Els 'servicis de seguretat gestionats', prestats als clients per empreses especialitzades, són crucials per a la prevenció, detecció, resposta i recuperació d'incidents de ciberseguretat. Poden consistir, per exemple, en la detecció o resposta a incidents, proves de penetració o auditories de seguretat, o consultoria. Una vegada en este punt, i amb la finalitat de millorar la ciberresiliencia de la UE permetent la futura adopció de sistemes europeus de certificació per a aquests servicis, els representants dels Estats membres (COREPER) van aconseguir una posició comuna sobre la proposta de modificació específica de la Llei de Ciberseguretat de la UE, que data de 2019.
Els Estats membres acorden una modificació específica de la Llei europea de ciberseguretat
16 novembre 2023
Per a millorar la ciberresiliencia permetent la futura adopció de sistemes de certificació, els representants dels Estats membres van aconseguir una posició comuna sobre la proposta de modificació específica de la Llei de Ciberseguretat de la UE de 2019.
Principals objectius de la proposta de la Comissió
Presentada juntament amb una proposta d'acte de cibersolidaridad de la UE per a reforçar les capacitats de ciberseguretat en la UE, l'esmena específica a l'ASC té per objecte incloure els esquemes europeus de certificació de la ciberseguretat per als «servicis de seguretat gestionats» en l'àmbit d'aplicació del Reglament de l'ASAC de 2019.
Per tant, esta modificació permetrà l'establiment de sistemes europeus de certificació per a aquests servicis. Contribuirà a augmentar la seua qualitat i comparabilidad, fomentarà l'aparició de proveïdors de servicis de ciberseguretat de confiança i evitarà la fragmentació del mercat interior, atés que alguns Estats membres ja han iniciat l'adopció d'esquemes nacionals de certificació per als servicis gestionats de seguretat.
Esmenes del Consell
La posició del Consell conté les següents esmenes principals a la proposta de la Comissió:
- aclarix la definició de «servicis de seguretat gestionats» i l'adaptació a la Directiva revisada sobre sistemes d'informació de xarxa («SRI 2»)
- El text alinea els objectius de seguretat d'estos esquemes de certificació amb els objectius de seguretat d'altres esquemes baix l'actual Llei de Ciberseguretat
- El text inclou modificacions en l'annex de la Llei de Ciberseguretat, que conté una llista de requisits que han de complir els organismes d'avaluació de la conformitat
- s'han introduït una sèrie de modificacions tècniques i de redacció per a garantir que totes les disposicions pertinents de l'actual Reglament CSA s'apliquen també als servicis de seguretat gestionats
Passos següents i context a la Llei
L'acord aconseguit hui sobre la posició comuna del Consell («mandat de negociació») permetrà a la Presidència espanyola entaular negociacions amb el Parlament Europeu («diàlegs tripartits») sobre la versió final de la legislació proposada.
Quant als antecedents i context de la Llei de Ciberseguretat Europea, hat que assenyalar que va ser adoptada en 2019 i que va establir el primer marc de certificació de ciberseguretat per a tots els estats membres. La certificació de ciberseguretat és voluntària, llevat que la legislació de la Unió o dels Estats membres especifique el contrari.
La proposta de la Comissió, adoptada el 18 d'abril de 2023, té per objecte una modificació específica de l'àmbit d'aplicació de l'acte de ciberseguretat, que permetria a la Comissió adoptar actes d'execució sobre esquemes europeus de certificació de la ciberseguretat per als «servicis de seguretat gestionats», a més dels productes d'informació i tecnologia (TIC), els servicis de TIC i els processos de TIC, que estan coberts per l'actual acte de ciberseguretat.
La proposta introduïx una definició de «servicis gestionats de seguretat», d'acord amb la definició de «proveïdors de servicis de seguretat gestionats» de la Directiva SRI 2. També afig un nou article (art. 51 bis) sobre els objectius de seguretat dels esquemes europeus de certificació de ciberseguretat, adaptat als servicis gestionats de seguretat. Finalment, la proposta conté una sèrie de modificacions tècniques per a garantir que les disposicions pertinents de la Llei de Ciberseguretat s'apliquen també als servicis de seguretat gestionats.
La proposta es basa en l'article 114 del TFUE (mercat interior), ja que el seu objectiu és evitar la fragmentació del mercat interior dels servicis gestionats de seguretat en permetre l'adopció d'esquemes europeus de certificació de la ciberseguretat per a estos servicis.
Enllaços d'interés:
- Reglament pel qual es modifica la CSA pel que fa als servicis gestionats de seguretat, mandat de negociació del Consell, 15 de novembre de 2023
- Modificació específica de la CSA (CSA+), proposta de la Comissió, 18 d'abril de 2023
- Informació d'antecedents de la Comissió, 18 d'abril de 2023
- Directiva revisada sobre xarxes i sistemes d'informació (SRI 2), 27 de desembre de 2022
- Llei de ciberseguretat (CSA), 7 de juny de 2019
- Seguretat i Protecció de Dades
