Nueva estrategia de ciberseguridad de la UE y nuevas reglas para hacer que las entidades críticas físicas y digitales sean más resilientes

Hoy (16 de diciembre) la Comisión y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentan una nueva estrategia de ciberseguridad de la UE. Como componente clave de Shaping Europe's Digital Future, el Plan de Recuperación para Europa y la Estrategia de Unión de Seguridad de la UE, la Estrategia reforzará la resiliencia colectiva de Europa contra las amenazas cibernéticas y ayudará a garantizar que todos los ciudadanos y empresas puedan beneficiarse plenamente de servicios y servicios fiables y fiables. herramientas digitales. Ya sean los dispositivos conectados, la red eléctrica o los bancos, aviones, administraciones públicas y hospitales que los europeos utilizan o frecuentan, merecen hacerlo con la seguridad de que estarán protegidos de las ciberamenazas.

La nueva estrategia de ciberseguridad también permite a la UE intensificar su liderazgo en las normas y estándares internacionales en el ciberespacio y fortalecer la cooperación con socios de todo el mundo para promover un ciberespacio global, abierto, estable y seguro, basado en el estado de derecho, los derechos humanos , libertades fundamentales y valores democráticos. Además, la Comisión está haciendo propuestas para abordar la resiliencia física y cibernética de las entidades y redes críticas: una Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (Directiva NIS revisada o `` NIS 2 ''), y una nueva Directiva sobre el resiliencia de entidades críticas.

Cubren una amplia gama de sectores y tienen como objetivo abordar los riesgos actuales y futuros en línea y fuera de línea, desde ciberataques hasta delitos o desastres naturales, de una manera coherente y complementaria. Confianza y seguridad en el corazón de la Década Digital de la UE La nueva Estrategia de Ciberseguridad tiene como objetivo salvaguardar una Internet global y abierta, al mismo tiempo que ofrece salvaguardias, no solo para garantizar la seguridad sino también para proteger los valores europeos y los derechos fundamentales de todos.

Sobre la base de los logros de los últimos meses y años, contiene propuestas concretas para iniciativas normativas, de inversión y políticas, en tres áreas de acción de la UE: 1. Resiliencia, soberanía tecnológica y liderazgo
En el marco de esta línea de acción, la Comisión propone reformar las normas sobre seguridad de las redes y los sistemas de información, en el marco de una Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (Directiva NIS revisada o `` NIS 2 ''), con el fin de incrementar el nivel de ciberresiliencia de los sectores públicos y privados críticos: hospitales, redes de energía, ferrocarriles, pero también centros de datos, administraciones públicas, laboratorios de investigación y fabricación de dispositivos médicos y medicamentos críticos, así como otras infraestructuras y servicios críticos, debe permanecer impermeable , en un entorno de amenazas cada vez más rápido y complejo. La Comisión también propone poner en marcha una red de centros de operaciones de seguridad en toda la UE, con tecnología de inteligencia artificial (IA), que constituirá un verdadero `` escudo de ciberseguridad '' para la UE, capaz de detectar signos de un ciberataque con la suficiente antelación y permitir acción, antes de que ocurra el daño. Las medidas adicionales incluirán apoyo dedicado a las pequeñas y medianas empresas (PYME), en el marco de los Centros de innovación digital, así como un mayor esfuerzo para mejorar la fuerza laboral, atraer y retener al mejor talento en ciberseguridad e invertir en investigación e innovación abierta. competitivo y basado en la excelencia.
2. Fomento de la capacidad operativa para prevenir, disuadir y responder
La Comisión está preparando, a través de un proceso progresivo e inclusivo con los Estados miembros, una nueva Unidad Cibernética Conjunta, para fortalecer la cooperación entre los organismos de la UE y las autoridades de los Estados miembros responsables de prevenir, disuadir y responder a los ataques cibernéticos, incluidos los civiles, las fuerzas del orden, comunidades diplomáticas y de ciberdefensa. El Alto Representante presenta propuestas para fortalecer la Caja de herramientas de la ciberdiplomacia de la UE a fin de prevenir, desalentar, disuadir y responder de manera efectiva contra las actividades cibernéticas maliciosas, en particular las que afectan a nuestra infraestructura crítica, cadenas de suministro, instituciones y procesos democráticos. La UE también tendrá como objetivo mejorar aún más la cooperación en ciberdefensa y desarrollar capacidades de ciberdefensa de vanguardia, basándose en el trabajo de la Agencia Europea de Defensa y alentando a los Estados miembros a hacer pleno uso de la Cooperación Estructurada Permanente y la Defensa Europea. Fondo.
3. Promoción de un ciberespacio abierto y mundial mediante una mayor cooperación
La UE intensificará su trabajo con socios internacionales para fortalecer el orden global basado en normas, promover la seguridad y la estabilidad internacionales en el ciberespacio y proteger los derechos humanos y las libertades fundamentales en línea. Promoverá normas y estándares internacionales que reflejen estos valores fundamentales de la UE, trabajando con sus socios internacionales en las Naciones Unidas y otros foros relevantes. La UE reforzará aún más su caja de herramientas de ciberdiplomacia de la UE y aumentará los esfuerzos de creación de capacidad cibernética en terceros países mediante el desarrollo de una agenda de creación de capacidad cibernética externa de la UE. Se intensificarán los diálogos cibernéticos con terceros países, organizaciones regionales e internacionales, así como con la comunidad de múltiples partes interesadas.

La UE también formará una red de ciberdiplomacia de la UE en todo el mundo para promover su visión del ciberespacio. La UE se compromete a respaldar la nueva Estrategia de Ciberseguridad con un nivel de inversión sin precedentes en la transición digital de la UE durante los próximos siete años, a través del próximo presupuesto de la UE a largo plazo, en particular el Programa Europa Digital y Horizonte Europa, así como la Recuperación. Plan para Europa. Por tanto, se anima a los Estados miembros a hacer pleno uso del mecanismo de recuperación y resiliencia de la UE para impulsar la ciberseguridad y equiparar las inversiones a nivel de la UE.

El objetivo es alcanzar hasta 4.5 millones de euros de inversión combinada de la UE, los Estados miembros y la industria, especialmente en el marco del Centro de competencia en ciberseguridad y la Red de centros de coordinación, y garantizar que una parte importante llegue a las PYME. La Comisión también tiene como objetivo reforzar las capacidades industriales y tecnológicas de la UE en materia de ciberseguridad, incluso mediante proyectos financiados conjuntamente por los presupuestos nacionales y de la UE. La UE tiene la oportunidad única de poner en común sus activos para mejorar su autonomía estratégica e impulsar su liderazgo en ciberseguridad en toda la cadena de suministro digital (incluidos los datos y la nube, tecnologías de procesador de próxima generación, conectividad ultrasegura y redes 6G), en consonancia con sus valores y prioridades.

Resiliencia cibernética y física de la red, los sistemas de información y las entidades críticas Es necesario actualizar las medidas existentes a nivel de la UE destinadas a proteger las infraestructuras y los servicios clave de los riesgos físicos y cibernéticos. Los riesgos de ciberseguridad continúan evolucionando con la creciente digitalización e interconexión. Los riesgos físicos también se han vuelto más complejos desde la adopción de las normas de la UE de 2008 sobre infraestructura crítica, que actualmente solo cubren los sectores de energía y transporte. Las revisiones tienen como objetivo actualizar las normas siguiendo la lógica de la estrategia de Unión de Seguridad de la UE, superando la falsa dicotomía entre online y offline y rompiendo el enfoque de silo.

Anuncio

Para responder a las crecientes amenazas debidas a la digitalización y la interconexión, la Directiva propuesta sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (Directiva NIS revisada o `` NIS 2 '') cubrirá entidades medianas y grandes de más sectores en función de su importancia para la economía y la sociedad. NIS 2 refuerza los requisitos de seguridad impuestos a las empresas, aborda la seguridad de las cadenas de suministro y las relaciones con los proveedores, agiliza las obligaciones de información, introduce medidas de supervisión más estrictas para las autoridades nacionales, requisitos de cumplimiento más estrictos y tiene como objetivo armonizar los regímenes de sanciones en los Estados miembros. La propuesta NIS 2 ayudará a incrementar el intercambio de información y la cooperación sobre la gestión de crisis cibernéticas a nivel nacional y de la UE. La Directiva propuesta sobre resiliencia de entidades críticas (CER) amplía tanto el alcance como la profundidad de la directiva europea de infraestructura crítica de 2008. Ahora se cubren diez sectores: energía, transporte, banca, infraestructuras del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, administración pública y espacio. Según la directiva propuesta, cada uno de los Estados miembros adoptaría una estrategia nacional para garantizar la resiliencia de las entidades críticas y realizaría evaluaciones de riesgo periódicas. Estas evaluaciones también ayudarían a identificar un subconjunto más pequeño de entidades críticas que estarían sujetas a obligaciones destinadas a mejorar su resiliencia frente a riesgos no cibernéticos, incluidas las evaluaciones de riesgos a nivel de entidad, la adopción de medidas técnicas y organizativas y la notificación de incidentes.

La Comisión, a su vez, proporcionaría apoyo complementario a los Estados miembros y a las entidades críticas, por ejemplo, mediante el desarrollo de una visión general a nivel de la Unión de los riesgos transfronterizos y transectoriales, las mejores prácticas, las metodologías, las actividades de formación transfronterizas y los ejercicios de prueba. la resiliencia de entidades críticas. Asegurar la próxima generación de redes: 5G y más En el marco de la nueva Estrategia de Ciberseguridad, se anima a los estados miembros, con el apoyo de la Comisión y ENISA, la Agencia Europea de Ciberseguridad, a completar la implementación de la Caja de Herramientas 5G de la UE, un riesgo integral y objetivo -enfoque basado en la seguridad de 5G y las futuras generaciones de redes.

Según un informe publicado hoy, sobre el impacto de la Recomendación de la Comisión sobre la ciberseguridad de las redes 5G y el progreso en la implementación de la caja de herramientas de la UE de medidas de mitigación, desde el informe de progreso de julio de 2020, la mayoría de los Estados miembros ya están bien encaminados a implementar las medidas recomendadas. Ahora deben tener como objetivo completar su implementación para el segundo trimestre de 2021 y garantizar que los riesgos identificados se mitiguen adecuadamente, de manera coordinada, en particular con el fin de minimizar la exposición a proveedores de alto riesgo y evitar la dependencia de estos proveedores. La Comisión también establece hoy objetivos y acciones clave destinados a continuar el trabajo coordinado a nivel de la UE.

La vicepresidenta ejecutiva de A Europe Fit for the Digital Age, Margrethe Vestager, dijo: "Europa está comprometida con la transformación digital de nuestra sociedad y economía. Por lo tanto, debemos respaldarla con niveles de inversión sin precedentes. La transformación digital se está acelerando, pero solo puede tener éxito si las personas y las empresas pueden confiar en que los productos y servicios conectados, de los que dependen, son seguros ".

El Alto Representante Josep Borrell dijo: "La seguridad y la estabilidad internacionales dependen más que nunca de un ciberespacio global, abierto, estable y seguro en el que se respeten el estado de derecho, los derechos humanos, las libertades y la democracia. Con la estrategia de hoy, la UE se esfuerza por proteger sus gobiernos, ciudadanos y empresas de las amenazas cibernéticas globales, y para proporcionar liderazgo en el ciberespacio, asegurándose de que todos puedan aprovechar los beneficios de Internet y el uso de tecnologías ".

La vicepresidenta de promoción de nuestro estilo de vida europeo, Margaritis Schinas, dijo: "La ciberseguridad es una parte central de la Unión de la seguridad. Ya no existe una distinción entre amenazas en línea y fuera de línea. Lo digital y lo físico ahora están inextricablemente entrelazados. El conjunto de medidas de hoy muestra que el La UE está dispuesta a utilizar todos sus recursos y experiencia para prepararse y responder a las amenazas físicas y cibernéticas con el mismo nivel de determinación ".

El Comisario de Mercado Interior, Thierry Breton, dijo: "Las amenazas cibernéticas evolucionan rápidamente, son cada vez más complejas y adaptables. Para asegurarnos de que nuestros ciudadanos y nuestras infraestructuras estén protegidos, debemos pensar en varios pasos hacia adelante, el escudo de ciberseguridad autónomo y resistente de Europa significará que podemos utilizar nuestro experiencia y conocimiento para detectar y reaccionar más rápido, limitar los daños potenciales y aumentar nuestra capacidad de recuperación. Invertir en ciberseguridad significa invertir en el futuro saludable de nuestros entornos en línea y en nuestra autonomía estratégica ".

La comisaria de Asuntos de Interior, Ylva Johansson, dijo: "Nuestros hospitales, sistemas de aguas residuales o infraestructura de transporte son tan fuertes como sus eslabones más débiles; las interrupciones en una parte de la Unión corren el riesgo de afectar la prestación de servicios esenciales en otros lugares. Para garantizar el buen funcionamiento de los mercado y los medios de vida de los que viven en Europa, nuestra infraestructura clave debe ser resistente a riesgos como desastres naturales, ataques terroristas, accidentes y pandemias como la que estamos experimentando hoy. Mi propuesta sobre infraestructura crítica hace precisamente eso ".

Próximos pasos

La Comisión Europea y el Alto Representante se han comprometido a implementar la nueva Estrategia de Ciberseguridad en los próximos meses. Informarán periódicamente sobre los progresos realizados y mantendrán al Parlamento Europeo, al Consejo de la Unión Europea y a las partes interesadas plenamente informados y comprometidos en todas las acciones pertinentes. Corresponde ahora al Parlamento Europeo y al Consejo examinar y adoptar la Directiva NIS 2 propuesta y la Directiva de resiliencia de entidades críticas. Una vez que se acuerden las propuestas y, en consecuencia, se adopten, los Estados miembros tendrían que transponerlas dentro de los 18 meses siguientes a su entrada en vigor.

La Comisión revisará periódicamente la Directiva NIS 2 y la Directiva sobre resiliencia de las entidades críticas e informará sobre su funcionamiento. Antecedentes La ciberseguridad es una de las principales prioridades de la Comisión y una piedra angular de la Europa digital y conectada. Un aumento de los ciberataques durante la crisis del coronavirus ha demostrado lo importante que es proteger hospitales, centros de investigación y otras infraestructuras. Se necesita una acción enérgica en el área para preparar la economía y la sociedad de la UE para el futuro. La nueva estrategia de ciberseguridad propone integrar la ciberseguridad en todos los elementos de la cadena de suministro y aunar más las actividades y recursos de la UE en las cuatro comunidades de ciberseguridad: mercado interior, aplicación de la ley, diplomacia y defensa.

Se basa en la estrategia de la Unión Europea "Dar forma al futuro digital de Europa" y en la Unión de seguridad de la UE, y se apoya en una serie de actos legislativos, acciones e iniciativas que la UE ha implementado para fortalecer las capacidades de ciberseguridad y garantizar una Europa más ciberresiliente. Esto incluye la estrategia de ciberseguridad de 2013, revisada en 2017, y la Agenda Europea de Seguridad 2015-2020 de la Comisión. También reconoce la creciente interconexión entre la seguridad interna y externa, en particular a través de la Política Exterior y de Seguridad Común. La primera ley europea sobre ciberseguridad, la Directiva NIS, que entró en vigor en 2016 ayudó a lograr un alto nivel común de seguridad de las redes y los sistemas de información en toda la UE. Como parte de su objetivo político clave de adaptar Europa a la era digital, la Comisión anunció la revisión de la Directiva NIS en febrero de este año.

La Ley de Ciberseguridad de la UE que está en vigor desde 2019 dotó a Europa de un marco de certificación de ciberseguridad de productos, servicios y procesos y reforzó el mandato de la Agencia de la UE para la Ciberseguridad (ENISA). En cuanto a la ciberseguridad de las redes 5G, los Estados miembros, con el apoyo de la Comisión y ENISA, han establecido, con la Caja de herramientas 5G de la UE adoptada en enero de 2020, un enfoque global y objetivo basado en el riesgo. La revisión de la Comisión de su Recomendación de marzo de 2019 sobre la ciberseguridad de las redes 5G encontró que la mayoría de los estados miembros han avanzado en la implementación de la Caja de herramientas. A partir de la estrategia de ciberseguridad de la UE de 2013, la UE ha desarrollado una política cibernética internacional coherente y holística.

Trabajando con sus socios a nivel bilateral, regional e internacional, la UE ha promovido un ciberespacio global, abierto, estable y seguro guiado por los valores fundamentales de la UE y basado en el estado de derecho. La UE ha ayudado a terceros países a aumentar su resiliencia cibernética y su capacidad para hacer frente a la ciberdelincuencia, y ha utilizado su caja de herramientas de ciberdiplomacia de la UE de 2017 para contribuir aún más a la seguridad internacional y la estabilidad en el ciberespacio, incluso aplicando por primera vez su régimen de sanciones cibernéticas enumerando 2019 personas y 8 entidades y organismos. La UE también ha realizado importantes avances en la cooperación en materia de ciberdefensa, incluso en lo que respecta a las capacidades de ciberdefensa, especialmente en el marco de su Marco de Política de Ciberdefensa (CDPF), así como en el contexto de la Cooperación Estructurada Permanente (CEP) y el trabajo de la Agencia Europea de Defensa. La ciberseguridad es una prioridad que también se refleja en el próximo presupuesto a largo plazo de la UE (4-2021).

En el marco del Programa Europa Digital, la UE apoyará la investigación, la innovación y la infraestructura en ciberseguridad, la ciberdefensa y la industria de la ciberseguridad de la UE. Además, en su respuesta a la crisis del coronavirus, que experimentó un aumento de los ataques cibernéticos durante el bloqueo, se garantizan inversiones adicionales en ciberseguridad en el marco del Plan de recuperación para Europa. La UE ha reconocido desde hace mucho tiempo la necesidad de garantizar la resistencia de las infraestructuras críticas que prestan servicios que son esenciales para el buen funcionamiento del mercado interior y la vida y los medios de subsistencia de los ciudadanos europeos. Por esta razón, la UE estableció el Programa Europeo para la Protección de Infraestructuras Críticas (EPCIP) en 2006 y adoptó la Directiva Europea de Infraestructuras Críticas (ECI) en 2008, que se aplica a los sectores de energía y transporte. Estas medidas se complementaron en años posteriores con diversas medidas sectoriales e intersectoriales en aspectos específicos como la impermeabilización climática, la protección civil o la inversión extranjera directa.

Comparte este artículo: