El Consejo Europeo adopta nuevas normas para reforzar las capacidades de ciberseguridad en la UE
- NORMATIVAS
El Consejo Europeo ha adoptado dos nuevas normas que forman parte del paquete legislativo de ciberseguridad: el llamado Reglamento de Cibersolidaridad y una modificación específica del Reglamento sobre la Ciberseguridad.
Las dos normas aprobadas (el nuevo Reglamento de Cibersolidaridad y la modificación específica del Reglamento sobre la Ciberseguridad). tienen el doble objetivo de reforzar la solidaridad de la UE -en el sentido de ampliar las capacidades para detectar amenazas e incidentes de ciberseguridad-, además de prepararse para afrontarlos y dar una respuesta ágil y eficiente.
Principales elementos del Reglamento de Cibersolidaridad
El nuevo Reglamento de Cibersolidaridad establece las capacidades de la UE para que Europa sea más resiliente en caso de recibir ciberamenazas, además de reforzar los mecanismos de cooperación. Entre otras cosas, establece un sistema de alerta de seguridad, una infraestructura paneuropea integrada por centros cibernéticos nacionales y transfronterizos de toda la UE. Se trata de entidades encargadas de compartir información, detectar ciberamenazas y actuar contra ellas. Utilizarán tecnología de vanguardia, como la inteligencia artificial (IA) y el análisis avanzado de datos, para detectar ciberamenazas e incidentes transfronterizos y alertar sobre ellos puntualmente. Reforzarán el marco europeo existente y, a su vez, las autoridades y las entidades pertinentes podrán responder de manera más eficiente y eficaz a incidentes de ciberseguridad.
El nuevo Reglamento también prevé la creación de un mecanismo de emergencia de ciberseguridad para aumentar la preparación y mejorar las capacidades de respuesta a incidentes en la UE. Dicho mecanismo apoyará lo siguiente:
Medidas de preparación, como la realización de pruebas a entidades de sectores críticos (asistencia sanitaria, transporte, energía, etc.) con el fin de detectar posibles vulnerabilidades, a partir de supuestos de riesgo y metodologías comunes;
Una nueva reserva de ciberseguridad de la UE, consistente en servicios de respuesta a incidentes prestados por proveedores del sector privado y preparados para intervenir -a petición de un Estado miembro o de las instituciones, órganos y organismos de la UE, así como de terceros países asociados- en caso de incidente de ciberseguridad importante o a gran escala;
Asistencia mutua técnica.
Por último, el nuevo Reglamento establece un mecanismo de revisión de incidentes para valorar, entre otras cosas, la eficacia de las medidas tomadas en el marco del mecanismo de ciberemergencia y el uso de la reserva de ciberseguridad, así como la contribución de dicho Reglamento al refuerzo de la posición competitiva de los sectores industrial y de servicios.
Modificación específica del Reglamento sobre la Ciberseguridad de 2019
Esta enmienda tiene por objetivo mejorar la ciberresiliencia de la UE al permitir la futura adopción de esquemas europeos de certificación para los llamados «servicios de seguridad gestionados». La nueva norma reconoce la importancia cada vez mayor de los servicios de seguridad gestionados para prevenir y detectar incidentes de seguridad, para darles respuesta y para recuperarse una vez se produzcan. Estos servicios pueden consistir, por ejemplo, en la gestión de incidentes, en pruebas de penetración, en auditorías de seguridad y en consultoría relacionada con el apoyo técnico.
A la espera de los resultados de la revisión del Reglamento sobre la Ciberseguridad, esta modificación específica permitirá establecer esquemas europeos de certificación para dichos servicios de seguridad gestionados. Contribuirá a aumentar su calidad y comparabilidad, fomentará la aparición de proveedores de servicios de ciberseguridad de confianza y evitará la fragmentación del mercado interior, dado que algunos Estados miembros ya han iniciado la adopción de esquemas nacionales de certificación para los servicios de seguridad gestionados.
Siguientes etapas
Tras la firma de los presidentes del Consejo y del Parlamento Europeo, ambos actos legislativos se publicarán en el Diario Oficial de la Unión Europea en las próximas semanas y entrarán en vigor a los veinte días de su publicación.