Les dues normes aprovades (el nou Reglament de Cibersolidaridad i la modificació específica de el Reglament sobre la Ciberseguretat). tenen el doble objectiu de reforçar la solidaritat de la UE -en el sentit d'ampliar les capacitats per detectar amenaces i incidents de ciberseguretat-, a més de preparar-se per afrontar-los i donar una resposta àgil i eficient.
Principals elements del Reglament de Cibersolidaridad
El nou Reglament de Cibersolidaridad estableix les capacitats de la UE perquè Europa sigui més resiliente en cas de rebre ciberamenazas, a més de reforçar els mecanismes de cooperació. Entre altres coses, estableix un sistema d'alerta de seguretat, una infraestructura paneuropea integrada per centres cibernètics nacionals i transfronterers de tota la UE. Es tracta d'entitats encarregades de compartir informació, detectar ciberamenazas i actuar contra elles. Utilitzaran tecnologia d'avantguarda, com la intel·ligència artificial (IA) i l'anàlisi avançada de dades, per detectar ciberamenazas i incidents transfronterers i alertar sobre ells puntualment. Reforçaran el marc europeu existent i, al seu torn, les autoritats i les entitats pertinents podran respondre de manera més eficient i eficaç a incidents de ciberseguretat.
El nou Reglament també preveu la creació d'un mecanisme d'emergència de ciberseguretat per augmentar la preparació i millorar les capacitats de resposta a incidents en la UE. Aquest mecanisme recolzarà el següent:
- Mesures de preparació, com la realització de proves a entitats de sectors crítics (assistència sanitària, transport, energia, etc.) amb la finalitat de detectar possibles vulnerabilitats, a partir de supòsits de risc i metodologies comunes;
- Una nova reserva de ciberseguretat de la UE, consistent en serveis de resposta a incidents prestats per proveïdors del sector privat i preparats per intervenir -a petició d'un Estat membre o de les institucions, òrgans i organismes de la UE, així com de tercers països associats- en cas d'incident de ciberseguretat important o a gran escala;
- Assistència mútua tècnica.
Finalment, el nou Reglament estableix un mecanisme de revisió d'incidents per valorar, entre altres coses, l'eficàcia de les mesures preses en el marc del mecanisme de ciberemergencia i l'ús de la reserva de ciberseguretat, així com la contribució d'aquest Reglament al reforç de la posició competitiva dels sectors industrial i de serveis.
Modificació específica del Reglament sobre la Ciberseguretat de 2019
Aquesta esmena té per objectiu millorar la ciberresiliencia de la UE en permetre la futura adopció de esquemes europeus de certificació per als anomenats «serveis de seguretat gestionats». La nova norma reconeix la importància cada vegada major dels serveis de seguretat gestionats per prevenir i detectar incidents de seguretat, per donar-los resposta i per recuperar-se una vegada es produeixin. Aquests serveis poden consistir, per exemple, en la gestió d'incidents, en proves de penetració, en auditories de seguretat i en consultoria relacionada amb el suport tècnic.
A l'espera dels resultats de la revisió del Reglament sobre la Ciberseguretat, aquesta modificació específica permetrà establir esquemes europeus de certificació per a aquests serveis de seguretat gestionats. Contribuirà a augmentar la seva qualitat i comparabilidad, fomentarà l'aparició de proveïdors de serveis de ciberseguretat de confiança i evitarà la fragmentació del mercat interior, atès que alguns Estats membres ja han iniciat l'adopció d'esquemes nacionals de certificació per als serveis de seguretat gestionats.
Següents etapes
Després de la signatura dels presidents del Consell i del Parlament Europeu, tots dos actes legislatius es publicaran en el Diari Oficial de la Unió Europea en les properes setmanes i entraran en vigor als vint dies de la seva publicació.
Context
El 18 d'abril de 2023, la Comissió va adoptar la proposta de Reglament pel qual s'estableixen mesures destinades a reforçar la solidaritat i les capacitats en la Unió a fi de detectar amenaces i incidents de ciberseguretat, preparar-se per a ells i respondre una vegada es produeixin -el denominat Reglament de Cibersolidaridad-, juntament amb una proposta de modificació específica del Reglament sobre la Ciberseguretat. El Reglament sobre la Ciberseguretat, adoptat en 2019, va establir el primer marc de certificació de la ciberseguretat per a tots els Estats membres.
La primera proposta de la Comissió introdueix un ciberescudo europeu, integrat per centres d'operacions de seguretat, agrupats en diverses plataformes de centres d'operacions de seguretat de diversos països i finançades pel programa Europa Digital. La segona proposta té per objectiu una modificació específica de l'àmbit d'aplicació del Reglament sobre la Ciberseguretat, que permet a la Comissió adoptar actes d'execució en matèria d'esquemes europeus de certificació de la ciberseguretat en relació amb els serveis de seguretat gestionats, a més dels productes, serveis i processos de les tecnologies de la informació i de les comunicacions (TIC), que ja estan coberts per l'actual Reglament sobre la Ciberseguretat. El 6 de març de 2024, els colegisladores van aconseguir un acord provisional sobre ambdues propostes, que alterava els conceptes de «ciberescudo europeu» i «centres d'operacions de seguretat» en comparació de la proposta inicial de la Comissió.
- Reglament pel qual s'estableixen mesures destinades a reforçar la solidaritat i les capacitats en la Unió a fi de detectar ciberamenazas i incidents, preparar-se i respondre a ells (Reglament de Cibersolidaridad) de 2 de desembre de 2024
- Modificació del Reglament sobre la Ciberseguretat pel que fa als serveis de seguretat gestionats de 2 de desembre de 2024
- Conclusions del Consell sobre l'elaboració de la posició de la UE en matèria cibernètica Comunicat de Premsa
- Reglamento sobre la Ciberseguretat de 7 de juny de 2019