As dúas normas aprobadas (o novo Regulamento de Cibersolidaridad e a modificación específica de o Regulamento sobre a Ciberseguridade). teñen o dobre obxectivo de reforzar a solidariedade da UE -no sentido de ampliar as capacidades para detectar ameazas e incidentes de ciberseguridade-, ademais de prepararse para afrontalos e dar unha resposta áxil e eficiente.
Principais elementos do Regulamento de Cibersolidaridad
O novo Regulamento de Cibersolidaridad establece as capacidades da UE para que Europa sexa máis resiliente en caso de recibir ciberamenazas, ademais de reforzar os mecanismos de cooperación. Entre outras cousas, establece un sistema de alerta de seguridade, unha infraestrutura paneuropea integrada por centros cibernéticos nacionais e transfronteirizos de toda a UE. Trátase de entidades encargadas de compartir información, detectar ciberamenazas e actuar contra elas. Utilizarán tecnoloxía de vangarda, como a intelixencia artificial (IA) e a análise avanzada de datos, para detectar ciberamenazas e incidentes transfronteirizos e alertar sobre eles puntualmente. Reforzarán o marco europeo existente e, á súa vez, as autoridades e as entidades pertinentes poderán responder de maneira máis eficiente e eficaz a incidentes de ciberseguridade.
O novo Regulamento tamén prevé a creación de un mecanismo de emerxencia de ciberseguridade para aumentar a preparación e mellorar as capacidades de resposta a incidentes na UE. Este mecanismo apoiará o seguinte:
- Medidas de preparación, como a realización de probas a entidades de sectores críticos (asistencia sanitaria, transporte, enerxía, etc.) co fin de detectar posibles vulnerabilidades, a partir de supostos de risco e metodoloxías comúns;
- Unha nova reserva de ciberseguridade da UE, consistente en servizos de resposta a incidentes prestados por provedores do sector privado e preparados para intervir -a pedimento dun Estado membro ou das institucións, órganos e organismos da UE, así como de terceiros países asociados- en caso de incidente de ciberseguridade importante ou a gran escala;
- Asistencia mutua técnica.
Por último, o novo Regulamento establece un mecanismo de revisión de incidentes para valorar, entre outras cousas, a eficacia das medidas tomadas no marco do mecanismo de ciberemergencia e o uso da reserva de ciberseguridade, así como a contribución do este Regulamento ao reforzo da posición competitiva dos sectores industrial e de servizos.
Modificación específica do Regulamento sobre a Ciberseguridade de 2019
Esta emenda ten por obxectivo mellorar a ciberresiliencia da UE ao permitir a futura adopción de esquemas europeos de certificación para os chamados «servizos de seguridade xestionados». A nova norma recoñece a importancia cada vez maior de os servizos de seguridade xestionados para previr e detectar incidentes de seguridade, para darlles resposta e para recuperarse unha vez prodúzanse. Estes servizos poden consistir, por exemplo, na xestión de incidentes, en probas de penetración, en auditorías de seguridade e en consultoría relacionada co apoio técnico.
Á espera dos resultados de a revisión do Regulamento sobre a Ciberseguridade, esta modificación específica permitirá establecer esquemas europeos de certificación para os este servizos de seguridade xestionados. Contribuirá a aumentar a súa calidade e comparabilidad, fomentará a aparición de provedores de servizos de ciberseguridade de confianza e evitará a fragmentación do mercado interior, dado que algúns Estados membros xa iniciaron a adopción de esquemas nacionais de certificación para os servizos de seguridade xestionados.
Seguintes etapas
Tras a sinatura dos presidentes do Consello e do Parlamento Europeo, ambos os actos lexislativos publicaranse en o Diario Oficial da Unión Europea nas próximas semanas e entrarán en vigor ao vinte días da súa publicación.
Contexto
O 18 de abril de 2023, a Comisión adoptou a proposta de Regulamento polo que se establecen medidas destinadas a reforzar a solidariedade e as capacidades na Unión co fin de detectar ameazas e incidentes de ciberseguridade, prepararse para eles e responder unha vez prodúzanse -o denominado Regulamento de Cibersolidaridad-, xunto cunha proposta de modificación específica do Regulamento sobre a Ciberseguridade. O Regulamento sobre a Ciberseguridade, adoptado en 2019, estableceu o primeiro marco de certificación da ciberseguridade para todos os Estados membros.
A primeira proposta da Comisión introduce un ciberescudo europeo, integrado por centros de operacións de seguridade, agrupados en varias plataformas de centros de operacións de seguridade de varios países e financiadas polo programa Europa Digital. A segunda proposta ten por obxectivo unha modificación específica do ámbito de aplicación do Regulamento sobre a Ciberseguridade, que permite á Comisión adoptar actos de execución en materia de esquemas europeos de certificación da ciberseguridade en relación cos servizos de seguridade xestionados, ademais dos produtos, servizos e procesos das tecnoloxías da información e das comunicacións (TIC), que xa están cubertos polo actual Regulamento sobre a Ciberseguridade. O 6 de marzo de 2024, os colegisladores alcanzaron un acordo provisional sobre ambas as propostas, que alteraba os conceptos de «ciberescudo europeo» e «centros de operacións de seguridade» en comparación coa proposta inicial da Comisión.
- Regulamento polo que se establecen medidas destinadas a reforzar a solidariedade e as capacidades na Unión co fin de detectar ciberamenazas e incidentes, prepararse e responder a eles (Regulamento de Cibersolidaridad) do 2 de decembro de 2024
- Modificación do Regulamento sobre a Ciberseguridade no que se refire a os servizos de seguridade xestionados de o 2 de decembro de 2024
- Conclusións do Consello sobre a elaboración da posición da UE en materia cibernética Comunicado de Prensa
- Regulamento sobre a Ciberseguridade do 7 de xuño de 2019
