Las preguntas que cabe hacerse sobre la actual y futura ciberseguridad europea
¿Qué se ha hecho desde que se lanzó el segundo Marco de Políticas de Defensa Cibernética en 2018?
La Comunicación Conjunta se basa en el Marco de Políticas de Ciberdefensa (CDPF) establecido en 2014 y actualizado en 2018, así como en la Estrategia de Ciberseguridad 2020. Han permitido preparar el terreno para muchas acciones propuestas en esta política.
En el marco del Marco de Política de Ciberdefensa, se han logrado avances en las seis áreas prioritarias: apoyar el desarrollo de las capacidades de ciberdefensa de los Estados miembros, mejorar la protección de los sistemas de comunicación e información de la Política Común de Seguridad y Defensa (PCSD) utilizados por las entidades de la UE, la promoción de la cooperación civil-militar, el desarrollo de la investigación y la tecnología, la mejora de la educación, la formación y las oportunidades de ejercicio y la mejora de la cooperación con los socios internacionales pertinentes.
¿Qué hará la UE para intensificar la cooperación dentro de la comunidad de defensa?
El objetivo principal de esta Política es fortalecer la comunidad de ciberdefensa.
Para ello, la Comunicación Conjunta propone establecer las estructuras necesarias para el intercambio de información y la cooperación entre diferentes actores militares. Esto incluye una propuesta para crear un Centro de Coordinación de Ciberdefensa de la UE (EUCDCC) para apoyar una mayor conciencia situacional dentro de la comunidad de defensa. Esto se basará en el proyecto PESCO actualmente en curso sobre el Centro de Coordinación del Dominio de Información y Cibernética (CIDCC). El Centro debe convertirse en el nodo central para recopilar, analizar, evaluar y finalmente distribuir información relacionada con la ciberdefensa para las misiones y operaciones de la PCSD, así como para las partes interesadas en el marco de la PCSD, incluidos los Estados miembros y las instituciones, organismos y agencias de la UE que lo soliciten.
Además, la Agencia Europea de Defensa establecerá y apoyará una red operativa para Equipos Militares de Respuesta a Emergencias Informáticas – MICNET . Fomentará una respuesta más sólida y coordinada a las ciberamenazas que afectan a los sistemas de defensa de la UE, incluidos los utilizados en las misiones y operaciones militares de la PCSD.
Para consolidar la red de cibercomandantes de la UE y mejorar la confianza, así como para permitir intercambios de información a nivel estratégico sobre incidentes cibernéticos importantes, la nueva política propone desarrollar y fortalecer la Conferencia de cibercomandantes de la UE .
Finalmente, la Agencia Europea de Defensa desarrollará un nuevo proyecto marco CyDef-X para apoyar los ejercicios de ciberdefensa de la UE. Este proyecto también podría servir para incluir ejercicios para probar la asistencia mutua en virtud del artículo 42, apartado 7, del TUE.
¿Qué hará la UE para mejorar la cooperación entre las autoridades de defensa y las redes civiles?
Como todo está interconectado, las líneas entre las dimensiones civil y militar del ciberespacio se desdibujan. Esto se ve especialmente en relación con los ciberataques a infraestructuras críticas, que afectan a ambas comunidades. Por lo tanto, la cooperación entre las comunidades cibernéticas civiles, diplomáticas y policiales y sus homólogos de defensa aportará un gran valor añadido a todos los actores interesados. Por lo tanto, es crucial permitir dicha colaboración al proporcionar medios adecuados y seguros para el intercambio de información y participar en ejercicios y otras actividades que generen confianza y comprensión mutua.
Una vez que una red operativa para equipos militares de respuesta a emergencias informáticas, milCERT (MICNET) alcance un nivel de madurez suficiente, la UE explorará opciones de colaboración con la red de equipos de respuesta a incidentes de seguridad informática (CSIRT) , que reúne a los CSIRT nacionales y la red de equipos de emergencia informática. Equipo de Respuesta de EUIBAs (CERT-EU).
Para permitir una gestión más eficiente de las crisis cibernéticas, la Conferencia de Comandantes Cibernéticos de la UE colaboraría con la Red de Organizaciones de Enlace de Crisis Cibernéticas de la UE (CYCLONe) , que reúne a los Estados miembros y la Comisión para apoyar la coordinación y gestión de incidentes de ciberseguridad a gran escala en la UE. . Este compromiso combinará la experiencia militar y la conciencia situacional civil a nivel estratégico y operativo.
Mientras que el Centro de Coordinación de Ciberdefensa de la UE (EUCDCC) debe actuar como el nodo central para recopilar, analizar, evaluar y, finalmente, distribuir información relacionada con la ciberdefensa, en particular para las misiones y operaciones militares de la PCSD, también podría vincularse con el Ciberdefensa interinstitucional. Crisis Task Force , que se creó para garantizar una toma de decisiones informada y una respuesta coordinada de la EUIBA a las grandes cibercrisis a nivel estratégico y operativo. El EUCDCC también puede intercambiar información relevante con un centro de análisis y situación cibernética que se está creando en la Comisión con el apoyo de la Agencia de Ciberseguridad de la Unión Europea (ENISA) y CERT-EU para proporcionar análisis y un apoyo de gestión de crisis más eficaz.
Para abordar la falta de herramientas y plataformas de comunicación segura interoperables o compartidas comúnmente entre los Estados miembros y las EUIBA relevantes, la Comisión y las instituciones relevantes están llevando a cabo actualmente un mapeo de las herramientas existentes para la comunicación segura en el campo cibernético. Sobre la base de este mapeo, la Comisión presentará sus recomendaciones al Consejo a finales de 2022 para acordar nuevas acciones.
¿De qué se trata la Iniciativa de Solidaridad Cibernética de la UE?
La Comisión preparará una iniciativa de solidaridad cibernética de la UE para fortalecer la detección común de la UE de ciberamenazas e incidentes y la conciencia situacional, así como las capacidades de preparación y respuesta .
En cuanto a la detección y conciencia situacional , en las próximas semanas se pondrá en marcha una iniciativa para promover el despliegue de una infraestructura de la UE de Centros de Operaciones de Seguridad (SOC) basada en una primera fase, que luego se ampliaría y desplegaría a mayor escala. En última instancia, estaría compuesto por varias plataformas SOC de varios países, cada una de las cuales agruparía a los SOC nacionales, con el apoyo del Programa Europa Digital (DEP). para complementar la financiación nacional. Los cambios legislativos al DEP permitirían un apoyo financiero a más largo plazo para la adquisición conjunta de herramientas e infraestructura ultraseguras de próxima generación. Esto permitiría que la infraestructura prevista de SOC de la UE mejore las capacidades de detección colectiva mediante el uso de la última inteligencia artificial (IA) y análisis de datos. Esta generación de inteligencia procesable sobre amenazas cibernéticas permitiría alertas oportunas a las autoridades y entidades relevantes para que puedan detectar y responder de manera efectiva a incidentes importantes. La escala y el alcance de la infraestructura dependerán de la financiación global que pueda desplegarse a nivel nacional y por parte de la Unión, sujeta al presupuesto disponible en el marco financiero plurianual.
La Iniciativa de Solidaridad Cibernética de la UE también tendrá como objetivo fortalecer las acciones de preparación y respuesta en toda la UE. Esto incluiría la prueba de vulnerabilidades potenciales de entidades esenciales que operan infraestructuras críticas basadas en evaluaciones de riesgo de la UE (basadas en acciones ya iniciadas junto con ENISA) , así como acciones de respuesta a incidentes para mitigar el impacto de incidentes graves, para apoyar la recuperación inmediata y/o restablecer el funcionamiento de los servicios esenciales.
La iniciativa de solidaridad cibernética de la UE podría apoyar la creación gradual de una reserva cibernética a nivel de la UE con servicios de proveedores privados de confianza.que estaría preparado para intervenir a petición de los Estados miembros en casos de incidentes transfronterizos significativos. Las funciones y responsabilidades deben estar claramente identificadas y completamente coordinadas con los organismos existentes para garantizar que el apoyo de la reserva cibernética a nivel de la UE se brinde donde sea necesario y complemente otras posibles formas de asistencia. Si bien el alcance de la acción y la asignación de costos de intervenciones específicas dependerían de la financiación de la UE disponible, la UE también agregaría valor al garantizar la disponibilidad y preparación de dicha reserva a nivel de la UE. Para garantizar un alto nivel de confianza, la Comisión también considerará las opciones de apoyar el desarrollo de esquemas de certificación de ciberseguridad para tales empresas privadas de ciberseguridad.
¿Cómo se conecta la nueva política de ciberdefensa de la UE con el trabajo reciente sobre la protección de infraestructuras críticas?
El aumento en el número y la sofisticación de los ciberataques dirigidos a infraestructuras militares y civiles críticas en la UE fue una de las principales razones por las que la Política de la UE sobre Ciberdefensa requería una actualización urgente. La interdependencia entre la infraestructura física y digital, y la posibilidad de que incidentes significativos de ciberseguridad interrumpan o dañen la infraestructura crítica ilustran que la UE necesita una estrecha cooperación militar y civil en el ciberespacio para convertirse en un proveedor de seguridad más fuerte para sus ciudadanos. Este es también el núcleo de la propuesta de Recomendación del Consejo sobre un enfoque coordinado de la Unión para reforzar la resiliencia de las infraestructuras críticas presentada el mes pasado.
Dado que las fuerzas armadas dependen en gran medida de la infraestructura crítica civil, ya sea para la movilidad, las comunicaciones o la energía, la nueva política de la UE sobre ciberdefensa tiene como objetivo permitir que la comunidad de ciberdefensa se beneficie de capacidades más sólidas de detección y conciencia situacional de civiles y militares.
A petición del Consejo, la Comisión, la Alta Representante y el Grupo de Cooperación NIS están desarrollando escenarios de riesgo para la seguridad de la infraestructura digital.
Además, la Comisión también propondrá nuevas acciones para fortalecer las acciones de preparación y respuesta en toda la UE. Esto incluiría la prueba de vulnerabilidades potenciales de entidades esenciales que operan infraestructura crítica en función de las evaluaciones de riesgo de la UE, la creación gradual de una reserva cibernética de la UE y el desarrollo de una infraestructura del Centro de Operaciones de Seguridad de la UE, proporcionando un verdadero escudo cibernético para la Unión Europea.
¿Cómo se relaciona la política de ciberdefensa de la UE con el desarrollo de capacidades de ciberdefensa?
Apoyar el desarrollo de las capacidades de ciberdefensa es un elemento clave de la política de ciberdefensa de la UE. Con este fin, haremos pleno uso del conjunto establecido de instrumentos e iniciativas a nivel de la UE. Por ejemplo, permitir operaciones con capacidad de respuesta cibernética es una de las prioridades de desarrollo de capacidades de la UE de 2018. Todos los esfuerzos de desarrollo de capacidades colaborativas de defensa cibernética realizados en el marco de la Agencia Europea de Defensa (EDA), dentro de la Cooperación Estructurada Permanente (PESCO) y bajo el Fondo Europeo de Defensa (EDF) contribuyen a la implementación de esta prioridad. De manera similar, el grupo de tecnología de capacidad de ciberdefensa de EDA ha desarrollado una agenda de investigación de ciberdefensa. Sobre esta base, se llevan adelante proyectos específicos de investigación colaborativa en defensa centrados en la cibertecnología.
El desarrollo de la capacidad de defensa cibernética y las actividades de investigación relacionadas con él no pueden verse de forma aislada del desarrollo y la mejora de la seguridad cibernética más amplios. La Política de Ciberdefensa de la UE abarca las medidas e instrumentos existentes y propuestos, como el Fondo Europeo de Defensa (EDF) y el Esquema de Innovación de la Defensa de la UE (EUDIS) en el contexto integral de una Base Industrial y Tecnológica de Defensa Europea abierta e inclusiva (EDTIB). Estos se ven en el entorno sinérgico del dominio cibernético con amplios efectos indirectos y indirectos entre sectores.
La adquisición y operación de capacidad de defensa por parte de las fuerzas armadas en los Estados miembros sigue siendo su responsabilidad, pero la UE puede mejorar y permitir una cooperación más eficiente. Este es particularmente el caso de los elementos de capacidad que son de naturaleza de doble uso. El ECDP prevé una hoja de ruta de tecnología de defensa cibernética que identificará las vulnerabilidades más críticas y las acciones para mitigarlas de manera coordinada y cooperativa. Esto, a su vez, conducirá a elementos para acciones de desarrollo más eficientes e innovadoras y, al final, a una postura de defensa cibernética más fuerte.
¿Qué hará la UE para desarrollar una fuerza laboral de Ciberdefensa?
En el contexto del Año Europeo de las Habilidades 2023, la Comisión lanzará una iniciativa para una Cyber Skills Academy . Actuará como una iniciativa paraguas con el objetivo de incrementar el número de profesionales formados en ciberseguridad. Reunirá las diferentes iniciativas sobre ciberhabilidades y garantizará la coordinación, la integración y una comunicación común en torno a ellas. Organizada en torno a varios pilares de acción, como la financiación, el apoyo de la comunidad, la formación y la certificación, la participación de las partes interesadas y la generación de conocimientos, la Academia de Habilidades Cibernéticas también podrá ayudar a la fuerza laboral de ciberdefensa.
Esto complementará los esfuerzos realizados en el marco del Colegio Europeo de Seguridad y Defensa (ESDC) para seguir desarrollando y organizando, en cooperación con la AED y los Estados miembros, actividades y ejercicios de formación en ciberdefensa para las instituciones de la UE, las operaciones y misiones de la PCSD y los Estados miembros. funcionarios También se explorará el desarrollo adicional de la Plataforma de Educación, Capacitación, Ejercicios y Evaluación Cibernéticos (ETEE) de ESDC para generar más capacidades de capacitación.
¿Cómo contribuirá la Agencia Europea de Defensa a la implementación de la Política de Ciberdefensa?
La Agencia Europea de Defensa (EDA) apoya la identificación de prioridades para el desarrollo de capacidades de defensa y la investigación de defensa a nivel de la UE, así como su implementación a través de proyectos de colaboración específicos. Permitir operaciones cibernéticas es una de las 11 prioridades identificadas en las prioridades actuales de desarrollo de capacidades de defensa de la UE. La EDA está trabajando actualmente junto con los Estados miembros para actualizar las prioridades de capacidad de defensa, lo que desencadenaría proyectos de colaboración adicionales entre los Estados miembros. La EDA también ha desarrollado una agenda de investigación dedicada a la ciberdefensa.
Además, la EDA continuará mejorando la cooperación dentro de la comunidad de defensa apoyando el desarrollo de una nueva red operativa para los Equipos Militares de Respuesta a Emergencias Informáticas (MICNET) . MICNET fomentará una respuesta más sólida y coordinada a las ciberamenazas que afectan a los sistemas de defensa de la UE, incluidos los utilizados en las misiones y operaciones militares de la PCSD. Paralelamente, la Agencia promoverá un mayor desarrollo de la conferencia de Comandantes Cibernéticos de la UE , para garantizar el intercambio de información a nivel estratégico en relación con los principales incidentes cibernéticos que afectan a las operaciones militares. La Agencia apoyará el desarrollo de vínculos entre MICNET y la Conferencia de Comandantes Cibernéticos y sus contrapartes civiles, para mejorar el intercambio de información entre las comunidades cibernéticas.
La Agencia también seguirá desarrollando sus ejercicios de ciberdefensa, actividades de formación y educación , en particular mediante el establecimiento de un nuevo marco para los ejercicios de ciberdefensa a nivel de la UE: CyDef-X .
¿Cómo intensificará la UE la cooperación con sus socios en materia de ciberdefensa?
La cooperación con los socios es crucial. Sobre la base de los diálogos cibernéticos y de seguridad y defensa liderados por la UE, la UE tratará de establecer asociaciones adaptadas en el área de la ciberdefensa. En este sentido, nuestro objetivo será fortalecer aún más la cooperación UE-OTAN en el campo de la formación, la educación, la conciencia situacional y los ejercicios de ciberdefensa, aprovechando la cooperación entre la Capacidad de Respuesta a Incidentes Informáticos (NIRC) de la OTAN y el CERT de la UE. La UE también comenzará a incluir progresivamente temas de ciberdefensa en los diálogos sobre ciberseguridad y defensa dirigidos por la UE.. Esto ya se hizo en el diálogo cibernético UE-Ucrania que tuvo lugar este septiembre (enlace al comunicado de prensa). La UE también seguirá apoyando a sus socios, especialmente a los países candidatos a la UE, en el desarrollo de capacidades de ciberdefensa, incluso, cuando proceda, a través del Fondo Europeo para la Paz (EPF).
¿Cuáles son los siguientes pasos?
El Alto Representante, incluso en el papel de Jefe de la EDA, y la Comisión piden a los Estados miembros que desarrollen los aspectos relevantes de esta Política de Ciberdefensa y se pondrán en contacto con los Estados miembros para definir medidas prácticas para su implementación. Podría establecerse un plan de aplicación en cooperación con los Estados miembros. Los resultados de la implementación de la Política de Ciberdefensa de la UE contribuirán a los objetivos generales tanto de la Estrategia de Ciberseguridad de la UE como de la Brújula Estratégica.
Se proporcionará un informe anual al Consejo para monitorear y evaluar el progreso de la implementación de la Política de Ciberdefensa. Se alienta a los Estados miembros a contribuir con sus aportes sobre el progreso de las medidas de implementación que se llevan a cabo en formatos nacionales o de cooperación.