Los Estados miembros acuerdan una modificación específica de la Ley europea de ciberseguridad

Los 'servicios de seguridad gestionados', prestados a los clientes por empresas especializadas, son cruciales para la prevención, detección, respuesta y recuperación de incidentes de ciberseguridad. Pueden consistir, por ejemplo, en la detección o respuesta a incidentes, pruebas de penetración o auditorías de seguridad, o consultoría. Una vez en este punto, y con el fin de mejorar la ciberresiliencia de la UE permitiendo la futura adopción de sistemas europeos de certificación para dichos servicios, los representantes de los Estados miembros (COREPER) alcanzaron una posición común sobre la propuesta de modificación específica de la Ley de Ciberseguridad de la UE, que data de 2019.

Principales objetivos de la propuesta de la Comisión

Presentada junto con una propuesta de acto de cibersolidaridad de la UE para reforzar las capacidades de ciberseguridad en la UE, la enmienda específica a la ASC tiene por objeto incluir los esquemas europeos de certificación de la ciberseguridad para los «servicios de seguridad gestionados» en el ámbito de aplicación del Reglamento de la ASAC de 2019.

Por lo tanto, esta modificación permitirá el establecimiento de sistemas europeos de certificación para dichos servicios. Contribuirá a aumentar su calidad y comparabilidad, fomentará la aparición de proveedores de servicios de ciberseguridad de confianza y evitará la fragmentación del mercado interior, dado que algunos Estados miembros ya han iniciado la adopción de esquemas nacionales de certificación para los servicios gestionados de seguridad.

Enmiendas del Consejo

La posición del Consejo contiene las siguientes enmiendas principales a la propuesta de la Comisión:

- Aclara la definición de «servicios de seguridad gestionados» y la adaptación a la Directiva revisada sobre sistemas de información de red («SRI 2»).

- El texto alinea los objetivos de seguridad de estos esquemas de certificación con los objetivos de seguridad de otros esquemas bajo la actual Ley de Ciberseguridad.

- El texto incluye modificaciones en el anexo de la Ley de Ciberseguridad, que contiene una lista de requisitos que deben cumplir los organismos de evaluación de la conformidad.

- Se han introducido una serie de modificaciones técnicas y de redacción para garantizar que todas las disposiciones pertinentes del actual Reglamento CSA se apliquen también a los servicios de seguridad gestionados.

Pasos siguientes y contexto a la Ley

El acuerdo alcanzado hoy sobre la posición común del Consejo («mandato de negociación») permitirá a la Presidencia española entablar negociaciones con el Parlamento Europeo («diálogos tripartitos») sobre la versión final de la legislación propuesta.

En cuanto a los antecedentes y contexto de la Ley de Ciberseguridad Europea, hat que señalar que fue adoptada en 2019 y que estableció el primer marco de certificación de ciberseguridad para todos los estados miembros. La certificación de ciberseguridad es voluntaria, a menos que la legislación de la Unión o de los Estados miembros especifique lo contrario.

La propuesta de la Comisión, adoptada el 18 de abril de 2023, tiene por objeto una modificación específica del ámbito de aplicación del acto de ciberseguridad, que permitiría a la Comisión adoptar actos de ejecución sobre esquemas europeos de certificación de la ciberseguridad para los «servicios de seguridad gestionados», además de los productos de información y tecnología (TIC), los servicios de TIC y los procesos de TIC, que están cubiertos por el actual acto de ciberseguridad.

La propuesta introduce una definición de «servicios gestionados de seguridad», en consonancia con la definición de «proveedores de servicios de seguridad gestionados» de la Directiva SRI 2. También añade un nuevo artículo (art. 51 bis) sobre los objetivos de seguridad de los esquemas europeos de certificación de ciberseguridad, adaptado a los servicios gestionados de seguridad. Por último, la propuesta contiene una serie de modificaciones técnicas para garantizar que las disposiciones pertinentes de la Ley de Ciberseguridad se apliquen también a los servicios de seguridad gestionados.

La propuesta se basa en el artículo 114 del TFUE (mercado interior), ya que su objetivo es evitar la fragmentación del mercado interior de los servicios gestionados de seguridad al permitir la adopción de esquemas europeos de certificación de la ciberseguridad para estos servicios.