Los representantes de los Estados miembros (COREPER) alcanzaron una posición común sobre la Ley europea de Cibersolidaridad, al tiempo que se pusieron las bases para el fortalecimiento de los mecanismos de cooperación ante ciberamenazas El proyecto de reglamento establece las capacidades de la UE para hacer de Europa más resiliente y reactiva frente a estas amenazas.
Los Estados miembros acuerdan una posición común sobre la Ley de Cibersolidaridad
21 diciembre 2023
Para fortalecer la solidaridad y las capacidades de la UE para detectar, prepararse y responder a amenazas e incidentes de ciberseguridad, los representantes de los Estados miembros alcanzaron una posición común.
Principales objetivos de la propuesta de la Comisión
La propuesta de la Comisión tiene como objetivo principal:
- Apoyar la detección y el conocimiento de amenazas e incidentes de ciberseguridad significativos o a gran escala
- Reforzar la preparación y proteger las entidades críticas y los servicios esenciales, como los hospitales y los servicios públicos
- reforzar la solidaridad a escala de la UE, la gestión concertada de crisis y las capacidades de respuesta entre los Estados miembros;
- contribuir a garantizar un entorno digital seguro y protegido para los ciudadanos y las empresas;
Para detectar las principales ciberamenazas de forma rápida y eficaz, el proyecto de Reglamento establece un «ciberescudo europeo», que es una infraestructura paneuropea compuesta por centros de operaciones de seguridad (SOC) nacionales y transfronterizos en toda la UE. Se trata de entidades encargadas de compartir información y encargadas de detectar y actuar sobre las amenazas cibernéticas. Utilizarán tecnología de vanguardia, como inteligencia artificial (IA) y análisis avanzado de datos, para detectar y compartir advertencias oportunas sobre amenazas e incidentes cibernéticos a través de las fronteras. A su vez, las autoridades y las entidades pertinentes podrán responder de manera más eficiente y eficaz a incidentes graves.
El proyecto de Reglamento también prevé la creación de un mecanismo de ciberemergencia para aumentar la preparación y mejorar las capacidades de respuesta a incidentes en la UE. Apoyará:
- acciones de preparación, incluidas las pruebas de posibles vulnerabilidades de entidades en sectores altamente críticos (salud, transporte, energía, etc.), basadas en escenarios y metodologías de riesgo comunes
- una nueva reserva de ciberseguridad de la UE consistente en servicios de respuesta a incidentes de proveedores de confianza del sector privado precontratados y, por tanto, dispuestos a intervenir, a petición de un Estado miembro o de las instituciones, órganos y organismos de la UE, en caso de un incidente de ciberseguridad significativo o a gran escala
- asistencia mutua en términos financieros, cuando un Estado miembro pueda ofrecer apoyo a otro Estado miembro
Por último, la propuesta de Reglamento establece el mecanismo de revisión de incidentes de ciberseguridad para mejorar la resiliencia de la UE mediante la revisión y evaluación de incidentes de ciberseguridad significativos o a gran escala después de que se hayan producido, la extracción de lecciones aprendidas y, en su caso, la formulación de recomendaciones para mejorar la ciberpostura de la UE. A petición de la Comisión o de las autoridades nacionales, la Agencia de Ciberseguridad de la UE (ENISA) revisaría determinados incidentes de ciberseguridad y presentaría un informe con las lecciones aprendidas y las recomendaciones.
Las enmiendas del Consejo
La posición del Consejo mantiene la orientación general de la propuesta de la Comisión, pero modifica el proyecto de Reglamento en los siguientes aspectos:
- aclara terminología y adapta el texto a las necesidades de los Estados miembros. especificidades, en particular en lo que respecta a los SOC y al escudo cibernético
- en la materia y alcance, se mejoró el lenguaje sobre las medidas de respuesta y recuperación, así como sobre las disposiciones referidas a la seguridad nacional< /span>
- Las definiciones se han modificado y alineado con otra legislación, principalmente con la directiva recientemente revisada sobre redes y sistemas de información ('NIS 2')
- el carácter voluntario de los estados miembros' A lo largo del texto se destacó la participación en los mecanismos establecidos por la propuesta de la Comisión y se han aclarado las interacciones entre las entidades existentes y las definidas por el proyecto de reglamento
- el papel de la agencia de la UE para la ciberseguridad (ENISA) se ha reforzado y aclarado a lo largo del texto
- Se han introducido mejoras en materia de adquisiciones, financiación, intercambio de información y mecanismo de revisión de incidentes.
Los antecedentes y los siguientes pasos a dar
El 18 de abril de 2023, la Comisión adoptó la propuesta de Reglamento por el que se establecen medidas para reforzar la solidaridad y las capacidades en la UE para detectar, prepararse y responder a las amenazas e incidentes de ciberseguridad, el denominado «acto de cibersolidaridad».
El origen de una propuesta legislativa de este tipo es múltiple. La estrategia de ciberseguridad de la UE adoptada en diciembre de 2020 mencionaba la creación de un ciberescudo europeo, reforzando las capacidades de detección de ciberamenazas e intercambio de información en la UE. Los días 8 y 9 de marzo de 2022, los ministros de los Estados miembros de la UE responsables de las telecomunicaciones se reunieron informalmente en Nevers y expresaron el deseo de que la UE se prepare plenamente para hacer frente a los ciberataques a gran escala. Las Conclusiones del Consejo de mayo de 2022 sobre la ciberpostura destacaron la necesidad de colmar las lagunas en términos de respuesta y preparación ante los ciberataques, pidiendo a la Comisión que presentara una propuesta sobre un nuevo fondo de respuesta de emergencia para la ciberseguridad.
Por lo tanto, la propuesta de la Comisión introduce un «ciberescudo europeo», compuesto por centros de operaciones (SOC), reunidos en varias plataformas de SOC plurinacionales financiadas por el programa Europa Digital. El presupuesto total para todas las acciones en el marco de la Ley de Cibersolidaridad de la UE es de 1 1 millones de euros, de los cuales alrededor de 2/3 serán financiados por la UE a través del programa Europa Digital.
- Ley de cibersolidaridad, mandato de negociación del Consejo, 20 de diciembre de 2023
- Ley de cibersolidaridad, informe de situación del Consejo, 5 de diciembre de 2023
- Reglamento sobre medidas destinadas a reforzar la solidaridad y las capacidades en la Unión para detectar, prepararse y responder a las amenazas e incidentes de ciberseguridad (Ley de cibersolidaridad), propuesta de la Comisión, 18 de abril de 2023
- Conclusiones del Consejo sobre la evolución de la ciberpostura de la UE, comunicado de prensa, 23 de mayo de 2022
El siguiente paso a dar con relación al acuerdo alcanzado sobre la posición común del Consejo («mandato de negociación») es la autorización a la Presidencia entrante entablar negociaciones con el Parlamento Europeo («diálogos tripartitos») sobre la versión final de la legislación propuesta.
- Seguridad y Protección de Datos