Las dos normas aprobadas (el nuevo Reglamento de Cibersolidaridad y la modificación específica del Reglamento sobre la Ciberseguridad). tienen el doble objetivo de reforzar la solidaridad de la UE -en el sentido de ampliar las capacidades para detectar amenazas e incidentes de ciberseguridad-, además de prepararse para afrontarlos y dar una respuesta ágil y eficiente.
Principales elementos del Reglamento de Cibersolidaridad
El nuevo Reglamento de Cibersolidaridad establece las capacidades de la UE para que Europa sea más resiliente en caso de recibir ciberamenazas, además de reforzar los mecanismos de cooperación. Entre otras cosas, establece un sistema de alerta de seguridad, una infraestructura paneuropea integrada por centros cibernéticos nacionales y transfronterizos de toda la UE. Se trata de entidades encargadas de compartir información, detectar ciberamenazas y actuar contra ellas. Utilizarán tecnología de vanguardia, como la inteligencia artificial (IA) y el análisis avanzado de datos, para detectar ciberamenazas e incidentes transfronterizos y alertar sobre ellos puntualmente. Reforzarán el marco europeo existente y, a su vez, las autoridades y las entidades pertinentes podrán responder de manera más eficiente y eficaz a incidentes de ciberseguridad.
El nuevo Reglamento también prevé la creación de un mecanismo de emergencia de ciberseguridad para aumentar la preparación y mejorar las capacidades de respuesta a incidentes en la UE. Dicho mecanismo apoyará lo siguiente:
- Medidas de preparación, como la realización de pruebas a entidades de sectores críticos (asistencia sanitaria, transporte, energía, etc.) con el fin de detectar posibles vulnerabilidades, a partir de supuestos de riesgo y metodologías comunes;
- Una nueva reserva de ciberseguridad de la UE, consistente en servicios de respuesta a incidentes prestados por proveedores del sector privado y preparados para intervenir -a petición de un Estado miembro o de las instituciones, órganos y organismos de la UE, así como de terceros países asociados- en caso de incidente de ciberseguridad importante o a gran escala;
- Asistencia mutua técnica.
Por último, el nuevo Reglamento establece un mecanismo de revisión de incidentes para valorar, entre otras cosas, la eficacia de las medidas tomadas en el marco del mecanismo de ciberemergencia y el uso de la reserva de ciberseguridad, así como la contribución de dicho Reglamento al refuerzo de la posición competitiva de los sectores industrial y de servicios.
Modificación específica del Reglamento sobre la Ciberseguridad de 2019
Esta enmienda tiene por objetivo mejorar la ciberresiliencia de la UE al permitir la futura adopción de esquemas europeos de certificación para los llamados «servicios de seguridad gestionados». La nueva norma reconoce la importancia cada vez mayor de los servicios de seguridad gestionados para prevenir y detectar incidentes de seguridad, para darles respuesta y para recuperarse una vez se produzcan. Estos servicios pueden consistir, por ejemplo, en la gestión de incidentes, en pruebas de penetración, en auditorías de seguridad y en consultoría relacionada con el apoyo técnico.
A la espera de los resultados de la revisión del Reglamento sobre la Ciberseguridad, esta modificación específica permitirá establecer esquemas europeos de certificación para dichos servicios de seguridad gestionados. Contribuirá a aumentar su calidad y comparabilidad, fomentará la aparición de proveedores de servicios de ciberseguridad de confianza y evitará la fragmentación del mercado interior, dado que algunos Estados miembros ya han iniciado la adopción de esquemas nacionales de certificación para los servicios de seguridad gestionados.
Siguientes etapas
Tras la firma de los presidentes del Consejo y del Parlamento Europeo, ambos actos legislativos se publicarán en el Diario Oficial de la Unión Europea en las próximas semanas y entrarán en vigor a los veinte días de su publicación.
Contexto
El 18 de abril de 2023, la Comisión adoptó la propuesta de Reglamento por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder una vez se produzcan -el denominado Reglamento de Cibersolidaridad-, junto con una propuesta de modificación específica del Reglamento sobre la Ciberseguridad. El Reglamento sobre la Ciberseguridad, adoptado en 2019, estableció el primer marco de certificación de la ciberseguridad para todos los Estados miembros.
La primera propuesta de la Comisión introduce un ciberescudo europeo, integrado por centros de operaciones de seguridad, agrupados en varias plataformas de centros de operaciones de seguridad de varios países y financiadas por el programa Europa Digital. La segunda propuesta tiene por objetivo una modificación específica del ámbito de aplicación del Reglamento sobre la Ciberseguridad, que permite a la Comisión adoptar actos de ejecución en materia de esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados, además de los productos, servicios y procesos de las tecnologías de la información y de las comunicaciones (TIC), que ya están cubiertos por el actual Reglamento sobre la Ciberseguridad. El 6 de marzo de 2024, los colegisladores alcanzaron un acuerdo provisional sobre ambas propuestas, que alteraba los conceptos de «ciberescudo europeo» y «centros de operaciones de seguridad» en comparación con la propuesta inicial de la Comisión.
- Reglamento por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos (Reglamento de Cibersolidaridad) de 2 de diciembre de 2024
- Modificación del Reglamento sobre la Ciberseguridad en lo que se refiere a los servicios de seguridad gestionados de 2 de diciembre de 2024
- Conclusiones del Consejo sobre la elaboración de la posición de la UE en materia cibernética Comunicado de Prensa
- Reglamento sobre la Ciberseguridad de 7 de junio de 2019
