Os 'servizos de seguridade xestionados', prestados aos clientes por empresas especializadas, son cruciais para a prevención, detección, resposta e recuperación de incidentes de ciberseguridade. Poden consistir, por exemplo, na detección ou resposta a incidentes, probas de penetración ou auditorías de seguridade, ou consultoría. Unha vez neste punto, e co fin de mellorar a ciberresiliencia da UE permitindo a futura adopción de sistemas europeos de certificación para os este servizos, os representantes dos Estados membros (COREPER) alcanzaron unha posición común sobre a proposta de modificación específica de a Lei de Ciberseguridade da UE, que data de 2019.
Os Estados membros acordan unha modificación específica da Lei europea de ciberseguridade
16 novembro 2023
Para mellorar a ciberresiliencia permitindo a futura adopción de sistemas de certificación, os representantes dos Estados membros alcanzaron unha posición común sobre a proposta de modificación específica de a Lei de Ciberseguridade da UE de 2019.
Principais obxectivos da proposta da Comisión
Presentada xunto cunha proposta de acto de cibersolidaridad da UE para reforzar as capacidades de ciberseguridade na UE, a emenda específica á ASC ten por obxecto incluír os esquemas europeos de certificación da ciberseguridade para os «servizos de seguridade xestionados» no ámbito de aplicación do Regulamento da ASAC de 2019.
Por tanto, esta modificación permitirá o establecemento de sistemas europeos de certificación para os este servizos. Contribuirá a aumentar a súa calidade e comparabilidad, fomentará a aparición de provedores de servizos de ciberseguridade de confianza e evitará a fragmentación do mercado interior, dado que algúns Estados membros xa iniciaron a adopción de esquemas nacionais de certificación para os servizos xestionados de seguridade.
Emendas do Consello
A posición do Consello contén as seguintes emendas principais á proposta da Comisión:
- aclara a definición de «servizos de seguridade xestionados» e a adaptación á Directiva revisada sobre sistemas de información de rede («SRI 2»)
- O texto aliña os obxectivos de seguridade destes esquemas de certificación con os obxectivos de seguridade doutros esquemas baixo a actual Lei de Ciberseguridade
- O texto inclúe modificacións no anexo da Lei de Ciberseguridade, que contén unha lista de requisitos que deben cumprir os organismos de avaliación da conformidade
- introducíronse unha serie de modificacións técnicas e de redacción para garantir que todas as disposicións pertinentes do actual Regulamento CSA aplíquense tamén aos servizos de seguridade xestionados
Pasos seguintes e contexto á Lei
O acordo alcanzado hoxe sobre a posición común do Consello («mandato de negociación») permitirá á Presidencia española establecer negociacións co Parlamento Europeo («diálogos tripartitos») sobre a versión final da lexislación proposta.
Canto aos antecedentes e contexto da Lei de Ciberseguridade Europea, hat que sinalar que foi adoptada en 2019 e que estableceu o primeiro marco de certificación de ciberseguridade para todos os estados membros. A certificación de ciberseguridade é voluntaria, a menos que a lexislación da Unión ou dos Estados membros especifique o contrario.
A proposta da Comisión, adoptada o 18 de abril de 2023, ten por obxecto unha modificación específica do ámbito de aplicación do acto de ciberseguridade, que permitiría á Comisión adoptar actos de execución sobre esquemas europeos de certificación da ciberseguridade para os «servizos de seguridade xestionados», ademais dos produtos de información e tecnoloxía (TIC), os servizos de TIC e os procesos de TIC, que están cubertos polo actual acto de ciberseguridade.
A proposta introduce unha definición de «servizos xestionados de seguridade», en consonancia coa definición de «provedores de servizos de seguridade xestionados» da Directiva SRI 2. Tamén engade un novo artigo (art. 51 bis) sobre os obxectivos de seguridade dos esquemas europeos de certificación de ciberseguridade, adaptado aos servizos xestionados de seguridade. Por último, a proposta contén unha serie de modificacións técnicas para garantir que as disposicións pertinentes da Lei de Ciberseguridade aplíquense tamén aos servizos de seguridade xestionados.
A proposta baséase no artigo 114 do TFUE (mercado interior), xa que o seu obxectivo é evitar a fragmentación do mercado interior dos servizos xestionados de seguridade ao permitir a adopción de esquemas europeos de certificación da ciberseguridade para estes servizos.
Ligazóns de interese:
- Regulamento polo que se modifica a CSA no que respecta aos servizos xestionados de seguridade, mandato de negociación do Consello, 15 de novembro de 2023
- Modificación específica da CSA (CSA+), proposta da Comisión, 18 de abril de 2023
- Información de antecedentes da Comisión, 18 de abril de 2023
- Directiva revisada sobre redes e sistemas de información (SRI 2), 27 de decembro de 2022
- Lei de ciberseguridade (CSA), 7 de xuño de 2019
- Seguridade e Protección de Datos
