Europa se enfrenta diariamente a ataques cibernéticos e híbridos contra servicios esenciales e instituciones democráticas, llevados a cabo por sofisticados grupos estatales y delictivos. La Comisión Europea ha propuesto hoy un nuevo paquete de ciberseguridad para seguir reforzando la resiliencia y las capacidades de ciberseguridad de la UE frente a estas crecientes amenazas.
El paquete incluye una propuesta de Ley de Ciberseguridad revisada, que mejora la seguridad de las cadenas de suministro de las tecnologías de la información y la comunicación (TIC) de la UE. Garantiza que los productos que llegan a los ciudadanos de la UE sean ciberseguros desde el diseño mediante un proceso de certificación más sencillo. También facilita el cumplimiento de las normas vigentes de ciberseguridad de la UE y refuerza a la Agencia de la UE para la Ciberseguridad
(ENISA) a la hora de apoyar a los Estados miembros y a la UE en la gestión de las amenazas a la ciberseguridad.
Dicho paquete incluye una propuesta de Ley de Ciberseguridad revisada , que mejora la seguridad de las cadenas de suministro de las tecnologías de la información y la comunicación (TIC) de la UE. Garantiza que los productos que llegan a los ciudadanos de la UE sean ciberseguros desde su diseño mediante un proceso de certificación más sencillo. También facilita el cumplimiento de la normativa vigente de ciberseguridad de la UE y refuerza el apoyo de la Agencia Europea de Ciberseguridad (ENISA) a los Estados miembros y a la UE en la gestión de las amenazas a la ciberseguridad.
Reforzar la seguridad de las cadenas de suministro de TIC en la UE
El nuevo Reglamento de Ciberseguridad tiene por objeto reducir los riesgos en la cadena de suministro de TIC de la UE de proveedores de terceros países con problemas de ciberseguridad. Establece un marco fiable de seguridad de la cadena de suministro de TIC basado en un enfoque armonizado, proporcionado y basado en el riesgo. Esto permitirá a la UE y a los Estados miembros identificar y mitigar conjuntamente los riesgos en los dieciocho sectores críticos de la UE, teniendo en cuenta también las repercusiones económicas y la oferta del mercado.
Los recientes incidentes de ciberseguridad han puesto de relieve los principales riesgos que plantean las vulnerabilidades en las cadenas de suministro de TIC, que son esenciales para el funcionamiento de los servicios e infraestructuras críticos. En el panorama geopolítico actual, la seguridad de la cadena de suministro ya no se trata solo de la seguridad técnica de los productos o servicios, sino también de los riesgos relacionados con un proveedor, en particular las dependencias y la interferencia extranjera.
El Reglamento de Ciberseguridad permitirá la reducción obligatoria del riesgo de las redes europeas de telecomunicaciones móviles de proveedores de terceros países de alto riesgo, sobre la base del trabajo ya realizado en el marco del conjunto de herramientas de seguridad 5G.
Simplificar y mejorar el Marco Europeo de Certificación de la Ciberseguridad
La Ley de Ciberseguridad revisada garantizará que los productos y servicios que llegan a los consumidores de la UE se sometan a pruebas de seguridad de manera más eficiente. Esto se hará a través de un Marco Europeo de Certificación de la Ciberseguridad (ECCF) renovado. El ECCF aportará más claridad y simplificará los procedimientos, permitiendo que los regímenes de certificación se desarrollen en un plazo de doce meses por defecto. También introducirá una gobernanza más ágil y transparente para implicar mejor a las partes interesadas a través de la información y la consulta públicas.
Los sistemas de certificación, gestionados por ENISA, se convertirán en una herramienta práctica y voluntaria para las empresas. Permitirán a las empresas demostrar el cumplimiento de la legislación de la UE, reduciendo la carga y los costes. Más allá de los productos, servicios, procesos y servicios de seguridad gestionados de TIC, las empresas y organizaciones podrán certificar su posición cibernética para satisfacer las necesidades del mercado. En última instancia, el ECCF renovado será un activo competitivo para las empresas de la UE. Para los ciudadanos, las empresas y las autoridades públicas de la UE, garantizará un alto nivel de seguridad y confianza en las complejas cadenas de suministro de TIC.
Facilitar el cumplimiento de las normas de ciberseguridad
El paquete introduce medidas para simplificar el cumplimiento de las normas de ciberseguridad de la UE y los requisitos de gestión de riesgos para las empresas que operan en la UE, complementando el punto de entrada único para la notificación de incidentes propuesto en el Ómnibus Digital. Las modificaciones específicas de la Directiva SRI 2 tienen por objeto aumentar la claridad jurídica. Facilitarán el cumplimiento para 28.700 empresas, incluidas 6.200 microempresas y pequeñas empresas. También introducirán una nueva categoría de pequeñas empresas de mediana capitalización para reducir los costos de cumplimiento para 22.500 empresas. Las enmiendas simplificarán las normas jurisdiccionales, racionalizarán la recopilación de datos sobre ataques de ransomware y facilitarán la supervisión de las entidades transfronterizas con la función de coordinación reforzada de ENISA.
Capacitar a ENISA para impulsar la resiliencia de Europa en materia de ciberseguridad
Desde la adopción del primer Reglamento de Ciberseguridad en 2019, ENISA ha crecido como piedra angular del ecosistema de ciberseguridad de la UE. La Ley de Ciberseguridad revisada presentada hoy permite a ENISA ayudar a la UE y a sus Estados miembros a comprender las amenazas comunes. También les permite prepararse y responder a incidentes cibernéticos.
La Agencia seguirá apoyando a las empresas y partes interesadas que operan en la UE mediante la emisión de alertas tempranas de ciberamenazas e incidentes. En cooperación con Europol y los equipos de respuesta a incidentes de seguridad informática, ayudará a las empresas a responder a los ataques de ransomware y a recuperarse de ellos. ENISA también desarrollará un enfoque de la Unión para proporcionar mejores servicios de gestión de vulnerabilidades a las partes interesadas. Operará el punto de entrada única para la notificación de incidentes propuesto en el Ómnibus Digital.
ENISA seguirá desempeñando un papel clave en la creación de una mano de obra cualificada en materia de ciberseguridad en Europa. Para ello, pondrá a prueba la Academia de Capacidades de Ciberseguridad y establecerá esquemas de certificación de capacidades de ciberseguridad a escala de la UE.
Próximos pasos
El Reglamento de Ciberseguridad será aplicable inmediatamente después de su aprobación por el Parlamento Europeo y el Consejo de la UE. Las modificaciones que acompañan a la Directiva SRI 2 también se presentarán para su aprobación. Una vez adoptada, los Estados miembros dispondrán de un año para incorporar la Directiva al Derecho nacional y comunicar los textos pertinentes a la Comisión.
La Propuesta de Directiva
El paquete introduce medidas para simplificar el cumplimiento de las normas de ciberseguridad de la UE y los requisitos de gestión de riesgos para las empresas que operan en la UE, complementando la ventanilla única para la notificación de incidentes propuesta en la Directiva Ómnibus Digital .
Las modificaciones específicas de la Directiva NIS2 buscan aumentar la claridad jurídica simplificando las normas jurisdiccionales, agilizando la recopilación de datos sobre ataques de ransomware y facilitando la supervisión de las entidades transfronterizas gracias al papel de coordinación reforzado de ENISA.
- Propuesta de Directiva sobre medidas de simplificación y armonización con la Ley de Ciberseguridad
- Anexo de la Directiva: Propuesta de medidas de simplificación y armonización con la Ley de Ciberseguridad
- Enlace a la ficha informativa del nuevo paquete de ciberseguridad
Fuente original de la noticia (Comisión Europea)
Fuente original de la noticia (Digital Strategy)
