Les dos normes aprovades (el nou Reglament de Cibersolidaridad i la modificació específica de el Reglament sobre la Ciberseguretat). tenen el doble objectiu de reforçar la solidaritat de la UE -en el sentit d'ampliar les capacitats per a detectar amenaces i incidents de ciberseguretat-, a més de preparar-se per a afrontar-los i donar una resposta àgil i eficient.
Principals elements del Reglament de Cibersolidaridad
El nou Reglament de Cibersolidaridad establix les capacitats de la UE perquè Europa siga més resiliente en cas de rebre ciberamenazas, a més de reforçar els mecanismes de cooperació. Entre altres coses, establix un sistema d'alerta de seguretat, una infraestructura paneuropea integrada per centres cibernètics nacionals i transfronterers de tota la UE. Es tracta d'entitats encarregades de compartir informació, detectar ciberamenazas i actuar contra elles. Utilitzaran tecnologia d'avantguarda, com la intel·ligència artificial (IA) i l'anàlisi avançada de dades, per a detectar ciberamenazas i incidents transfronterers i alertar sobre ells puntualment. Reforçaran el marc europeu existent i, al seu torn, les autoritats i les entitats pertinents podran respondre de manera més eficient i eficaç a incidents de ciberseguretat.
El nou Reglament també preveu la creació d'un mecanisme d'emergència de ciberseguretat per a augmentar la preparació i millorar les capacitats de resposta a incidents en la UE. Aquest mecanisme recolzarà el següent:
- Mesures de preparació, com la realització de proves a entitats de sectors crítics (assistència sanitària, transport, energia, etc.) amb la finalitat de detectar possibles vulnerabilitats, a partir de supòsits de risc i metodologies comunes;
- Una nova reserva de ciberseguretat de la UE, consistent en servicis de resposta a incidents prestats per proveïdors del sector privat i preparats per a intervendre -a petició d'un Estat membre o de les institucions, òrgans i organismes de la UE, així com de tercers països associats- en cas d'incident de ciberseguretat important o a gran escala;
- Assistència mútua tècnica.
Finalment, el nou Reglament establix un mecanisme de revisió d'incidents per a valorar, entre altres coses, l'eficàcia de les mesures preses en el marc del mecanisme de ciberemergencia i l'ús de la reserva de ciberseguretat, així com la contribució d'aquest Reglament al reforç de la posició competitiva dels sectors industrial i de servicis.
Modificació específica del Reglament sobre la Ciberseguretat de 2019
Esta esmena té per objectiu millorar la ciberresiliencia de la UE en permetre la futura adopció de esquemes europeus de certificació per als anomenats «servicis de seguretat gestionats». La nova norma reconeix la importància cada vegada major dels servicis de seguretat gestionats per a previndre i detectar incidents de seguretat, per a donar-los resposta i per a recuperar-se una vegada es produïsquen. Estos servicis poden consistir, per exemple, en la gestió d'incidents, en proves de penetració, en auditories de seguretat i en consultoria relacionada amb el suport tècnic.
A l'espera dels resultats de la revisió del Reglament sobre la Ciberseguretat, esta modificació específica permetrà establir esquemes europeus de certificació per a aquests servicis de seguretat gestionats. Contribuirà a augmentar la seua qualitat i comparabilidad, fomentarà l'aparició de proveïdors de servicis de ciberseguretat de confiança i evitarà la fragmentació del mercat interior, atés que alguns Estats membres ja han iniciat l'adopció d'esquemes nacionals de certificació per als servicis de seguretat gestionats.
Següents etapes
Després de la firma dels presidents del Consell i del Parlament Europeu, tots dos actes legislatius es publicaran en el Diari Oficial de la Unió Europea en les pròximes setmanes i entraran en vigor als vint dies de la seua publicació.
Context
El 18 d'abril de 2023, la Comissió va adoptar la proposta de Reglament pel qual s'establixen mesures destinades a reforçar la solidaritat i les capacitats en la Unió a fi de detectar amenaces i incidents de ciberseguretat, preparar-se per a ells i respondre una vegada es produïsquen -el denominat Reglament de Cibersolidaridad-, juntament amb una proposta de modificació específica del Reglament sobre la Ciberseguretat. El Reglament sobre la Ciberseguretat, adoptat en 2019, va establir el primer marc de certificació de la ciberseguretat per a tots els Estats membres.
La primera proposta de la Comissió introduïx un ciberescudo europeu, integrat per centres d'operacions de seguretat, agrupats en diverses plataformes de centres d'operacions de seguretat de diversos països i finançades pel programa Europa Digital. La segona proposta té per objectiu una modificació específica de l'àmbit d'aplicació del Reglament sobre la Ciberseguretat, que permet a la Comissió adoptar actes d'execució en matèria d'esquemes europeus de certificació de la ciberseguretat en relació amb els servicis de seguretat gestionats, a més dels productes, servicis i processos de les tecnologies de la informació i de les comunicacions (TIC), que ja estan coberts per l'actual Reglament sobre la Ciberseguretat. El 6 de març de 2024, els colegisladores van aconseguir un acord provisional sobre les dos propostes, que alterava els conceptes de «ciberescudo europeu» i «centres d'operacions de seguretat» en comparació de la proposta inicial de la Comissió.
- Reglament pel qual s'establixen mesures destinades a reforçar la solidaritat i les capacitats en la Unió a fi de detectar ciberamenazas i incidents, preparar-se i respondre a ells (Reglament de Cibersolidaridad) de 2 de desembre de 2024
- Modificació del Reglament sobre la Ciberseguretat pel que fa als servicis de seguretat gestionats de 2 de desembre de 2024
- Conclusions del Consell sobre l'elaboració de la posició de la UE en matèria cibernètica Comunicat de Premsa
- Reglamente sobre la Ciberseguretat de 7 de juny de 2019
