El Consejo Europeo adopta dos nuevas normas para reforzar las capacidades de ciberseguridad de la UE

El Consejo Europeo ha dado luz verde a dos nuevos reglamentos clave que buscan reforzar la seguridad digital en la región. Estas medidas, que forman parte del paquete legislativo de ciberseguridad, son el Reglamento de Cibersolidaridad y una modificación específica del Reglamento sobre la Ciberseguridad de 2019.

El nuevo Reglamento de Cibersolidaridad establece las capacidades de la UE para que Europa sea más resiliente en caso de recibir ciberamenazas, además de reforzar los mecanismos de cooperación. Entre otras cosas, establece un sistema de alerta de seguridad, una infraestructura paneuropea integrada por centros cibernéticos nacionales y transfronterizos de toda la UE. Se trata de entidades encargadas de compartir información, detectar ciberamenazas y actuar contra ellas. Utilizarán tecnología de vanguardia, como la inteligencia artificial (IA) y el análisis avanzado de datos, para detectar ciberamenazas e incidentes transfronterizos y alertar sobre ellos puntualmente. Reforzarán el marco europeo existente y, a su vez, las autoridades y las entidades pertinentes podrán responder de manera más eficiente y eficaz a incidentes de ciberseguridad.

El nuevo Reglamento también prevé la creación de un mecanismo de emergencia de ciberseguridad para aumentar la preparación y mejorar las capacidades de respuesta a incidentes en la UE. Por último, establece un mecanismo de revisión de incidentes para valorar, entre otras cosas, la eficacia de las medidas tomadas en el marco del mecanismo de ciberemergencia y el uso de la reserva de ciberseguridad, así como la contribución de dicho Reglamento al refuerzo de la posición competitiva de los sectores industrial y de servicios.

Esta enmienda tiene por objetivo mejorar la ciberresiliencia de la UE al permitir la futura adopción de esquemas europeos de certificación para los llamados "servicios de seguridad gestionados". La nueva norma reconoce la importancia cada vez mayor de los servicios de seguridad gestionados para prevenir y detectar incidentes de seguridad, para darles respuesta y para recuperarse una vez se produzcan. Estos servicios pueden consistir, por ejemplo, en la gestión de incidentes, en pruebas de penetración, en auditorías de seguridad y en consultoría relacionada con el apoyo técnico.

A la espera de los resultados de la revisión del Reglamento sobre la Ciberseguridad, esta modificación específica permitirá establecer esquemas europeos de certificación para dichos servicios de seguridad gestionados. Contribuirá a aumentar su calidad y comparabilidad, fomentará la aparición de proveedores de servicios de ciberseguridad de confianza y evitará la fragmentación del mercado interior, dado que algunos Estados miembros ya han iniciado la adopción de esquemas nacionales de certificación para los servicios de seguridad gestionados.

El 18 de abril de 2023, la Comisión adoptó la propuesta de Reglamento por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder una vez se produzcan —el denominado Reglamento de Cibersolidaridad—, junto con una propuesta de modificación específica del Reglamento sobre la Ciberseguridad. El Reglamento sobre la Ciberseguridad, adoptado en 2019, estableció el primer marco de certificación de la ciberseguridad para todos los Estados miembros.

La primera propuesta de la Comisión introduce un ciberescudo europeo, integrado por centros de operaciones de seguridad, agrupados en varias plataformas de centros de operaciones de seguridad de varios países y financiadas por el programa Europa Digital. La segunda propuesta tiene por objetivo una modificación específica del ámbito de aplicación del Reglamento sobre la Ciberseguridad, que permite a la Comisión adoptar actos de ejecución en materia de esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados, además de los productos, servicios y procesos de las tecnologías de la información y de las comunicaciones (TIC), que ya están cubiertos por el actual Reglamento sobre la Ciberseguridad. El 6 de marzo de 2024, los colegisladores alcanzaron un acuerdo provisional sobre ambas propuestas, que alteraba los conceptos de "ciberescudo europeo" y "centros de operaciones de seguridad" en comparación con la propuesta inicial de la Comisión.

Tras la firma de los presidentes del Consejo y del Parlamento Europeo, ambos actos legislativos se publicarán en el Diario Oficial de la Unión Europea en las próximas semanas y entrarán en vigor a los veinte días de su publicación.