Mejorar la ciberseguridad en toda la UE

¿En qué consiste la estrategia de ciberseguridad de la UE?

La estrategia de ciberseguridad de la UE establece los planes de la UE para prevenir y responder a las perturbaciones y ataques que pudieran afectar a los sistemas de telecomunicaciones en Europa

La Directiva propuesta impondría un nivel mínimo de seguridad a las tecnologías, redes y servicios digitales en todos los Estados miembros. También propone establecer la obligatoriedad de que una serie de empresas y organizaciones informen sobre los incidentes cibernéticos de importancia. La lista incluye los motores de búsqueda, los proveedores de servicios en la nube, las redes sociales, las administraciones públicas, las plataformas de pago electrónico, como PayPal, y los principales sitios de comercio electrónico, como Amazon.

La propuesta se publicó en dos partes el 7 de febrero de 2013. La primera parte es una comunicación de la Comisión y la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad en la que se diseña la estrategia de ciberseguridad de la UE. Esta primera parte se basa en el segundo elemento de la estrategia: una propuesta de Directiva de la Comisión Europea sobre seguridad de las redes y de la información.

¿Por qué es necesaria esta estrategia?

Agenda digital

La estrategia de ciberseguridad y la propuesta de Directiva sirven de apoyo a la agenda digital para Europa, cuyo objetivo es ayudar a los ciudadanos y empresas europeos a aprovechar al máximo las tecnologías digitales.

Los actuales sistemas informáticos pueden verse gravemente afectados por incidentes de seguridad, como fallos técnicos y virus. Este tipo de incidentes, a menudo denominados incidentes SRI (los relacionados con la seguridad de las redes y la información) son cada vez más frecuentes y difíciles de atajar.

Numerosas empresas y gobiernos en toda la UE dependen de las redes e infraestructuras digitales para proporcionar sus servicios esenciales. Esto significa que, cuando se produce un incidente SRI, puede tener un gran impacto, pues compromete la prestación de servicios e impide a las empresas funcionar adecuadamente. Además, con el desarrollo del mercado interior de la UE, muchas redes y sistemas de información operan a través de las fronteras. Un incidente SRI en un país puede por tanto afectar a otros o incluso alcanzar a la totalidad de la UE. Los incidentes en materia de seguridad también minan la confianza del consumidor en los sistemas de pago electrónico y en las redes informáticas.

Al introducir medidas de gestión del riesgo más coherentes y la notificación de incidentes sistemática, la Directiva propuesta ayudará a los sectores que dependen de los sistemas informáticos a ser más fiables y estables. 

En detalle

Estrategia de ciberseguridad de la UE: Un ciberespacio abierto, protegido y seguro

La estrategia de ciberseguridad de la UE define el planteamiento de la UE sobre el mejor modo de prevenir y responder a perturbaciones y ataques cibernéticos. Detalla una serie de medidas para mejorar la resistencia de los sistemas informáticos, reducir la ciberdelincuencia y fortalecer la política internacional de la UE en materia de ciberseguridad y ciberdefensa.

La estrategia establece una serie de planes para afrontar los desafíos en cinco ámbitos prioritarios:

  • lograr una mayor resistencia cibernética
  • reducir drásticamente la ciberdelincuencia
  • impulsar políticas y capacidades en materia de ciberdefensa relacionadas con la Política Común de Seguridad y Defensa (PCSD)
  • desarrollar los recursos industriales y tecnológicos en materia de ciberseguridad
  • establecer una política internacional coherente de la UE sobre el ciberespacio.

Una de las principales medidas de la estrategia es el proyecto de Directiva sobre seguridad de las redes y la información.

Propuesta de Directiva relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión - 2013/0027(COD)

El proyecto de Directiva sobre seguridad de las redes y la información (SRI) es un elemento importante de la estrategia de ciberseguridad. Requerirá que todos los Estados miembros, las principales empresas presentes en internet y los operadores de infraestructuras, como las plataformas de comercio electrónico, las redes sociales y los servicios de transporte, bancarios y sanitarios garanticen un entorno digital seguro y fiable en toda la UE. Como el planteamiento actual de la SRI tiene carácter voluntario, la capacidad nacional y los grados de implicación y preparación del sector privado varían considerablemente entre los Estados miembros. El objetivo del proyecto de Directiva es garantizar la igualdad de condiciones mediante la introducción de normas armonizadas en todos los Estados miembros de la UE.

Las medidas propuestas incluyen:

  • el requisito de que los Estados miembros de la UE adopten una estrategia SRI y designen una autoridad SRI nacional que cuente con recursos adecuados para prevenir, tratar y afrontar los riesgos e incidentes SRI
  • la creación de un mecanismo de cooperación entre los Estados miembros y la Comisión para poner en común las alertas tempranas sobre riesgos e incidentes, intercambiar información y afrontar las amenazas e incidentes SRI
  • el requisito para determinadas empresas y servicios digitales de que adopten prácticas de gestión del riesgo y notifiquen los incidentes importantes en materia de seguridad informática a la autoridad nacional competente.

El requisito de notificar los incidentes de seguridad informática pretende impulsar hábitos de gestión del riesgo y garantizar que la información sea compartida entre los sectores público y privado. Abarca:

  • los operadores de infraestructuras críticas en sectores como el de los servicios financieros, el transporte, la energía y la salud
  • las empresas de servicios informáticos, en particular las tiendas de aplicaciones, plataformas de comercio electrónico, plataformas de pago por internet, plataformas de computación en la nube, motores de búsqueda y redes sociales
  • las administraciones públicas.

En el Consejo

El Parlamento Europeo adoptó su posición en primera lectura el 13 de marzo de 2014 en relación con la propuesta de Directiva sobre seguridad de las redes y la información.

Tras los trabajos preparatorios del Grupo "Telecomunicaciones y Sociedad de la Información", el Consejo mantuvo un debate político inicial sobre el proyecto de Directiva el 6 de junio de 2013. 

En la sesión del Consejo de Transporte, Telecomunicaciones y Energía (TTE) del 5 de diciembre de 2013, los ministros tomaron nota de un informe de situación relativo a esta Directiva. El citado informe destacaba el trabajo preparatorio en curso sobre cuestiones tales como el ámbito de aplicación de la Directiva, la terminología utilizada, la creación de la red de cooperación y los requisitos relativos a las estrategias nacionales en materia de SRI.

El 18 de diciembre de 2015, el Coreper refrendó un acuerdo informal con el Parlamento Europeo. Una vez ultimado el texto convenido, tiene que ser aprobado formalmente, en primer lugar por el Consejo y en segundo lugar por el Parlamento. Deberá celebrarse en la primavera de 2016.

El Consejo debatió un nuevo informe de situación en la sesión del Consejo TTE del 6 de junio de 2014. En particular, los ministros se plantearon las mejores formas de cooperar para mejorar el grado de preparación y las respuestas a las amenazas a la ciberseguridad. Concluyeron que la Directiva SRI deberá centrarse en una cooperación estratégica y de actuación de alto nivel. No obstante, los ministros desearon también que se facilitaran más directrices a la cooperación práctica que ya se lleva a cabo en diversos organismos. Convinieron en seguir debatiendo las disposiciones prácticas de dicha cooperación.

En la sesión del Consejo TTE del 27 de noviembre de 2014, la Presidencia informó a los ministros del estado de los trabajos sobre el proyecto de Directiva sobre seguridad de las redes y la información. A finales de 2014, el Consejo celebró dos reuniones del diálogo tripartito sobre la Directiva con el Parlamento Europeo. El 30 de abril de 2015 se desarrolló un tercer diálogo tripartito. Aunque en el curso del mismo se realizaron avances, siguieron pendientes importantes diferencias entre las posiciones del Consejo y del Parlamento Europeo. En consecuencia, el diálogo tripartito fue de utilidad para aclarar en mayor medida los respectivos puntos de inquietud. 

En una cuarta reunión del diálogo tripartito celebrada el 29 de junio de 2015, el Consejo llegó a un acuerdo con el Parlamento Europeo sobre los principios fundamentales que deben incluirse en el proyecto de Directiva SRI. Esos principios deberán convertirse ahora en disposiciones legales que permitan llegar a un acuerdo definitivo sobre la Directiva más adelante.

El Consejo adoptó asimismo conclusiones sobre la Estrategia de ciberseguridad de la UE el 25 de junio de 2013.