Nuevo paquete de ciberseguridad de la Unión Europea

Left
Right

17 de diciembre 2020
Nuevo paquete de ciberseguridad de la Unión Europea

El 16 de diciembre de 2020, la Comisión Europea y el Alto Representante de la Unión Europea (UE) para Asuntos Exteriores y Política de Seguridad han presentado un nuevo paquete de medidas de Ciberseguridad, cuya elemento clave es la nueva Estrategia de Ciberseguridad de la UE.

Esta nueva Estrategia de Ciberseguridad se basa en la Estrategia digital de Europa y en la Estrategia de la UE para una Unión de la Seguridad, publicadas ambas este 2020. Se trata de un ambicioso documento, que propone focalizarse en los cuatro pilares de la ciberseguridad: mercado interior, aplicación de la ley, diplomacia y defensa para reforzar la resiliencia colectiva de Europa frente a las ciberamenazas; y para garantizar que todos los ciudadanos y empresas puedan beneficiarse de servicios y herramientas digitales fiables, teniendo en un mundo hiperconectado donde cada vez son más las tensiones geopolíticas.

Partiendo de los avances logrados con las estrategias anteriores, contiene propuestas concretas para el despliegue de tres instrumentos principales: regulatorios, de inversión y de política que aborden tres áreas de acción de la UE:

  1. resiliencia, soberanía tecnológica y liderazgo.
  2. desarrollar la capacidad operativa para prevenir, disuadir y responder.
  3. promover un ciberespacio abierto.

Estas áreas contienen importantes medidas, entre las que destacan la construcción de un Ciber Escudo mediante la creación de una red de Centros de Operaciones de Seguridad basados en la inteligencia artificial (IA), las destinadas a reforzar la seguridad 5G, el establecimiento de la Joint Cybersecurity Unit y el desarrollo del Marco de Gestion de crisis de ciberseguridad, el refuerzo de la lucha contra la ciberdelincuencia y, por último, la cooperación internacional.

Por otro lado, la UE se compromete a apoyar esta estrategia mediante un nivel de inversión durante los próximos siete años sin precedentes en la transición digital de la Unión (cuadriplicaría los niveles anteriores de inversión), lo que demuestra el compromiso con su nueva política tecnológica e industrial y con el Plan de Recuperación. El objetivo es alcanzar una inversión conjunta de 4 500 millones euros entre la Unión, los Estados miembros y la industria, en especial a través del Centro de Competencias en Ciberseguridad y la Red de Centros de Coordinación, así como garantizar que las pequeñas y medianas empresas (pymes) reciben una parte importante de esta dotación económica .


 

Nueva Directiva NIS

En el paquete de medidas de ciberseguridad, también se ha publicado una propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión (nueva Directiva NIS). Esta Directiva amplía el alcance añadiendo nuevos sectores en función de su importancia para la economía y la sociedad; deja cierta flexibilidad a los Estados miembros para identificar entidades más pequeñas con un perfil de riesgo de seguridad elevado; elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales; y refuerza los requisitos de seguridad para las empresas e introduce disposiciones más precisas sobre el proceso de notificación de incidentes, el contenido de los informes y los plazos. Además, la Comisión propone abordar la seguridad de las cadenas de suministro y las relaciones con los proveedores. Para ello, exige a las empresas individuales que aborden los riesgos de ciberseguridad.

La propuesta también refuerza el papel del Grupo de Cooperación en la configuración de decisiones políticas estratégicas sobre tecnologías emergentes y nuevas tendencias, y aumenta el intercambio de información y la cooperación entre las autoridades de los Estados miembros, incluyendo la mejora la cooperación operativa de gestión de cibercrisis. La propuesta estará sujeta a negociaciones entre los colegisladores, en particular el Consejo de la UE y el Parlamento Europeo y, una vez aprobada y, los Estados miembros deberán transponer la Directiva NIS2 en un plazo de 18 meses.

Informe sobre el impacto de la Recomendación de la Comisión sobre la ciberseguridad de las redes 5G

En el marco de la nueva Estrategia de Ciberseguridad, se anima a los Estados miembros, con el apoyo de la Comisión y de la ENISA, a que finalicen la aplicación del conjunto de instrumentos de la UE de las redes 5G, un enfoque global y objetivo basado en los riesgos para la seguridad de la 5G y las generaciones futuras de redes.

Según indica un informe publicado el día 16 de diciembre, relativo al impacto de la Recomendación de la Comisión sobre la ciberseguridad de las redes 5G y los avances en la aplicación del conjunto de medidas paliativas de la UE desde el informe de situación de julio de 2020, la mayoría de los Estados miembros va por buen camino en lo que respecta a la aplicación de las medidas recomendadas. 

Hay recordar que España ha publicado la audiencia pública del borrador del anteproyecto de Ley sobre los requisitos para garantizar la seguridad de las redes y servicios 5G, que estará abierta hasta el 14 de enero de 2021.

En cuanto a los pasos siguientes, la estrategia de ciberseguridad de la UE propone un conjunto de acciones concretas, como garantizar una mayor convergencia en los enfoques de mitigación de riesgos en toda la UE, apoyar el intercambio continuo de conocimientos y el desarrollo de capacidades, y promover la resiliencia de la cadena de suministro.

Propuesta de Directiva sobre la resiliencia de entidades críticas

Por último, el paquete también incluye una propuesta de Directiva que amplía el ámbito de aplicación y la profundidad de la Directiva sobre infraestructuras críticas europeas de 2008. Se incluyen diez nuevos sectores: la energía, el transporte, la banca, las infraestructuras de los mercados financieros, la sanidad, el agua potable, las aguas residuales, las infraestructuras digitales, la administración pública y el espacio. En el marco de la directiva propuesta, los Estados miembros podrían adoptar una estrategia nacional con el objetivo de reforzar la resiliencia de las entidades críticas y efectuar evaluaciones periódicas sobre el riesgos cibernéticos y físicos.

 
 
Seguridad Nacional un proyecto compartido