Estado de la Unión 2017. Ciberseguridad. Resiliencia, disuasión y defensa: Construyendo una Ciberseguridad fuerte para Europa

Left
Right

A fin de dotar a Europa de las herramientas adecuadas para hacer frente a los ciberataques, el Presidente de la Comisión Europea Jean-Claude Juncker en su Discurso sobre el Estado de la Unión de 13 de septiembre, la Alta Representante de la UE y la posterior Declaración de Bratislava realizada por los 27 Estados Miembros sobre la Cumbre presentaron un Roadmap para la UE en el ámbito de la ciberseguridad denominado “Cyber Security Package” que contiene un amplio conjunto de medidas[1] para fortalecer la ciberseguridad en la UE.

Desde la Estrategia de Ciberseguridad de la Unión Europea de 2013[2], (actualmente sometida a un proceso de revisión en el seno de la UE), son numerosas las iniciativas que se han venido desarrollando para reforzar la ciberseguridad. Algunas de ellas, como la Directiva NIS, con un gran impacto directo en el refuerzo y coordinación de las capacidades y estructuras de los Estados miembros a fin de mejorar la respuesta a incidentes de ciberseguridad y la resiliencia de los servicios esenciales de los mismos.

Por otra parte, la confianza y la seguridad son el centro de la Estrategia del Mercado Único Digital de mayo de 2015, mientras la lucha contra el cibercrimen es uno de los 3 pilares de la Agenda Europea de Seguridad adoptada en abril del mismo año.

Asimismo, en julio de 2016, la Comisión Europea adoptó una Comunicación[3] para el refuerzo del sistema de ciberseguridad de Europa y el fomento de una industria competitiva e innovadora de ciberseguridad. En ella se incluían medidas de diversa índole, destacando la firma con la industria de una alianza contractual Público Privada sobre ciberseguridad para finales de 2016, incluir llamadas específicas en el Programa Europeo de Financiación H2020, desarrollar un marco de certificación europeo de servicios y productos de ciberseguridad, abordar las dependencias intersectoriales y la resiliencia de las infraestructuras de redes públicas, reforzar el papel de la Agencia Europea para la Seguridad de la Información y Redes ENISA) y de los mecanismos de cooperación recogidos en la Directiva NIS.

Sin embargo, recientes incidentes de ciberseguridad como Wannacry o Petya, los ataques híbridos (donde la ciberseguridad está jugando un papel esencial), las campañas cibernéticas ofensivas contra determinados intereses de países, etc., han propiciado un nuevo impulso que ha hecho que la ciberseguridad se convierta en asunto prioritario para la UE, lo que se ha traducido en un nuevo conjunto de iniciativas en este ámbito.

El 13 de septiembre de 2017, la Comisión adoptó un paquete de Ciberseguridad. El paquete se basa en los instrumentos existentes y presenta nuevas iniciativas para mejorar aún más la capacidad de respuesta de la UE en tres áreas clave:

  • Reforzar la capacidad de resistencia de la UE a los ciberataques y la capacidad de seguridad cibernética de la UE.
  • Creación de una respuesta efectiva del derecho penal.
  • Fortalecimiento de la estabilidad mundial mediante la cooperación internacional.

Desarrollo de la resiliencia de la UE: una Agencia Europea de Ciberseguridad fuerte

La Agencia Europea de Ciberseguridad: basada en la actual Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), recibirá un mandato permanente para ayudar a los Estados miembros a prevenir y responder con eficacia a los ciberataques; mejorará la capacidad de reacción de la UE mediante la organización anual de ejercicios paneuropeos de ciberseguridad y la mejor puesta en común de la información y la inteligencia sobre las amenazas a través de la creación de centros de intercambio de información y análisis; y contribuirá a una mejor aplicación de la Directiva sobre la seguridad de las redes y sistemas de información (Directiva NIS). Asimismo, la Agencia de Ciberseguridad ayudaría a establecer y aplicar el marco de certificación a escala de la UE que propone la Comisión para garantizar que los productos y servicios sean «ciberseguros».

Refuerzo de la capacidad de la UE en materia de ciberseguridad

  • Propuesta de creación de un Centro europeo de investigación y competencias en materia de ciberseguridad (proyecto piloto que se pondrá en marcha en 2018). En colaboración con los Estados miembros, este centro ayudará a desarrollar y desplegar las herramientas y tecnologías necesarias para hacer frente a una amenaza en constante cambio y a velar por que nuestras defensas sean tan punteras como las armas que utilizan los ciberdelincuentes.
  • Un Plan[4] para que Europa y los Estados miembros puedan responder rápidamente, con operatividad y al unísono cuando se produzca un ciberataque a gran escala. Esta Recomendación pide a los Estados miembros y a las instituciones de la UE que definan un marco de respuesta a las crisis de ciberseguridad de la UE para que el Plan sea operativo. Posteriormente, se pondrá a prueba periódicamente en ejercicios de gestión de crisis.
  • Creación de un Fondo de Respuesta en casos de Emergencia de Ciberseguridad para aquellos Estados miembros que hubiesen puesto en marcha de forma diligente todas las medidas de ciberseguridad exigidas por el Derecho de la UE. El Fondo podría facilitar ayuda de emergencia a los Estados miembros, del mismo modo que el Mecanismo de Protección Civil de la UE se moviliza para ofrecer apoyo en los casos de incendios forestales o catástrofes naturales.

Cooperación en ciberdefensa

  • Se anima a los Estados miembros a incluir la ciberdefensa en el marco de la cooperación estructurada permanente y el Fondo Europeo de Defensa, con el fin de apoyar los proyectos en materia de ciberdefensa.
  • Para resolver el déficit de competencias en la materia, la UE creará en 2018 una plataforma de formación y educación en ciberdefensa. La UE y la OTAN fomentarán de forma conjunta la cooperación en materia de investigación e innovación sobre ciberdefensa. Se reforzará la cooperación con la OTAN (tal y como se indicó en la declaración de 8 de julio de 2016), especialmente la participación en ejercicios paralelos y coordinados.

Desarrollo de una respuesta de Derecho penal eficaz

  • Para desincentivar efectivamente la comisión de este tipo de delitos, es fundamental que la respuesta policial y judicial sea más eficaz y se centre en la detección, el rastreo y la persecución de los ciberdelincuentes. La Comisión propone, reforzar la disuasión con nuevas medidas de lucha contra el fraude y la falsificación de los medios de pago distintos del efectivo.
  • La propuesta de Directiva reforzará la capacidad de las autoridades judiciales y policiales para luchar contra esta forma de delincuencia ampliando el alcance de las infracciones relativas a los sistemas de información a todas las operaciones de pago, incluidas las operaciones con monedas virtuales. Este acto jurídico también introducirá normas comunes en relación con las sanciones aplicables y aclarará a qué supuestos se extiende la jurisdicción de los Estados miembros en este tipo de infracciones.
  • Con el fin de potenciar la investigación y el enjuiciamiento efectivos de la delincuencia favorecida por el entorno cibernético, la Comisión también presentará propuestas a principios de 2018 para facilitar el acceso transfronterizo a las pruebas electrónicas. Por otro lado, la Comisión presentará en octubre sus reflexiones sobre la importancia del cifrado en las investigaciones penales.

Fortalecimiento de la cooperación internacional en materia de ciberseguridad

A todo ello se une la revisión y elaboración de una Nueva Estrategia de Ciberseguridad de la Unión Europea (está previsto que sea presentada por la Comisión en 2017). Los objetivos de la nueva estrategia son aumentar la capacidad de resistencia de la UE a las ciberamenazas, reforzar la cooperación internacional y establecer un mecanismo eficaz de disuasión para luchar contra el cibercrimen, proporcionando a Europa una visión a largo plazo de la ciberseguridad y garantizando la confianza en el mercado único digital teniendo en cuenta el entorno cambiante de seguridad internacional y el desarrollo de las nuevas tecnologías.

Enlaces de interés

Ficha informativa sobre propuestas en materia de ciberseguridad
Ficha informativa sobre la Agencia Europea de Ciberseguridad
Ficha informativa sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo
Cyber Security Package

 
[2] Cybersecurity Strategy of the European Union: an Open, Safe and Secure Cyberspace.
[3] Commission Communication on Strengthening Europe's Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry, COM/2016/0410 final
 
Con el apoyo de Red.es
Seguridad Nacional un proyecto compartido