Compartir

JenTelMx

La Comisión y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentan hoy la nueva Estrategia de Ciberseguridad de la UE. Como elemento clave de la Configuración del futuro digital de Europa, el Plan de Recuperación para Europa y la Estrategia de la Unión de la Seguridad de la UE, la Estrategia reforzará la resiliencia colectiva europea contra las ciberamenazas y ayudará a garantizar que todos los ciudadanos y las empresas puedan beneficiarse plenamente de unos servicios y herramientas digitales fiables y de confianza. Tanto si se trata de dispositivos conectados, la red eléctrica o servicios bancarios, aviones, administraciones públicas y hospitales, los europeos merecen poder utilizarlos o recurrir a ellos con la certeza de estar protegidos frente a ciberamenazas.

La nueva Estrategia de Ciberseguridad también permite a la UE reforzar su liderazgo en el ámbito de las normas internacionales del ciberespacio y potenciar su cooperación con socios de todo el mundo, con el fin de promover un ciberespacio global, abierto, estable y seguro, basado en el Estado de Derecho, los derechos humanos, las libertades fundamentales y los valores democráticos.

Asimismo, la Comisión está presentando propuestas que abordan tanto la resiliencia física como la ciberresiliencia de entidades críticas y redes: una Directiva sobre las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión (la Directiva SRI revisada o «SRI 2») y una nueva Directiva sobre la resiliencia de entidades críticas. Estas abarcan una amplia gama de sectores con el objetivo de hacer frente, de un modo coherente y complementario, a los riesgos actuales y futuros existentes dentro y fuera de Internet, ya sea en forma de ciberataques, delitos o desastres naturales.

Confianza y seguridad, protagonistas en la Década Digital de la UE

La nueva Estrategia de Ciberseguridad tiene por objeto salvaguardar una Internet global y abierta, y ofrecer, al mismo tiempo, protección tanto para garantizar la seguridad, como para defender los valores europeos y los derechos fundamentales de todas las personas. Sobre la base de los logros alcanzados en los últimos meses y años, la estrategia incluye propuestas concretas de iniciativas reguladoras, estratégicas y de inversión en los tres ámbitos de acción de la UE:

1. Resiliencia, soberanía tecnológica y liderazgo

Bajo esta línea de acción, la Comisión propone reformar las normas sobre la seguridad de las redes y los sistemas de información por medio de una Directiva sobre las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión (la Directiva SRI revisada o «SRI 2»), con la finalidad de aumentar el nivel de ciberresiliencia de los sectores públicos y privados críticos: los hospitales, las redes de energía, los ferrocarriles, los centros de datos, las administraciones públicas, los laboratorios de investigación y la fabricación de medicamentos y productos sanitarios críticos, así como otras infraestructuras y servicios críticos, deben permanecer protegidos frente a un entorno cada vez más cambiante y de amenazas más complejas.
La Comisión también propone la creación, en toda la UE, de una red de Centros de Operaciones de Seguridad basados en la inteligencia artificial (IA) que reforzará la protección de la Unión en materia de ciberseguridad, capaz de detectar indicios de ciberataques con suficiente antelación y permitiendo adoptar medidas proactivas, antes de que los daños se lleguen a producir. Entre las medidas adicionales se incluirá un apoyo específico destinado a pequeñas y medianas empresas (pymes), por medio de centros de innovación digital, así como un mayor esfuerzo para mejorar las capacidades de la mano de obra, atraer y retener a los mejores talentos en el ámbito de la ciberseguridad e invertir en una investigación e innovación abierta, competitiva y basada en la excelencia.

2. Desarrollo de la capacidad operativa para prevenir, disuadir y responder

La Comisión, través de un proceso progresivo e integrador con los Estados miembros, está preparando una nueva unidad informática conjunta con el fin de reforzar la cooperación entre los organismos de la UE y las autoridades de los Estados miembros encargadas de la prevención, la disuasión y la respuesta a los ciberataques, incluidas las comunidades civiles, policiales, diplomáticas y de ciberdefensa. El Alto Representante ha presentado propuestas para reforzar el «conjunto de instrumentos de ciberdiplomacia de la UE», cuyo objetivo es prevenir, desalentar, disuadir y responder eficazmente a las actividades informáticas malintencionadas y, en particular, aquellas que dañen nuestras infraestructuras críticas, cadenas de suministro, instituciones y procesos democráticos. La UE también se ha fijado el objetivo de seguir mejorando la cooperación en el campo de la ciberdefensa y el desarrollo de capacidades de vanguardia en este campo, a partir del trabajo realizado por la Agencia Europea de Defensa, así como de animar a los Estados miembros a que hagan pleno uso de la Cooperación Estructurada Permanente y del Fondo Europeo de Defensa.

3. Promover un ciberespacio global y abierto a través de una mayor cooperación

La UE intensificará su colaboración con socios internacionales con el objeto de fortalecer el orden mundial basado en normas, promover la seguridad y la estabilidad internacionales en el ciberespacio, y proteger los derechos humanos y las libertades fundamentales en línea. También impulsará las normas internacionales que reflejen estos valores fundamentales de la UE a través de la cooperación con sus socios internacionales en las Naciones Unidas y otros foros pertinentes. La UE seguirá reforzando su «conjunto de instrumentos de ciberdiplomacia» y aumentará sus esfuerzos para apoyar a terceros países en este ámbito, mediante un programa destinado al desarrollo de la capacidad cibernética exterior de la UE. Para ello, se intensificarán los diálogos en materia cibernética con terceros países, organizaciones regionales e internacionales, así como con la comunidad multilateral. Asimismo, la UE establecerá una red de ciberdiplomacia en todo el mundo para promover su visión del ciberespacio.

La UE se compromete a apoyar la nueva Estrategia de Ciberseguridad, tal y como refleja su próximo presupuesto a largo plazo, con un nivel de inversiones sin precedentes en la transición digital durante los próximos siete años, en particular a través del Programa Europa Digital, el Horizonte Europa y el Plan de Recuperación para Europa. Así pues, se anima a los Estados miembros a que hagan pleno uso del Mecanismo de Recuperación y Resiliencia de la UE con el fin de impulsar la ciberseguridad y de igualar los esfuerzos de inversión de la UE en este ámbito. El objetivo es alcanzar una inversión conjunta de 4 500 millones EUR entre la Unión, los Estados miembros y la industria, en especial a través del Centro de Competencias en Ciberseguridad y la Red de Centros de Coordinación, así como garantizar que las pymes reciben una parte importante de la misma.

La Comisión se propone también reforzar las capacidades industriales y tecnológicas de la UE en materia de ciberseguridad, por ejemplo, mediante proyectos apoyados conjuntamente por los presupuestos nacionales y de la UE. La UE tiene una oportunidad única de compartir sus recursos para mejorar su autonomía estratégica e impulsar su liderazgo en materia de ciberseguridad a lo largo de toda la cadena de suministro digital (incluidos los datos y la nube, las tecnologías de procesadores de próxima generación, la conectividad ultrasegura y las redes 6G), en consonancia con sus valores y prioridades.

Ciberresiliencia y resiliencia física de las redes, los sistemas de información y las entidades críticas

Es necesario actualizar las medidas existentes a escala de la Unión destinadas a proteger los servicios e infraestructuras clave contra los riesgos cibernéticos y físicos. Los riesgos de ciberseguridad siguen evolucionando con el aumento de la digitalización y la interconexión. Los riesgos físicos también son cada vez más complejos desde la adopción, en 2008, de las normas de la UE sobre infraestructuras críticas, que en la actualidad se aplica exclusivamente a los sectores de la energía y el transporte. El objetivo de las revisiones es actualizar las normas según la lógica de la Estrategia de la UE para una Unión de la Seguridad, superar la falsa dicotomía entre lo que está en línea y fuera de ella, así como romper con el enfoque compartimentado.

Para hacer frente al incremento de las amenazas derivadas de la digitalización y la interconexión, la propuesta Directiva sobre las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión (la Directiva SRI revisada o «SRI 2») se aplicará a entidades medianas y grandes de más sectores, en función de su importancia crítica para la economía y la sociedad. La SRI 2 refuerza los requisitos de seguridad que se imponen a las empresas, se ocupa de la seguridad de las cadenas de suministro y las relaciones con los proveedores, simplifica las obligaciones de notificación, introduce medidas de supervisión más estrictas para las autoridades nacionales, requisitos de ejecución más estrictos y tiene por objeto armonizar los regímenes de sanciones entre los Estados miembros. La propuesta SRI 2 contribuirá a aumentar el intercambio de información y la cooperación en el ámbito de la gestión de cibercrisis a nivel nacional y de la UE.

La propuesta Directiva sobre la resiliencia de las entidades críticas (REC) amplía el ámbito de aplicación y la profundidad de la Directiva sobre infraestructuras críticas europeas de 2008. Se incluyen diez nuevos sectores: la energía, el transporte, la banca, las infraestructuras de los mercados financieros, la sanidad, el agua potable, las aguas residuales, las infraestructuras digitales, la administración pública y el espacio. En el marco de la directiva propuesta, los Estados miembros podrían adoptar una estrategia nacional con el objetivo de reforzar la resiliencia de las entidades críticas y efectuar evaluaciones periódicas sobre el riesgo. Estas evaluaciones también ayudarían a identificar un grupo más reducido de entidades críticas que estarían sujetas a obligaciones destinadas a mejorar su resiliencia frente a riesgos no cibernéticos, incluidas las evaluaciones de riesgos a nivel de las entidades, la adopción de medidas técnicas y organizativas o la notificación de incidentes. Por su parte, la Comisión prestaría apoyo complementario a los Estados miembros y a las entidades críticas, por ejemplo, mediante el desarrollo de una visión general a escala de la Unión de los riesgos transfronterizos e intersectoriales, y la aplicación de mejores prácticas, metodologías, actividades de formación transfronterizas y ejercicios para poner a prueba la resiliencia de las entidades críticas.

Asegurar la nueva generación de redes: la 5G y otras innovaciones

En el marco de la nueva Estrategia de Ciberseguridad, se anima a los Estados miembros, con el apoyo de la Comisión y de la ENISA (Agencia de la UE para la Ciberseguridad), a que finalicen la aplicación del conjunto de instrumentos de la UE de las redes 5G, un enfoque global y objetivo basado en los riesgos para la seguridad de la 5G y las generaciones futuras de redes.

Según indica un informe publicado hoy, relativo al impacto de la Recomendación de la Comisión sobre la ciberseguridad de las redes 5G y los avances en la aplicación del conjunto de medidas paliativas de la UE, desde el informe de situación de julio de 2020, la mayoría de los Estados miembros va por buen camino en lo que respecta a la aplicación de las medidas recomendadas. Ahora deben velar por que su aplicación se haya completado antes del segundo trimestre de 2021 y por la reducción adecuada y coordinada de los riesgos identificados, sobre todo con vistas a minimizar la exposición a proveedores de alto riesgo y evitar la dependencia respecto de estos proveedores. Asimismo, la Comisión establece hoy objetivos y acciones clave destinados a proseguir con el trabajo coordinado a escala de la UE.

La Comisión revisará periódicamente la Directiva SRI 2 y la Directiva sobre la resiliencia de las entidades críticas, e informará sobre su funcionamiento.

Con información de la Comisión Europea

Compartir