Los Estados miembros acuerdan una posición común sobre la Ley de Cibersolidaridad

Los representantes de los Estados miembros (COREPER) alcanzaron una posición común sobre la Ley europea de Cibersolidaridad, al tiempo que se pusieron las bases para el fortalecimiento de los mecanismos de cooperación ante ciberamenazas El proyecto de reglamento establece las capacidades de la UE para hacer una Europa más resiliente y reactiva frente a estas amenazas.

Principales objetivos de la propuesta de la Comisión

La propuesta de la Comisión tiene como objetivo principal:

- Apoyar la detección y el conocimiento de amenazas e incidentes de ciberseguridad significativos o a gran escala.
- Reforzar la preparación y proteger las entidades críticas y los servicios esenciales, como los hospitales y los servicios públicos.
- Reforzar la solidaridad a escala de la UE, la gestión concertada de crisis y las capacidades de respuesta entre los Estados miembros.
- Contribuir a garantizar un entorno digital seguro y protegido para los ciudadanos y las empresas.

Para detectar las principales ciberamenazas de forma rápida y eficaz, el proyecto de Reglamento establece un «ciberescudo europeo», que es una infraestructura paneuropea compuesta por centros de operaciones de seguridad (SOC) nacionales y transfronterizos en toda la UE. Se trata de entidades encargadas de compartir información y encargadas de detectar y actuar sobre las amenazas cibernéticas. Utilizarán tecnología de vanguardia, como inteligencia artificial (IA) y análisis avanzado de datos, para detectar y compartir advertencias oportunas sobre amenazas e incidentes cibernéticos a través de las fronteras. A su vez, las autoridades y las entidades pertinentes podrán responder de manera más eficiente y eficaz a incidentes graves.

El proyecto de Reglamento también prevé la creación de un mecanismo de ciberemergencia para aumentar la preparación y mejorar las capacidades de respuesta a incidentes en la UE. Apoyará:

- Acciones de preparación, incluidas las pruebas de posibles vulnerabilidades de entidades en sectores altamente críticos (salud, transporte, energía, etc.), basadas en escenarios y metodologías de riesgo comunes.
- Una nueva reserva de ciberseguridad de la UE consistente en servicios de respuesta a incidentes de proveedores de confianza del sector privado precontratados y, por tanto, dispuestos a intervenir, a petición de un Estado miembro o de las instituciones, órganos y organismos de la UE, en caso de un incidente de ciberseguridad significativo o a gran escala.
- Asistencia mutua en términos financieros, cuando un Estado miembro pueda ofrecer apoyo a otro Estado miembro.

Por último, la propuesta de Reglamento establece el mecanismo de revisión de incidentes de ciberseguridad para mejorar la resiliencia de la UE mediante la revisión y evaluación de incidentes de ciberseguridad significativos o a gran escala después de que se hayan producido, la extracción de lecciones aprendidas y, en su caso, la formulación de recomendaciones para mejorar la ciberpostura de la UE. A petición de la Comisión o de las autoridades nacionales, la Agencia de Ciberseguridad de la UE (ENISA) revisaría determinados incidentes de ciberseguridad y presentaría un informe con las lecciones aprendidas y las recomendaciones.

Las enmiendas del Consejo

La posición del Consejo mantiene la orientación general de la propuesta de la Comisión, pero modifica el proyecto de Reglamento en los siguientes aspectos:

- Aclara terminología y adapta el texto a las necesidades de los Estados miembros. especificidades, en particular en lo que respecta a los SOC y al escudo cibernético.
- En la materia y alcance, se mejoró el lenguaje sobre las medidas de respuesta y recuperación, así como sobre las disposiciones referidas a la seguridad nacional.
- Las definiciones se han modificado y alineado con otra legislación, principalmente con la directiva recientemente revisada sobre redes y sistemas de información ('NIS 2').
- El carácter voluntario de los estados miembros' A lo largo del texto se destacó la participación en los mecanismos establecidos por la propuesta de la Comisión y se han aclarado las interacciones entre las entidades existentes y las definidas por el proyecto de reglamento
el papel de la agencia de la UE para la ciberseguridad (ENISA) se ha reforzado y aclarado a lo largo del texto.
- Se han introducido mejoras en materia de adquisiciones, financiación, intercambio de información y mecanismo de revisión de incidentes.

Los antecedentes y los siguientes pasos a dar.

El 18 de abril de 2023, la Comisión adoptó la propuesta de Reglamento por el que se establecen medidas para reforzar la solidaridad y las capacidades en la UE para detectar, prepararse y responder a las amenazas e incidentes de ciberseguridad, el denominado «acto de cibersolidaridad».

El origen de una propuesta legislativa de este tipo es múltiple. La estrategia de ciberseguridad de la UE adoptada en diciembre de 2020 mencionaba la creación de un ciberescudo europeo, reforzando las capacidades de detección de ciberamenazas e intercambio de información en la UE. Los días 8 y 9 de marzo de 2022, los ministros de los Estados miembros de la UE responsables de las telecomunicaciones se reunieron informalmente en Nevers y expresaron el deseo de que la UE se prepare plenamente para hacer frente a los ciberataques a gran escala. Las Conclusiones del Consejo de mayo de 2022 sobre la ciberpostura destacaron la necesidad de colmar las lagunas en términos de respuesta y preparación ante los ciberataques, pidiendo a la Comisión que presentara una propuesta sobre un nuevo fondo de respuesta de emergencia para la ciberseguridad.

Por lo tanto, la propuesta de la Comisión introduce un «ciberescudo europeo», compuesto por centros de operaciones (SOC), reunidos en varias plataformas de SOC plurinacionales financiadas por el programa Europa Digital. El presupuesto total para todas las acciones en el marco de la Ley de Cibersolidaridad de la UE es de 1 1 millones de euros, de los cuales alrededor de 2/3 serán financiados por la UE a través del programa Europa Digital.