Reforma de la ciberseguridad en Europa

La Unión Europea aspira a reforzar sus normas sobre ciberseguridad para hacer frente a la creciente amenaza que plantean los ataques cibernéticos, así como a aprovechar las oportunidades que presenta la nueva era digital.

El 18 de octubre de 2018, el Consejo Europeo pidió medidas para fortalecer la ciberseguridad en la Unión Europea. Los dirigentes de la UE se refirieron, en particular, a las medidas restrictivas capaces de responder a los ciberataques y disuadir de que se cometan.

La base del compromiso renovado de la UE para luchar contra las ciberamenazas consiste en un conjunto de medidas de reforma sobre ciberseguridad que la Comisión Europea presentó en septiembre de 2017.

Esta reforma tiene por objeto basarse en las medidas establecidas en virtud de la Estrategia de Ciberseguridad y su pilar fundamental, la Directiva sobre seguridad de las redes y sistemas de información (Directiva SRI).

La propuesta presenta nuevas iniciativas, como:

• la creación de una agencia de ciberseguridad de la UE más fuerte
• la introducción de un régimen de certificación de la ciberseguridad a escala de la UE
• la rápida aplicación de la Directiva SRI

Los dirigentes de la UE consideran la reforma de la ciberseguridad como uno de los principales aspectos en curso encaminados a la consecución del mercado único digital en la UE.

• Conclusiones del Consejo Europeo de 18 de octubre de 2018
• Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE (Comisión Europea)
  ×

  Únicamente disponible, en estos momentos, en la(s) siguiente(s) lengua(s):

  EN
• Mercado único digital (información de referencia)

¿Por qué es necesario?

Ante los retos crecientes en el ámbito de la ciberseguridad, la UE ha de concienciarse en mayor medida y mejorar su respuesta a los ataques informáticos dirigidos contra los Estados miembros o las instituciones de la UE.

La «internet de las cosas» es ya una realidad y se prevé que para 2020 haya decenas de miles de millones de dispositivos digitales conectados en la UE.

Al mismo tiempo, los actuales sistemas informáticos pueden verse gravemente afectados por incidentes de seguridad, como los fallos técnicos y los virus. Este tipo de incidentes, a menudo denominados incidentes SRI, son cada vez más frecuentes y difíciles de atajar.

Además, se calcula que los ataques informáticos cuestan a la economía mundial unos 400 000 millones de euros cada año.

• Ficha informativa sobre ciberseguridad (Comisión Europea)
  ×

  Únicamente disponible, en estos momentos, en la(s) siguiente(s) lengua(s):

  EN

Numerosas empresas y administraciones de toda la UE dependen de las redes e infraestructuras digitales para proporcionar sus servicios esenciales. Esto significa que, cuando se produce un incidente SRI, puede tener un gran impacto, pues compromete la prestación de servicios e impide a las empresas funcionar adecuadamente.

Además, un incidente SRI en un país puede afectar a otros o incluso alcanzar a la totalidad de la UE. Los incidentes en materia de seguridad también menoscaban la confianza del consumidor en los sistemas de pago electrónico y en las redes informáticas.

Según la Comisión Europea, a pesar de la creciente amenaza, la concienciación y los conocimientos sobre la ciberseguridad siguen siendo insuficientes:

• el 51 % de los ciudadanos europeos creen estar poco informados sobre las amenazas informáticas
• el 69 % de las empresas no tienen conocimiento o tienen un conocimiento básico de su exposición a ciberriesgos.

En el Consejo/Consejo Europeo

El 18 de octubre de 2018, el Consejo Europeo pidió que las negociaciones de todas las propuestas sobre ciberseguridad concluyesen antes de que acabase la legislatura.

El 13 de septiembre de 2018, el Consejo comenzó las negociaciones con el Parlamento Europeo para alcanzar un acuerdo sobre el llamado Reglamento de ciberseguridad para finales de año.

El 8 de junio de 2018 el Consejo acordó su orientación general sobre del Reglamento de ciberseguridad.

Esta propuesta pretende mejorar la ciberresiliencia con la creación de un marco de certificación a escala de la UE para los productos, servicios y procesos de TIC. También supondría una mejora de la actual Agencia de Seguridad de las Redes y de la Información de la UE (ENISA).

El 20 de diciembre de 2017, las instituciones de la UE dieron un paso importante en el refuerzo de su cooperación en la lucha contra los ciberataques. Por medio de un acuerdo interinstitucional se creó un Equipo de Respuesta a Emergencias Informáticas (CERT-UE), de carácter permanente, que cubre todas las instituciones, órganos y organismos de la UE.

El CERT-UE asegurará una respuesta coordinada de la UE frente a los ciberataques dirigidos contra sus instituciones.

El 20 de noviembre de 2017, el Consejo de Asuntos Generales instó a reforzar la ciberseguridad europea y mejorar la ciberresiliencia en toda la UE.

Los ministros destacaron la necesidad de que todos los países de la UE proporcionen las inversiones y los recursos necesarios para abordar la ciberseguridad.

El 24 de octubre de 2017, el Consejo de Telecomunicaciones acordó elaborar un plan de actuación para la reforma de la ciberseguridad de la UE. Los ministros destacaron que la seguridad en línea es esencial para las empresas y los ciudadanos europeos.

• Conclusiones del Consejo Europeo de 18 de octubre de 2018
• La UE establece un marco común de certificación de la ciberseguridad (comunicado de prensa, 8.6.2018)
• Las instituciones de la UE refuerzan la cooperación para combatir los ciberataques (comunicado de prensa, 20.12.2017)
• La UE reforzará la ciberseguridad (comunicado de prensa, 20.11.2017)
• Consejo de Telecomunicaciones, 24.10.2017

En detalle

Régimen de certificación de la ciberseguridad

En su conjunto de medidas de reforma de septiembre de 2017, la Comisión Europea propuso la introducción de regímenes de certificación a escala de la UE para los productos, servicios y procesos de las TIC. Esta iniciativa tiene por objeto permitir el crecimiento del mercado de ciberseguridad de la UE.

Los regímenes de certificación se presentarían en forma de disposiciones, requisitos técnicos y procedimientos. Servirían para reducir la fragmentación del mercado y eliminar las barreras reglamentarias, al tiempo que se aumentaría la confianza. Serían reconocidos en todos los Estados miembros y facilitarían a las empresas el comercio transfronterizo.

• Régimen europeo de certificación de la ciberseguridad (Comisión Europea)

Una agencia de ciberseguridad de la UE más fuerte

La Comisión propuso también la creación de una agencia de ciberseguridad de la UE más fuerte aprovechando las estructuras de la actual Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA). La función de la nueva agencia sería ayudar a los Estados miembros y a las instituciones y las empresas de la UE a afrontar los ciberataques.

• Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA)

Del apoyo a la competencia a la lucha contra el fraude

La propuesta de la Comisión Europea de reforzar la ciberseguridad de la UE incluye otras iniciativas:

• un plan rector sobre cómo responder a los ataques informáticos a gran escala
• un centro europeo de investigación y competencias sobre ciberseguridad al que se uniría una red de centros similares a nivel de Estado miembro
• una respuesta más eficaz del Derecho penal a la ciberdelincuencia por medio de una nueva Directiva para luchar contra el fraude y la falsificación de los medios de pago distintos del efectivo
• el refuerzo de la estabilidad mundial a través de la cooperación internacional.

• Respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (Comisión Europea)

La Directiva SRI está en la lista de prioridades

El Consejo adoptó las normas de ciberseguridad a escala de la UE en mayo de 2016. Estas normas entraron en vigor en agosto de 2016.

La Directiva sobre seguridad de las redes y sistemas de información (SRI) se introdujo para intensificar la cooperación entre los Estados miembros en el tema crucial de la ciberseguridad. En ella se establecieron obligaciones de seguridad para los operadores de servicios esenciales (en sectores fundamentales como la energía, el transporte, la sanidad y las finanzas) y los proveedores de servicios digitales (mercados en línea, motores de búsqueda y servicios en nube).

Según la Directiva SRI, cada país de la UE estará también obligado a designar una o más autoridades nacionales y a establecer una estrategia para afrontar las ciberamenazas.

• Directiva sobre seguridad de las redes y sistemas de información (Diario Oficial de la UE)
• El Consejo adopta normas de ciberseguridad (comunicado de prensa, 17.5.2016)

Un mercado único digital seguro

La ciberseguridad tiene un importante papel a la hora de desarrollar el potencial del mercado único digital.

Es esencial para la prosperidad de la UE que el futuro digital de Europa sea seguro, puesto que muchos consideran que los datos son el nuevo «petróleo de la economía».

Algunas de las prioridades para el futuro son:

• abordar las amenazas para las plataformas en línea y permitir que contribuyan de forma positiva a la sociedad
• apoyar a las pequeñas y medianas empresas para que sean competitivas en la economía digital
• invertir en el uso de la inteligencia artificial y los superordenadores en ámbitos como los tratamientos médicos y la eficiencia energética.

• Revisión intermedia de la Estrategia para el Mercado Único Digital (Comisión Europea, comunicado de prensa)
• Mercado único digital (información de referencia)