Con el fin de reforzar la solidaridad y las capacidades de la UE para detectar, prepararse y responder a las amenazas e incidentes de ciberseguridad, el Consejo adoptó ayer dos nuevas leyes que forman parte del «paquete» legislativo sobre ciberseguridad, a saber, la denominada «Ley de cibersolidaridad « y una modificación específica de la Ley de ciberseguridad (CSA).
Principales elementos de la ley de cibersolidaridad
La nueva ley establece las capacidades de la UE para que Europa sea más resistente frente a las ciberamenazas, al tiempo que refuerza los mecanismos de cooperación. Establece, entre otras cosas , un «sistema de alerta de ciberseguridad«, una infraestructura paneuropea compuesta por centros cibernéticos nacionales y transfronterizos en toda la UE. Se trata de entidades encargadas de compartir información y encargadas de detectar las ciberamenazas y actuar en consecuencia. Los cibercentros utilizarán tecnología punta, como la inteligencia artificial (IA) y el análisis avanzado de datos, para detectar y compartir alertas oportunas sobre ciberamenazas e incidentes transfronterizos. Reforzarán el marco europeo existente y, a su vez, las autoridades y entidades pertinentes podrán responder de forma más eficiente y eficaz a los incidentes de ciberseguridad.
El nuevo Reglamento también prevé la creación de un mecanismo de emergencia de ciberseguridad para aumentar la preparación y mejorar la capacidad de respuesta ante incidentes en la UE. Apoyará
- acciones de preparación, incluida la realización de pruebas en entidades de sectores muy críticos (sanidad, transporte, energía, etc.) para detectar posibles vulnerabilidades, sobre la base de escenarios de riesgo y metodologías comunes
- una nueva reserva de ciberseguridad de la UE consistente en servicios de respuesta a incidentes del sector privado dispuestos a intervenir a petición de un Estado miembro o de instituciones, organismos y agencias de la UE, así como de terceros países asociados, en caso de incidente de ciberseguridad significativo o a gran escala
- asistencia técnica mutua
Por último, la nueva ley establece un mecanismo de revisión de incidentes para evaluar, entre otros, la eficacia de las actuaciones en el marco del mecanismo de ciberemergencia y el uso de la reserva de ciberseguridad, así como la contribución de esta normativa al fortalecimiento de la posición competitiva de los sectores de la industria y los servicios.
La enmienda específica a la ley de ciberseguridad de 2019
Esta enmienda específica tiene como objetivo mejorar la ciberresiliencia de la UE permitiendo la futura adopción de sistemas de certificación europeos para los llamados «servicios de seguridad gestionados». La nueva ley reconoce la creciente importancia de los servicios de seguridad gestionada en la prevención, detección, respuesta y recuperación de incidentes de ciberseguridad. Estos servicios pueden consistir, por ejemplo, en la gestión de incidentes, pruebas de penetración, auditorías de seguridad y consultoría relacionada con el soporte técnico.
A la espera de los resultados de la evaluación de la CSA, esta modificación puntual permitirá establecer regímenes europeos de certificación de estos servicios de seguridad gestionados. Contribuirá a aumentar su calidad y comparabilidad, fomentará la aparición de proveedores de servicios de ciberseguridad de confianza y evitará la fragmentación del mercado interior, dado que algunos Estados miembros ya han iniciado la adopción de regímenes nacionales de certificación de servicios de seguridad gestionados.
Próximos pasos
Tras su firma por los Presidentes del Consejo y del Parlamento Europeo, ambos actos legislativos se publicarán en el Diario Oficial de la UE en las próximas semanas y entrarán en vigor 20 días después de esta publicación.
Contexto
El 18 de abril de 2023, la Comisión adoptó la propuesta de Reglamento por el que se establecen medidas para reforzar la solidaridad y las capacidades de la UE para detectar, prepararse y responder a las amenazas e incidentes de ciberseguridad, la denominada «Ley de Cibersolidaridad», junto con una propuesta de modificación específica de la Ley de Ciberseguridad (CSA). La CSA, adoptada en 2019, estableció el primer marco de certificación de ciberseguridad para todos los Estados miembros.
La primera propuesta de la Comisión introduce un «ciberescudo europeo», compuesto por centros de operaciones (SOC), reunidos en varias plataformas SOC multinacionales financiadas por el programa Europa Digital. La segunda propuesta tiene por objeto una modificación específica del ámbito de aplicación de la CSA que permita a la Comisión adoptar actos de ejecución sobre regímenes europeos de certificación de la ciberseguridad para los servicios de seguridad gestionados, además de los productos de información y tecnología (TIC), los servicios de TIC y los procesos de TIC, que están cubiertos por la actual CSA. El 6 de marzo de 2024, los colegisladores alcanzaron un acuerdo provisional sobre ambas propuestas que modifica las nociones de «ciberescudo europeo» y «SOC» con respecto a la propuesta inicial de la Comisión.
Para más información: Consejo de la Unión Europea.
Publicaciones relacionadas:
Mes Europeo de la Ciberseguridad
Los europeos se preocupan por el fraude bancario en línea, el uso indebido de datos y los ataques terroristas
ENTRUSTED: el nuevo proyecto de seguridad de la UE
Una operación internacional contra vendedores de la dark web termina con 179 arrestos
La COVID-19 provoca una tendencia al alza del cibercrimen
Deja una respuesta