidentes de seguridad informática, ayudará a las empresas a responder y recuperarse de los ataques perpetrados con programas de secuestro de archivos. La ENISA también desarrollará un enfoque de la Unión para prestar mejores servicios de gestión de vulnerabilidades a las partes interesadas, y gestionará la ventanilla única para la notificación de incidentes propuesta en el paquete ómnibus digital.
La ENISA seguirá desempeñando un papel clave para contar con una mano de obra cualificada en el ámbito de la ciberseguridad en Europa. Para ello, pondrá en marcha la Academia de Competencias en Ciberseguridad y establecerá regímenes de certificación de capacidades en materia de ciberseguridad a escala de la UE.
Próximas etapas
El Reglamento sobre la Ciberseguridad será aplicable inmediatamente después de su aprobación por el Parlamento Europeo y el Consejo de la UE. Las modificaciones de la Directiva SRI 2 que lo acompañan también se presentarán para su aprobación. Una vez concluido el proceso, los Estados miembros dispondrán de un año para incorporar la Directiva al ordenamiento jurídico nacional y comunicar los instrumentos pertinentes a la Comisión.
Más información
Reglamento sobre la Ciberseguridad revisado
Modificaciones específicas de la Directiva SRI 2
Henna Virkkunen, vicepresidenta ejecutiva de Soberanía Tecnológica, Seguridad y Democracia
«Las amenazas a la ciberseguridad no son solo retos técnicos, sino que constituyen riesgos estratégicos para nuestra democracia, nuestra economía y nuestro modo de vida. Con el nuevo paquete de ciberseguridad, dispondremos de los medios para proteger mejor nuestras cadenas de suministro críticas de las TIC, pero también para luchar con decisión contra los ciberataques. Se trata de un paso importante para garantizar la soberanía tecnológica europea y una mayor seguridad para todos».
Fuente: Departamento de Prensa de la Representación de la Comisión Europea en España
Audiovisual: Photographer Xavier Lejeune, Yügen European Union, 2021 Source EC - Audiovisual Service
