El nuevo Reglamento sobre ciberseguridad establece medidas para el establecimiento de un marco interno de gestión, gobernanza y control de riesgos de ciberseguridad para cada entidad de la Unión, y establece un nuevo Consejo Interinstitucional de Ciberseguridad (CIIC) para supervisar y apoyar su aplicación por parte de las entidades de la Unión. Proporciona un mandato ampliado del Equipo de Respuesta a Emergencias Informáticas para las instituciones, órganos y organismos de la UE (CERT-UE), como centro de información sobre amenazas, intercambio de información y coordinación de la respuesta a incidentes, un órgano consultivo central y un proveedor de servicios. En consonancia con su mandato, el CERT-UE pasa a denominarse Servicio de Ciberseguridad para las instituciones, órganos y organismos de la Unión, pero conserva la denominación abreviada «CERT-UE».
Etapas siguientes
Siguiendo el calendario definido en el Reglamento, las entidades de la Unión establecerán procesos internos de gobernanza de la ciberseguridad y adoptarán progresivamente medidas específicas para la gestión de riesgos de ciberseguridad previstas en el Reglamento. El CIIC se creará y será operativo lo antes posible, con el objetivo de garantizar la dirección estratégica del CERT-UE en el marco de su mandato ampliado, proporcionar orientación y apoyo a las entidades de la Unión y supervisar la aplicación del Reglamento.
Antecedentes
En su Resolución de marzo de 2021, el Consejo de la Unión Europea destacó la importancia de un marco de seguridad sólido y coherente capaz de proteger integralmente al personal, los datos, las redes de comunicación, los sistemas de información y los procesos de toma de decisiones de la UE. En este contexto, la Comisión anunció la propuesta de Reglamento sobre ciberseguridad en marzo de 2022, y en junio de 2023 el Parlamento Europeo y el Consejo alcanzaron un acuerdo político .
El presente Reglamento se ajusta a los objetivos políticos de la Comisión establecidos por la Estrategia de la UE para una Unión de la Seguridad y la Estrategia de Ciberseguridad de la UE , y garantiza la coherencia con otras iniciativas legislativas en el ámbito de:
- La Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (SRI 2), con la que esta legislación se ajusta en términos de principios y nivel de ambición, respetando al mismo tiempo las especificidades de las entidades de la Unión;
- El Reglamento de Ciberseguridad ;
- La Recomendación de la Comisión sobre la respuesta coordinada de la UE a los incidentes y crisis de ciberseguridad a gran escala
El Reglamento sobre ciberseguridad se presentó conjuntamente con una propuesta de Reglamento sobre seguridad de la información, que establece reglas y normas mínimas de seguridad de la información para todas las instituciones, órganos y organismos de la UE. La presente propuesta tiene por objeto un intercambio seguro de información entre las instituciones, órganos y organismos de la UE y con los Estados miembros, basado en prácticas y medidas normalizadas para proteger los flujos de información. Las negociaciones entre los colegisladores sobre esta propuesta aún no han comenzado.