O novo Regulamento sobre ciberseguridade establece medidas para o establecemento dun marco interno de xestión, gobernación e control de riscos de ciberseguridade para cada entidade da Unión, e establece un novo Consello Interinstitucional de Ciberseguridade (CIIC) para supervisar e apoiar a súa aplicación por parte das entidades da Unión. Proporciona un mandato ampliado do Equipo de Resposta a Emerxencias Informáticas para as institucións, órganos e organismos da UE (CERT-UE), como centro de información sobre ameazas, intercambio de información e coordinación da resposta a incidentes, un órgano consultivo central e un provedor de servizos. En consonancia co seu mandato, o CERT-UE pasa a denominarse Servizo de Ciberseguridade para as institucións, órganos e organismos da Unión, pero conserva a denominación abreviada «CERT-UE».
Etapas seguintes
Seguindo o calendario definido no Regulamento, as entidades da Unión establecerán procesos internos de gobernación da ciberseguridade e adoptarán progresivamente medidas específicas para a xestión de riscos de ciberseguridade previstas no Regulamento. O CIIC crearase e será operativo canto antes, co obxectivo de garantir a dirección estratéxica do CERT-UE no marco do seu mandato ampliado, proporcionar orientación e apoio ás entidades da Unión e supervisar a aplicación do Regulamento.
Antecedentes
Na súa Resolución de marzo de 2021, o Consello da Unión Europea destacou a importancia dun marco de seguridade sólido e coherente capaz de protexer integralmente ao persoal, os datos, as redes de comunicación, os sistemas de información e os procesos de toma de decisións da UE. Neste contexto, a Comisión anunciou a proposta de Regulamento sobre ciberseguridade en marzo de 2022, e en xuño de 2023 o Parlamento Europeo e o Consello alcanzaron un acordo político .
O presente Regulamento axústase aos obxectivos políticos da Comisión establecidos por a Estratexia da UE para unha Unión da Seguridade e a Estratexia de Ciberseguridade da UE , e garante a coherencia con outras iniciativas lexislativas no ámbito de:
- A Directiva relativa ás medidas destinadas a garantir un elevado nivel común de ciberseguridade en toda a Unión (SRI 2), coa que esta lexislación se axusta en termos de principios e nivel de ambición, respectando ao mesmo tempo as especificidades das entidades da Unión;
- O Regulamento de Ciberseguridade ;
- A Recomendación da Comisión sobre a resposta coordinada da UE aos incidentes e crises de ciberseguridade a gran escala
O Regulamento sobre ciberseguridade presentouse conxuntamente cunha proposta de Regulamento sobre seguridade de a información, que establece regras e normas mínimas de seguridade da información para todas as institucións, órganos e organismos da UE. A presente proposta ten por obxecto un intercambio seguro de información entre as institucións, órganos e organismos da UE e cos Estados membros, baseado en prácticas e medidas normalizadas para protexer os fluxos de información. As negociacións entre os colegisladores sobre esta proposta aínda non comezaron.
