El Consejo y el Parlamento Europeo alcanzan un acuerdo para la creación del Reglamento sobre Ciberseguridad en las instituciones

Las medidas fueron propuestas por la Comisión en marzo de 2022 en el contexto de un aumento significativo del número de ciberataques sofisticados que afectan a la administración pública de la UE en los últimos años. El nuevo Reglamento creará un marco común para todas las entidades de la UE en el ámbito de la ciberseguridad y mejorará su resiliencia y sus capacidades de respuesta a incidentes.

Para garantizar unas normas comunes elevadas en todas las instituciones, órganos y organismos de la UE, las nuevas normas les exigen establecer un marco de gobernanza, gestión de riesgos y control en el ámbito de la ciberseguridad.

Todas las entidades de la UE también tendrán que aplicar medidas de ciberseguridad que aborden los riesgos identificados, realizar evaluaciones periódicas de la madurez de la ciberseguridad y poner en marcha un plan de ciberseguridad. 

Un CERT-UE más fuerte y una coordinación reforzada
En virtud del nuevo Reglamento, también se reforzará el mandato del Equipo de Respuesta a Emergencias Informáticas de la UE (CERT-UE), que pasará a denominarse «Servicio de Ciberseguridad para las instituciones, órganos y organismos de la Unión», manteniendo al mismo tiempo el acrónimo actual.

CERT-EU asesorará a todas las instituciones, órganos y organismos de la UE y les ayudará a prevenir, detectar y responder a los incidentes. También actuará como un centro para el intercambio de información y la coordinación en materia de ciberseguridad y respuesta a incidentes. Todas las entidades de la UE deberán compartir información no clasificada relacionada con incidentes con CERT-EU sin demora indebida.

Un nuevo Consejo de Ciberseguridad interinstitucional
Además, el nuevo Reglamento establecerá un Consejo de Ciberseguridad interinstitucional para impulsar y supervisar la aplicación del Reglamento por parte de las instituciones, órganos y organismos de la UE.

La nueva junta también supervisará la implementación de las prioridades y objetivos generales de CERT-EU y le proporcionará una dirección estratégica.

El consejo estará compuesto por representantes de todas las instituciones y órganos consultivos de la UE, el Banco Europeo de Inversiones, el Centro Europeo de Competencia en Ciberseguridad, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el Supervisor Europeo de Protección de Datos, la Agencia de la UE para el Programa Espacial, así como representantes de la Red de Agencias de la UE.

La Secretaría de la Junta correrá a cargo de la Comisión Europea. 

Los antecedentes y los próximos pasos
En sus Conclusiones de 20 de junio de 2019, el Consejo Europeo invitó a las instituciones de la UE a que, junto con los Estados miembros, trabajaran en medidas para aumentar la resiliencia y mejorar la cultura de seguridad de la UE frente a las amenazas cibernéticas e híbridas procedentes de fuera de la UE, y a proteger mejor las redes de información y comunicación de la UE y sus procesos de toma de decisiones. de actividades maliciosas de todo tipo.

El Reglamento por el que se establece un marco común de ciberseguridad para las instituciones, órganos y organismos de la UE es una de las medidas previstas en la Estrategia de Ciberseguridad de la UE para el Decenio Digital, presentada por la Comisión y la alta representante de la Unión para Asuntos Exteriores y Política de Seguridad en diciembre de 2020 para reforzar la resiliencia colectiva de la UE frente a las ciberamenazas.

En sus Conclusiones de 22 de marzo de 2021 sobre dicha estrategia, el Consejo destacó que la ciberseguridad es vital para el funcionamiento de la administración y las instituciones públicas, tanto a escala nacional como de la UE, así como para nuestra sociedad y la economía en su conjunto.

En cuanto a los próximos pasos a dar, hay que recalcar que, como este acuerdo provisional se finalizará ahora a nivel técnico, lo siguiente es presentarlo a los embajadores de los Estados miembros ante la UE para su confirmación.

Una vez confirmado tanto en el Consejo como en el Parlamento, será adoptado formalmente por ambas instituciones.