El primer Informe de 2024 sobre el estado de la ciberseguridad en la Unión
ofrece una visión general basada en evidencias del estado de madurez de la ciberseguridad, así como una evaluación de las capacidades en materia de ciberseguridad en toda Europa. El informe también incluye recomendaciones de Políticas de ciberseguridad para abordar las deficiencias identificadas y aumentar el nivel de ciberseguridad en la UE.
El análisis realizado se basa en diversas fuentes, entre las que se incluyen, entre otras, el Índice de Ciberseguridad de la UE, la serie de informes de inversión de NIS, el informe Foresight 2030 y el informe Panorama de amenazas de ENISA. Este informe es el resultado de una amplia consulta con los 27 Estados miembros de la UE y la Comisión Europea.
Los principales hallazgos
La evaluación de riesgos realizada a nivel de la Unión reveló un nivel sustancial de amenaza cibernética para la UE y destacó las vulnerabilidades descubiertas que son explotadas por actores de amenazas que atacan a entidades de la UE.
En lo que respecta a las capacidades de ciberseguridad a nivel de la UE, los Estados miembros de la UE han desarrollado estrategias de ciberseguridad que presentan una alineación general de objetivos. Los sectores críticos parecen más heterogéneos en términos de tamaño y criticidad, lo que complica la supervisión y la aplicación uniforme de las medidas de ciberseguridad.
A nivel de los ciudadanos, se sugiere que es probable que la concienciación sobre que el Estado de la ciberseguridad en la UE haya aumentado entre los ciudadanos de la UE. El nivel de competencias digitales de las generaciones más jóvenes parece ser más alto, a pesar de las variaciones en la disponibilidad de programas educativos y la madurez educativa entre los Estados miembros.
Recomendaciones de políticas
El informe identifica cuatro áreas prioritarias que las recomendaciones de políticas abordarían:
- implementación de políticas
- gestión de crisis cibernéticas
- cadena de suministro
- habilidades
El resultado clave del informe son seis recomendaciones de políticas que abarcan las cuatro áreas prioritarias mencionadas anteriormente y, además, las capacidades de los operadores del sector crítico y la concientización sobre la ciberseguridad y la ciberhigiene.
- Fortalecer el apoyo técnico y financiero brindado a las instituciones, organismos y agencias de la Unión Europea (EUIBAs) y a las autoridades nacionales competentes y a las entidades que caen dentro del ámbito de aplicación de la Directiva NIS2 para garantizar una implementación armonizada, integral, oportuna y coherente del marco de política de ciberseguridad de la UE en evolución utilizando estructuras ya existentes a nivel de la UE, como el Grupo de Cooperación NIS, la Red de CSIRT y las Agencias de la UE.
- Tal como pidió el Consejo, revisar el Plan de la UE para una respuesta coordinada a los ciberincidentes a gran escala, teniendo en cuenta al mismo tiempo todos los cambios más recientes en la política de ciberseguridad de la UE. El Plan revisado de la UE debe seguir promoviendo la armonización y la optimización de la ciberseguridad de la UE, así como reforzar las capacidades nacionales y de la UE en materia de ciberseguridad para lograr una mayor resiliencia en materia de ciberseguridad a nivel nacional y europeo.
- Fortalecer la fuerza laboral cibernética de la UE mediante la implementación de la Academia de Habilidades en Ciberseguridad y, en particular, estableciendo un enfoque común de la UE para la capacitación en ciberseguridad , identificando las necesidades futuras de habilidades, desarrollando un enfoque coordinado de la UE para la participación de las partes interesadas para abordar la brecha de habilidades y estableciendo un esquema de certificación europeo para habilidades en ciberseguridad.
- Abordar la seguridad de la cadena de suministro en la UE intensificando las evaluaciones de riesgos coordinadas a nivel de la UE y desarrollando un marco de políticas horizontales de la UE para la seguridad de la cadena de suministro destinado a abordar los desafíos de ciberseguridad a los que se enfrentan tanto el sector público como el privado.
- Mejorar la comprensión de las especificidades y necesidades sectoriales, mejorar el nivel de madurez en materia de ciberseguridad de los sectores cubiertos por la Directiva NIS2 y utilizar el futuro Mecanismo de Emergencia en materia de Ciberseguridad que se establecerá en virtud de la Ley de Solidaridad Cibernética para la preparación y resiliencia sectoriales, centrándose en los sectores débiles o sensibles y los riesgos identificados a través de evaluaciones de riesgos a escala de la UE.
- Promover un enfoque unificado aprovechando las iniciativas políticas existentes y armonizando los esfuerzos nacionales para lograr un alto nivel común de concienciación sobre ciberseguridad e higiene cibernética entre profesionales y ciudadanos, independientemente de las características demográficas.
Mirando hacia el futuro
Se prevé que varios temas clave requerirán una mayor atención de las políticas a medida que avanzamos. Los últimos avances en materia de políticas de ciberseguridad en la UE han establecido una base sólida que permite desarrollar capacidades; no obstante, las autoridades, tanto a nivel de la UE como a nivel nacional, se enfrentan a desafíos para adaptarse a sus nuevas funciones mientras navegan por el cambiante panorama de amenazas. En particular, la inteligencia artificial (IA) y la criptografía poscuántica atraerán una mayor atención en los próximos años, mientras que la UE tiene que aumentar la competitividad en el campo a través de la investigación, el desarrollo y la innovación. Para prepararse para los desafíos del mañana, es fundamental tener un conocimiento común de la situación y una cooperación operativa bien probada.
