Els 'serveis de seguretat gestionats', prestats als clients per empreses especialitzades, són crucials per a la prevenció, detecció, resposta i recuperació d'incidents de ciberseguretat. Poden consistir, per exemple, en la detecció o resposta a incidents, proves de penetració o auditories de seguretat, o consultoria. Una vegada en aquest punt, i amb la finalitat de millorar la ciberresiliencia de la UE permetent la futura adopció de sistemes europeus de certificació per a aquests serveis, els representants dels Estats membres (COREPER) van aconseguir una posició comuna sobre la proposta de modificació específica de la Llei de Ciberseguretat de la UE, que data de 2019.
Els Estats membres acorden una modificació específica de la Llei europea de ciberseguretat
16 novembre 2023
Per millorar la ciberresiliencia permetent la futura adopció de sistemes de certificació, els representants dels Estats membres van aconseguir una posició comuna sobre la proposta de modificació específica de la Llei de Ciberseguretat de la UE de 2019.
Principals objectius de la proposta de la Comissió
Presentada juntament amb una proposta d'acte de cibersolidaridad de la UE per reforçar les capacitats de ciberseguretat en la UE, l'esmena específica a l'ASC té per objecte incloure els esquemes europeus de certificació de la ciberseguretat per als «serveis de seguretat gestionats» en l'àmbit d'aplicació del Reglament de l'ASAC de 2019.
Per tant, aquesta modificació permetrà l'establiment de sistemes europeus de certificació per a aquests serveis. Contribuirà a augmentar la seva qualitat i comparabilidad, fomentarà l'aparició de proveïdors de serveis de ciberseguretat de confiança i evitarà la fragmentació del mercat interior, atès que alguns Estats membres ja han iniciat l'adopció d'esquemes nacionals de certificació per als serveis gestionats de seguretat.
Esmenes del Consell
La posició del Consell conté les següents esmenes principals a la proposta de la Comissió:
- aclareix la definició de «serveis de seguretat gestionats» i l'adaptació a la Directiva revisada sobre sistemes d'informació de xarxa («SRI 2»)
- El text alinea els objectius de seguretat d'aquests esquemes de certificació amb els objectius de seguretat d'altres esquemes sota l'actual Llei de Ciberseguretat
- El text inclou modificacions en l'annex de la Llei de Ciberseguretat, que conté una llista de requisits que han de complir els organismes d'avaluació de la conformitat
- s'han introduït una sèrie de modificacions tècniques i de redacció per garantir que totes les disposicions pertinents de l'actual Reglament CSA s'apliquin també als serveis de seguretat gestionats
Passos següents i context a la Llei
L'acord aconseguit avui sobre la posició comuna del Consell («mandat de negociació») permetrà a la Presidència espanyola entaular negociacions amb el Parlament Europeu («diàlegs tripartits») sobre la versió final de la legislació proposada.
Quant als antecedents i context de la Llei de Ciberseguretat Europea, hat que assenyalar que va ser adoptada en 2019 i que va establir el primer marc de certificació de ciberseguretat per a tots els estats membres. La certificació de ciberseguretat és voluntària, tret que la legislació de la Unió o dels Estats membres especifiqui el contrari.
La proposta de la Comissió, adoptada el 18 d'abril de 2023, té per objecte una modificació específica de l'àmbit d'aplicació de l'acte de ciberseguretat, que permetria a la Comissió adoptar actes d'execució sobre esquemes europeus de certificació de la ciberseguretat per als «serveis de seguretat gestionats», a més dels productes d'informació i tecnologia (TIC), els serveis de TIC i els processos de TIC, que estan coberts per l'actual acte de ciberseguretat.
La proposta introdueix una definició de «serveis gestionats de seguretat», d'acord amb la definició de «proveïdors de serveis de seguretat gestionats» de la Directiva SRI 2. També afegeix un nou article (art. 51 bis) sobre els objectius de seguretat dels esquemes europeus de certificació de ciberseguretat, adaptat als serveis gestionats de seguretat. Finalment, la proposta conté una sèrie de modificacions tècniques per garantir que les disposicions pertinents de la Llei de Ciberseguretat s'apliquin també als serveis de seguretat gestionats.
La proposta es basa en l'article 114 del TFUE (mercat interior), ja que el seu objectiu és evitar la fragmentació del mercat interior dels serveis gestionats de seguretat en permetre l'adopció d'esquemes europeus de certificació de la ciberseguretat per a aquests serveis.
Enllaços d'interès:
- Reglament pel qual es modifica la CSA pel que fa als serveis gestionats de seguretat, mandat de negociació del Consell, 15 de novembre de 2023
- Modificació específica de la CSA (CSA+), proposta de la Comissió, 18 d'abril de 2023
- Informació d'antecedents de la Comissió, 18 d'abril de 2023
- Directiva revisada sobre xarxes i sistemes d'informació (SRI 2), 27 de desembre de 2022
- Llei de ciberseguretat (CSA), 7 de juny de 2019
- Seguretat i Protecció de Dades
