La UE necesita una mayor preparación en ciberseguridad

La disparidad en el nivel de ciberseguridad entre los órganos de la UE provoca una divergencia entre países respecto a las crecientes amenazas. Ésta es la gran conclusión sacada del informe especial elaborado por el Tribunal de Cuentas Europeo, que examina el nivel de preparación de las entidades públicas de la UE ante los ataques en la red. 

Para remediar la situación, los auditores recomiendan la introducción de normas vinculantes, de modo que se cree una homogenización en la ciberseguridad europea. También creen que es necesario que el equipo interinstitucional de respuesta a emergencias informáticas (CERT-UE) disponga de más recursos. Y es que, según los citados auditores, la Comisión Europea debería fomentar una mayor cooperación entre los órganos de la UE, así como una fuerte conexión entre el CERT-UE y la Agencia de la Unión Europea para la Ciberseguridad con el objetivo de poner un mayor foco en los órganos con menor experiencia en la gestión de los ataques online. 

El estudio señala asimismo que, entre 2018 y 2021, los incidentes de seguridad significativos se multiplicaron por diez en los órganos de la UE, en parte por culpa del trabajo a distancia, que ha aumentado considerablemente el número de posibles puntos de acceso. En general, la causa de estos incidentes son complejos ciberataques que suelen implicar el uso de nuevos métodos y tecnologías. 

Un buen ejemplo es el que padeció la Agencia Europea de Medicamentos, en el que se filtraron y manipularon datos delicados con el propósito de socavar la confianza en las vacunas. En palabras de Bettina Jakobsen, Miembro del Tribunal de Cuentas Europeo responsable del informe, “las instituciones, los órganos y los organismos de la UE son un blanco atractivo para los posibles atacantes, en particular para los grupos capaces de ejecutar ataques sigilosos muy sofisticados con fines de ciberespionaje y otros objetivos perversos. Estos ataques pueden tener importantes consecuencias políticas, dañar la reputación general de la UE y socavar la confianza en sus instituciones. La UE debe intensificar sus esfuerzos para proteger sus propias organizaciones”. 

La principal constatación de los auditores fue que las instituciones, órganos y organismos de la UE no siempre cuentan con una protección adecuada frente a los ciberataques, ya que no atienden a las cuestiones de ciberseguridad de manera coherente, ni establecen siempre controles básicos y buenas prácticas en ciberseguridad. Tampoco imparten formación de forma sistemática entre sus trabajadores. 

La asignación de recursos a la ciberseguridad, por tanto, es demasiado dispar. De hecho, según el informe, algunos órganos de la UE gastan mucho menos que otros similares. Aunque las diferencias en los niveles de ciberseguridad podrían justificarse teóricamente por los distintos perfiles de riesgo de cada organización y el grado variable de sensibilidad de los datos gestionados, los auditores hacen hincapié en que los puntos débiles de un solo órgano de la UE pueden exponer otras organizaciones a amenazas de ciberseguridad, al estar todos conectados entre sí y, a menudo, con otras compañías públicas y privadas de los Estados miembros.

El Equipo de Respuesta a Emergencias Informáticas (CERT-UE) y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) son las dos principales entidades de la UE encargadas de prestar apoyo en materia de ciberseguridad. Sin embargo, por la limitación de recursos o la prioridad de otros ámbitos, no han podido facilitar toda la ayuda necesaria a los citados órganos. Los auditores también señalan deficiencias en el intercambio de información. Por ejemplo, no todos los órganos de la UE comunican a su debido tiempo las vulnerabilidades ni los incidentes significativos de ciberseguridad que les han afectado. 

Información de referencia
Actualmente no existe un marco legal para la seguridad de la información y la ciberseguridad en las instituciones, los órganos y los organismos de la UE. No están sujetos a la legislación más amplia de la Unión en materia de ciberseguridad (Directiva SRI 2016) ni a su propuesta de revisión (Directiva SRI2). Tampoco existe información completa sobre el importe invertido por los órganos de la UE en ciberseguridad. 

La normativa común sobre seguridad de la información y ciberseguridad de todos los órganos de la UE figura en la Comunicación sobre la Estrategia de la UE para una Unión de la Seguridad para el período 2020-2025, que publicó la Comisión en julio de 2020. En la Estrategia de Ciberseguridad de la UE para la Década Digital, presentada en diciembre de 2020, la Comisión se comprometió a proponer un reglamento relativo a las normas de ciberseguridad comunes para los órganos de la UE. También propuso el establecimiento de un nuevo fundamento legal para que el CERT-UE refuerce su mandato y su financiación.