El 18 de abril, la Comisión adoptó una propuesta de ley de la UE sobre una Ley de Cibersolidaridad para reforzar las capacidades de ciberseguridad de la UE. Esto implica apoyar la detección y comprensión de las amenazas e incidentes de seguridad cibernética, impulsar la preparación de las unidades clave y fortalecer la capacidad de respuesta y gestión de crisis común y coordinada de todos los Estados miembros. La Ley de Solidaridad Cibernética establece las opciones de la UE para hacer que Europa sea más resistente y capaz de responder a las amenazas cibernéticas, al tiempo que fortalece los mecanismos de cooperación existentes. También ayudará a garantizar un entorno digital seguro para los ciudadanos y las empresas y protegerá estructuras clave y servicios esenciales como hospitales y servicios públicos.
La Comisión también puso en marcha una Academia de Cibercapacidades en el contexto del Año Europeo de las Competencias 2023 para garantizar un enfoque más coordinado para abordar la brecha de talento en ciberseguridad, que es un requisito previo para una mayor resiliencia europea. La Academia reunirá varios programas existentes destinados a desarrollar habilidades en ciberseguridad y los pondrá a disposición en una plataforma en línea, aumentando su visibilidad y el número de profesionales calificados en ciberseguridad en la UE.
En el marco de la Unión Europea de la Seguridad, la UE se ha comprometido a velar por que todos los ciudadanos y empresas de Europa estén bien protegidos, tanto en línea como fuera de línea, y a fomentar un ciberespacio abierto, seguro y estable. Sin embargo, el aumento de la magnitud, la frecuencia y el efecto de los incidentes de ciberseguridad representa una grave amenaza para el funcionamiento de las redes y los sistemas de información y para el mercado único europeo. La agresión militar de Rusia contra Ucrania ha exacerbado aún más esta amenaza, junto con la multiplicidad de agentes estatales, criminales y hacktivistas implicados en las tensiones geopolíticas actuales.
Partiendo del sólido marco estratégico, político y legislativo ya en vigor, la propuesta de Ley de Cibersolidaridad de la UE y la Academia de Cibercapacidades contribuirán aún más a mejorar la detección de las ciberamenazas, la resiliencia y la preparación a todos los niveles del ecosistema de ciberseguridad de la UE.
ENISA lanza una herramienta para evaluar el nivel de ciberseguridad de las pymes |
Ley de Cibersolidaridad de la UE
La Ley de Cibersolidaridad de la UE reforzará la solidaridad a escala de la Unión a la hora de detectar, afrontar y superar los incidentes de ciberseguridad importantes o a gran escala, mediante la creación de un Ciberescudo Europeo y un Mecanismo de Ciberemergencia global.
Para detectar las principales amenazas cibernéticas de forma rápida y eficaz, la Comisión propone la creación de un Ciberescudo Europeo, una infraestructura paneuropea formada por centros de operaciones de seguridad nacionales y transfronterizos en toda la UE. Se trata de entidades encargadas de detectar las ciberamenazas y de actuar frente a ellas. Utilizarán la tecnología más avanzada, por ejemplo, la inteligencia artificial (IA) y el análisis avanzado de datos, para detectar y difundir oportunamente alertas de ciberamenazas e incidentes más allá de las fronteras. A su vez, las autoridades y las entidades pertinentes podrán reaccionar de manera más eficiente y eficaz ante los incidentes graves.
Estos centros podrían empezar a funcionar a principios de 2024. Como fase preparatoria del Ciberescudo Europeo, la Comisión seleccionó en abril de 2023, en el marco del programa Europa Digital, tres consorcios de centros de operaciones de seguridad transfronterizos, que reúnen a organismos públicos de diecisiete Estados miembros e Islandia.
La Ley de Cibersolidaridad de la UE también incluye la creación de un mecanismo de ciberemergencia para aumentar la preparación y mejorar las capacidades de respuesta ante incidentes en la UE. Este apoyará lo siguiente:
- Medidas de preparación, por ejemplo, ensayos en entidades de sectores muy críticos (asistencia sanitaria, transportes, energía, etc.) para detectar posibles puntos vulnerables, sobre la base de hipótesis y métodos de riesgo comunes.
- Creación de una nueva reserva de ciberseguridad de la UE, consistente en servicios de respuesta a incidentes de proveedores de confianza precontratados y, por tanto, dispuestos a intervenir, a petición de un Estado miembro o de las instituciones, órganos y organismos de la Unión, en caso de que se produzca un incidente de ciberseguridad importante o a gran escala.
- Prestación de ayuda financiera en favor de la asistencia mutua, cuando un Estado miembro pueda prestar apoyo a otro Estado miembro.
Además, la propuesta de Reglamento establece un mecanismo de examen de incidentes de ciberseguridad para mejorar la resiliencia de la Unión mediante la revisión y la evaluación de incidentes de ciberseguridad importantes o a gran escala después de que se hayan producido, extrayendo enseñanzas y, cuando proceda, formulando recomendaciones para mejorar la posición cibernética de la Unión.
El presupuesto total para todas las acciones en el marco de la Ley de Cibersolidaridad de la UE asciende a 1 100 millones de euros, de los cuales aproximadamente dos tercios los financiará la UE con cargo al programa Europa Digital.
Academia de Cibercapacidades de la UE
La Academia de Cibercapacidades de la UE reunirá iniciativas privadas y públicas destinadas a impulsar las capacidades en materia de ciberseguridad a escala nacional y europea, haciéndolas más visibles y contribuyendo a colmar la brecha de talento en materia de ciberseguridad de los profesionales del sector.
La Academia se alojará inicialmente en línea en la plataforma de capacidades y empleos digitales de la Comisión. Los ciudadanos interesados en desarrollar una carrera profesional en el ámbito de la ciberseguridad podrán encontrar formación y certificaciones de toda la UE en un único lugar en línea. Las partes interesadas también podrán comprometerse a apoyar la mejora de las capacidades en materia de ciberseguridad en la UE mediante la adopción de medidas concretas, tales como ofertas de formación y certificaciones en materia de ciberseguridad.
La Academia evolucionará para incluir un espacio común para el mundo académico, los proveedores de formación y la industria, ayudándoles a coordinar los programas educativos, la formación, la financiación y el seguimiento de la evolución del mercado laboral de la ciberseguridad.
Sistemas de certificación de los servicios de seguridad administrada
La Comisión también ha propuesto una modificación específica del Reglamento de Ciberseguridad para permitir la futura adopción de sistemas europeos de certificación para los servicios de seguridad administrada. Se trata de servicios sumamente críticos y sensibles prestados por proveedores de servicios de ciberseguridad, tales como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría, a fin de asistir a las empresas y otras organizaciones a la hora de prevenir, detectar, afrontar o superar ciberincidentes.
La certificación es fundamental y puede desempeñar un papel importante en el contexto de la Reserva de Ciberseguridad de la UE y de la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI 2), además de facilitar la prestación transfronteriza de esos servicios.
Próximas etapas
El Parlamento Europeo y el Consejo examinarán ahora la propuesta de Reglamento sobre la Ley de Cibersolidaridad de la UE y la modificación específica del Reglamento de Ciberseguridad.
El Centro Europeo de Competencia en Ciberseguridad organizará una adquisición conjunta de herramientas e infraestructuras con los centros de operaciones de seguridad transfronterizos seleccionados para crear capacidades de ciberdetección.
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) y el Centro Europeo de Competencia en Ciberseguridad seguirán trabajando en materia de cibercapacidades y contribuyendo a la creación de la Academia de Cibercapacidades, en consonancia con sus respectivos mandatos, y en estrecha cooperación con la Comisión y los Estados miembros.
La Comisión propone que la Academia adopte la forma de un consorcio europeo de infraestructuras digitales (EDIC), que es un nuevo marco jurídico para ejecutar proyectos plurinacionales. Esta posibilidad se va a negociar ahora con los Estados miembros.
También es necesario velar por que los profesionales reciban una formación de la calidad necesaria. A este respecto, la ENISA desarrollará un proyecto piloto que estudiará la creación de un régimen europeo de certificación de las capacidades en materia de ciberseguridad.
Deja una respuesta