Ciberdefensa: hacia unas capacidades más sólidas de la UE en pro de una cooperación operativa eficaz, la solidaridad y la resiliencia
La Comisión ha adoptado una propuesta de Ley de Cibersolidaridad de la UE para reforzar las capacidades de ciberseguridad en la UE. Se trata de sostener la detección y el conocimiento de las amenazas e incidentes de ciberseguridad, estimular la preparación de las entidades críticas y reforzar la solidaridad, la gestión concertada de crisis y las capacidades de respuesta en todos los Estados miembros. La Ley de Cibersolidaridad establece las capacidades de la UE para hacer que Europa sea más resiliente y reaccione mejor frente a las ciberamenazas, reforzando al mismo tiempo el mecanismo de cooperación existente. También contribuirá a garantizar un panorama digital seguro para los ciudadanos y las empresas y a proteger a las entidades críticas y los servicios esenciales, por ejemplo, los hospitales y los servicios públicos.
La Comisión también ha presentado una Academia de Cibercapacidades, en el marco del Año Europeo de las Competencias 2023, a fin de velar por un planteamiento más coordinado a la hora de colmar la brecha de talento en materia de ciberseguridad, lo que constituye un requisito previo para impulsar la resiliencia de Europa. La Academia reunirá diversas iniciativas existentes destinadas a fomentar las capacidades en materia de ciberseguridad y las ofrecerá en una plataforma en línea, aumentando así su visibilidad y el número de profesionales cualificados en materia de ciberseguridad en la UE.
En el marco de la Unión Europea de la Seguridad, la UE se ha comprometido a velar por que todos los ciudadanos y empresas de Europa estén bien protegidos, tanto en línea como fuera de línea, y a fomentar un ciberespacio abierto, seguro y estable. Sin embargo, el aumento de la magnitud, la frecuencia y el efecto de los incidentes de ciberseguridad representa una grave amenaza para el funcionamiento de las redes y los sistemas de información y para el mercado único europeo. La agresión militar de Rusia contra Ucrania ha exacerbado aún más esta amenaza, junto con la multiplicidad de agentes estatales, criminales y hacktivistas implicados en las tensiones geopolíticas actuales.
Partiendo del sólido marco estratégico, político y legislativo ya en vigor, la propuesta de Ley de Cibersolidaridad de la UE y la Academia de Cibercapacidades contribuirán aún más a mejorar la detección de las ciberamenazas, la resiliencia y la preparación a todos los niveles del ecosistema de ciberseguridad de la UE.
Ley de Cibersolidaridad de la UE
La Ley de Cibersolidaridad de la UE reforzará la solidaridad a escala de la Unión a la hora de detectar, afrontar y superar los incidentes de ciberseguridad importantes o a gran escala, mediante la creación de un Ciberescudo Europeo y un Mecanismo de Ciberemergencia global.
Para detectar las principales amenazas cibernéticas de forma rápida y eficaz, la Comisión propone la creación de un Ciberescudo Europeo, una infraestructura paneuropea formada por centros de operaciones de seguridad nacionales y transfronterizos en toda la UE.Se trata de entidades encargadas de detectar las ciberamenazas y de actuar frente a ellas. Utilizarán la tecnología más avanzada, por ejemplo, la inteligencia artificial (IA) y el análisis avanzado de datos, para detectar y difundir oportunamente alertas de ciberamenazas e incidentes más allá de las fronteras. A su vez, las autoridades y las entidades pertinentes podrán reaccionar de manera más eficiente y eficaz ante los incidentes graves.
Estos centros podrían empezar a funcionar a principios de 2024. Como fase preparatoria del Ciberescudo Europeo, la Comisión seleccionó en abril de 2023, en el marco del programa Europa Digital, tres consorcios de centros de operaciones de seguridad transfronterizos, que reúnen a organismos públicos de diecisiete Estados miembros e Islandia.
La Ley de Cibersolidaridad de la UE también incluye la creación de un mecanismo de ciberemergencia para aumentar la preparación y mejorar las capacidades de respuesta ante incidentes en la UE.Este apoyará lo siguiente:
– Medidas de preparación, por ejemplo, ensayos en entidades de sectores muy críticos (asistencia sanitaria, transportes, energía, etc.) para detectar posibles puntos vulnerables, sobre la base de hipótesis y métodos de riesgo comunes.
– Creación de una nueva reserva de ciberseguridad de la UE, consistente en servicios de respuesta a incidentes de proveedores de confianza precontratados y, por tanto, dispuestos a intervenir, a petición de un Estado miembro o de las instituciones, órganos y organismos de la Unión, en caso de que se produzca un incidente de ciberseguridad importante o a gran escala.
– Prestación de ayuda financiera en favor de la asistencia mutua, cuando un Estado miembro pueda prestar apoyo a otro Estado miembro.
Además, la propuesta de Reglamento establece un mecanismo de examen de incidentes de ciberseguridad para mejorar la resiliencia de la Unión mediante la revisión y la evaluación de incidentes de ciberseguridad importantes o a gran escala después de que se hayan producido, extrayendo enseñanzas y, cuando proceda, formulando recomendaciones para mejorar la posición cibernética de la Unión.
El presupuesto total para todas las acciones en el marco de la Ley de Cibersolidaridad de la UE asciende a 1 100 millones de euros, de los cuales aproximadamente dos tercios los financiará la UE con cargo al programa Europa Digital.
Academia de Cibercapacidades de la UE
La Academia de Cibercapacidades de la UE reunirá iniciativas privadas y públicas destinadas a impulsar las capacidades en materia de ciberseguridad a escala nacional y europea, haciéndolas más visibles y contribuyendo a colmar la brecha de talento en materia de ciberseguridad de los profesionales del sector.
La Academia se alojará inicialmente en línea en la plataforma de capacidades y empleos digitales de la Comisión. Los ciudadanos interesados en desarrollar una carrera profesional en el ámbito de la ciberseguridad podrán encontrar formación y certificaciones de toda la UE en un único lugar en línea. Las partes interesadas también podrán comprometerse a apoyar la mejora de las capacidades en materia de ciberseguridad en la UE mediante la adopción de medidas concretas, tales como ofertas de formación y certificaciones en materia de ciberseguridad.
La Academia evolucionará para incluir un espacio común para el mundo académico, los proveedores de formación y la industria, ayudándoles a coordinar los programas educativos, la formación, la financiación y el seguimiento de la evolución del mercado laboral de la ciberseguridad.
Sistemas de certificación de los servicios de seguridad administrada
La Comisión también ha propuesto hoy una modificación específica del Reglamento de Ciberseguridad para permitir la futura adopción de sistemas europeos de certificación para los servicios de seguridad administrada. Se trata de servicios sumamente críticos y sensibles prestados por proveedores de servicios de ciberseguridad, tales como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría, a fin de asistir a las empresas y otras organizaciones a la hora de prevenir, detectar, afrontar o superar ciberincidentes.
El Parlamento Europeo y el Consejo examinarán ahora la propuesta de Reglamento sobre la Ley de Cibersolidaridad de la UE y la modificación específica del Reglamento de Ciberseguridad.
El Centro Europeo de Competencia en Ciberseguridad organizará una adquisición conjunta de herramientas e infraestructuras con los centros de operaciones de seguridad transfronterizos seleccionados para crear capacidades de ciberdetección.
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) y el Centro Europeo de Competencia en Ciberseguridad seguirán trabajando en materia de cibercapacidades y contribuyendo a la creación de la Academia de Cibercapacidades, en consonancia con sus respectivos mandatos, y en estrecha cooperación con la Comisión y los Estados miembros.
La Comisión propone que la Academia adopte la forma de un consorcio europeo de infraestructuras digitales (EDIC), que es un nuevo marco jurídico para ejecutar proyectos plurinacionales. Esta posibilidad se va a negociar ahora con los Estados miembros.
También es necesario velar por que los profesionales reciban una formación de la calidad necesaria. A este respecto, la ENISA desarrollará un proyecto piloto que estudiará la creación de un régimen europeo de certificación de las capacidades en materia de ciberseguridad.
Antecedentes
Mediante la propuesta de Ley de Ciberseguridad de la UE, la Comisión responde al llamamiento de los Estados miembros en favor de reforzar la ciberresiliencia de la UE y cumple su compromiso expresado en la reciente Comunicación conjunta sobre ciberdefensa de preparar una Iniciativa de Cibersolidaridad de la UE.