Reforma de la ciberseguridad en Europa

¿En qué consiste la estrategia de ciberseguridad de la UE?

La estrategia de ciberseguridad de la UE establece la estrategia de la UE para prevenir y responder a las perturbaciones y ataques que pudieran afectar a los sistemas de telecomunicaciones en Europa.

La Directiva propuesta impondría un nivel mínimo de seguridad a las tecnologías, redes y servicios digitales en todos los Estados miembros. También propone establecer la obligatoriedad de que una serie de empresas y organizaciones informen sobre los incidentes cibernéticos de importancia. La lista incluye los motores de búsqueda, los proveedores de servicios en la nube, las redes sociales, las administraciones públicas, las plataformas de pago electrónico, como PayPal, y los principales sitios de comercio electrónico, como Amazon.

La propuesta se publicó en dos partes el 7 de febrero de 2013. La primera parte es una comunicación de la Comisión y la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad en la que se diseña la estrategia de ciberseguridad de la UE. Esta primera parte se basa en el segundo elemento de la estrategia: una propuesta de Directiva de la Comisión Europea sobre seguridad de las redes y de la información.

¿Por qué es necesaria?

Agenda digital

La estrategia de ciberseguridad y la propuesta de Directiva sirven de apoyo a la agenda digital para Europa, cuyo objetivo es ayudar a los ciudadanos y empresas europeos a aprovechar al máximo las tecnologías digitales.

Los actuales sistemas informáticos pueden verse gravemente afectados por incidentes de seguridad, como fallos técnicos y virus. Este tipo de incidentes, a menudo denominados incidentes SRI (los relacionados con la seguridad de las redes y la información) son cada vez más frecuentes y difíciles de atajar.

Numerosas empresas y gobiernos en toda la UE dependen de las redes e infraestructuras digitales para proporcionar sus servicios esenciales. Esto significa que, cuando se produce un incidente SRI, puede tener un gran impacto, pues compromete la prestación de servicios e impide a las empresas funcionar adecuadamente. Además, con el desarrollo del mercado interior de la UE, muchas redes y sistemas de información operan a través de las fronteras. Un incidente SRI en un país puede por tanto afectar a otros o incluso alcanzar a la totalidad de la UE. Los incidentes en materia de seguridad también menoscaban la confianza del consumidor en los sistemas de pago electrónico y en las redes informáticas.

Al adoptar medidas de gestión del riesgo más coherentes y la notificación de incidentes sistemática, la Directiva propuesta ayudará a los sectores que dependen de los sistemas informáticos a ser más fiables y estables.

En detalle

Estrategia de ciberseguridad de la UE: un ciberespacio abierto, protegido y seguro

La estrategia de la UE en materia de ciberseguridad establece el planteamiento de la UE sobre el mejor modo de prevenir y responder a perturbaciones y ataques cibernéticos. Detalla una serie de medidas para mejorar la resistencia de los sistemas informáticos, reducir la ciberdelincuencia y fortalecer la política internacional de la UE en materia de ciberseguridad y ciberdefensa.

La estrategia establece una serie de planes para afrontar los desafíos en cinco ámbitos prioritarios:

  • lograr una mayor resistencia cibernética
  • reducir drásticamente la ciberdelincuencia
  • impulsar políticas y capacidades en materia de ciberdefensa relacionadas con la política común de seguridad y defensa (PCSD)
  • desarrollar los recursos industriales y tecnológicos en materia de ciberseguridad
  • establecer una política internacional coherente de la UE sobre el ciberespacio

Una de las principales medidas de la estrategia es el proyecto de Directiva sobre seguridad de las redes y la información.

Propuesta de Directiva relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión - 2013/0027(COD)

El proyecto de Directiva sobre seguridad de las redes y la información (SRI) es un elemento importante de la estrategia de ciberseguridad. Requerirá que todos los Estados miembros, las principales empresas presentes en internet y los operadores de infraestructuras, como las plataformas de comercio electrónico, las redes sociales y los servicios de transporte, bancarios y sanitarios garanticen un entorno digital seguro y fiable en toda la UE. Como el planteamiento actual de la SRI tiene carácter voluntario, la capacidad nacional y los grados de implicación y preparación del sector privado varían considerablemente entre los Estados miembros. El objetivo del proyecto de Directiva es garantizar la igualdad de condiciones mediante la adopción de normas armonizadas en todos los Estados miembros de la UE.

Las medidas propuestas incluyen:

  • el requisito de que los Estados miembros de la UE adopten una estrategia SRI y designen una autoridad SRI nacional que cuente con recursos adecuados para prevenir, tratar y afrontar los riesgos e incidentes SRI
  • la creación de un mecanismo de cooperación entre los Estados miembros y la Comisión para poner en común las alertas tempranas sobre riesgos e incidentes, intercambiar información y afrontar las amenazas e incidentes SRI
  • la obligación para determinadas empresas y servicios digitales de adoptar prácticas de gestión del riesgo y notificar los incidentes importantes en materia de seguridad informática a la autoridad nacional competente

La obligación de notificar los incidentes de seguridad informática pretende impulsar hábitos de gestión del riesgo y garantizar que la información sea compartida entre los sectores público y privado. Afecta a:

  • los operadores de infraestructuras críticas en sectores como el de los servicios financieros, el transporte, la energía y la salud
  • las empresas de servicios informáticos, en particular las tiendas de aplicaciones, plataformas de comercio electrónico, plataformas de pago por internet, plataformas de computación en la nube, motores de búsqueda y redes sociales
  • las administraciones públicas

En el Consejo

El Parlamento Europeo adoptó su posición en primera lectura el 13 de marzo de 2014 en relación con la propuesta de Directiva sobre seguridad de las redes y la información.

Tras los trabajos preparatorios del Grupo «Telecomunicaciones y Sociedad de la Información», el Consejo mantuvo un debate de orientación inicial sobre el proyecto de Directiva el 6 de junio de 2013.

En la sesión del Consejo de Transporte, Telecomunicaciones y Energía (TTE) del 5 de diciembre de 2013, los ministros tomaron nota de un informe de situación relativo a esta Directiva. El citado informe destacaba el trabajo preparatorio en curso sobre cuestiones tales como el ámbito de aplicación de la Directiva, la terminología utilizada, la creación de la red de cooperación y los requisitos relativos a las estrategias nacionales en materia de SRI.

El 17 de mayo, el Consejo adoptó formalmente nuevas normas para mejorar la ciberseguridad en la UE.

El Consejo debatió un nuevo informe de situación en la sesión del Consejo TTE del 6 de junio de 2014. En particular, los ministros se plantearon las mejores formas de cooperar para mejorar el grado de preparación y las respuestas a las amenazas a la ciberseguridad. Concluyeron que la Directiva SRI deberá centrarse en una cooperación estratégica y de actuación de alto nivel. No obstante, los ministros desearon también que se facilitaran más directrices a la cooperación práctica que ya se lleva a cabo en diversos organismos. Convinieron en seguir debatiendo las disposiciones prácticas de dicha cooperación.

En la sesión del Consejo TTE del 27 de noviembre de 2014, la Presidencia informó a los ministros del estado de los trabajos sobre el proyecto de Directiva sobre seguridad de las redes y la información. A finales de 2014, el Consejo celebró dos reuniones del diálogo tripartito sobre la Directiva con el Parlamento Europeo. El 30 de abril de 2015 se desarrolló un tercer diálogo tripartito. Aunque en el curso del mismo se realizaron avances, siguieron pendientes importantes diferencias entre las posiciones del Consejo y del Parlamento Europeo. En consecuencia, el diálogo tripartito fue de utilidad para aclarar en mayor medida las respectivas objeciones.

En una cuarta reunión del diálogo tripartito celebrada el 29 de junio de 2015, el Consejo llegó a un acuerdo con el Parlamento Europeo sobre los principios fundamentales que deben incluirse en el proyecto de Directiva SRI. Esos principios deberán pasar ahora a ser disposiciones legales que permitan llegar a un acuerdo definitivo sobre la Directiva más adelante.

El 18 de diciembre de 2015, el Coreper refrendó un acuerdo informal con el Parlamento Europeo. Una vez ultimado el texto convenido, tiene que ser aprobado formalmente, en primer lugar por el Consejo y en segundo lugar por el Parlamento.

El 17 de mayo de 2016, el Consejo aprobó su posición en primera lectura, que confirmó el acuerdo alcanzado con el Parlamento Europeo en diciembre de 2015. La siguiente etapa es la aprobación del acto jurídico por el Parlamento Europeo en segunda lectura. La Directiva entró en vigor en agosto de 2016.