Nuevas normas de la UE para impulsar la ciberseguridad en sus instituciones y organismos

La Comisión Europa ha propuesto hoy nuevas normas para establecer medidas comunes de ciberseguridad y seguridad de la información en todas las instituciones, órganos y organismos de la UE. La propuesta tiene por objeto reforzar su resistencia y capacidad de respuesta frente a las amenazas e incidentes cibernéticos, así como garantizar una administración pública de la UE resistente y segura, en medio del aumento de las actividades cibernéticas maliciosas en el panorama mundial.

El Comisario de Presupuesto y Administración, Johannes Hahn, ha explicado que "en un entorno conectado, un solo incidente de ciberseguridad puede afectar a toda una organización. Por eso es fundamental construir un sólido escudo contra las ciberamenazas y los incidentes que puedan perturbar nuestra capacidad de actuación”. Según Hahn, “los reglamentos que proponemos hoy son un hito en el panorama de la ciberseguridad y la seguridad de la información de la UE. Se basan en el refuerzo de la cooperación y el apoyo mutuo entre las instituciones, organismos, oficinas y agencias de la UE, y en una preparación y respuesta coordinadas. Se trata de un verdadero esfuerzo colectivo de la UE".

En el contexto de la pandemia COVID-19 y de los crecientes desafíos geopolíticos, como la reciente invasión de las fuerzas militares rusas a Ucrania, parece imprescindible un enfoque conjunto de la ciberseguridad y la seguridad de la información. Ante esto, la Comisión Europa ha propuesto un “Reglamento de Ciberseguridad y un Reglamento de Seguridad de la Información” específicos. Al establecer prioridades y marcos comunes, estas normas reforzarán aún más la cooperación interinstitucional, minimizarán la exposición al riesgo y fortalecerán aún más la cultura de seguridad de la UE.

Reglamento de ciberseguridad

El Reglamento de ciberseguridad propuesto establecerá un marco de gobernanza, gestión de riesgos y control en el ámbito de la ciberseguridad. Dará lugar a la creación de un nuevo Consejo de Ciberseguridad interinstitucional, impulsará las capacidades de ciberseguridad y estimulará las evaluaciones periódicas de madurez y la mejora de la ciberhigiene. También ampliará el mandato del Equipo de Respuesta a Emergencias Informáticas para las instituciones, organismos, oficinas y agencias de la UE (CERT-UE), como centro de coordinación de inteligencia sobre amenazas, intercambio de información y respuesta a incidentes, órgano consultivo central y proveedor de servicios.

Elementos clave de la propuesta de Reglamento de Ciberseguridad:

• Reforzar el mandato del CERT-UE y proporcionar los recursos que necesita para cumplirlo.
• Exigir a todas las instituciones, organismos, oficinas y agencias de la UE que dispongan de un marco de gobernanza, gestión de riesgos y control en el ámbito de la ciberseguridad.
• Implementar una línea de base de medidas de ciberseguridad que aborden los riesgos identificados.
• Llevar a cabo evaluaciones periódicas de madurez.
• Poner en marcha un plan de mejora de su ciberseguridad, aprobado por la dirección de la entidad.
• Compartir la información relacionada con los incidentes con el CERT-UE sin demoras indebidas.
• Crear un nuevo Consejo de Ciberseguridad interinstitucional para impulsar y supervisar la aplicación del reglamento y dirigir el CERT-UE;
• Cambiar el nombre del CERT-UE de "Equipo de Respuesta a Emergencias Informáticas" a "Centro de Ciberseguridad", en consonancia con la evolución en los Estados miembros y a nivel mundial, pero mantener el nombre corto "CERT-UE" para que se reconozca.

Reglamento de seguridad de la información

El Reglamento de Seguridad de la Información propuesto creará un conjunto mínimo de reglas y normas de seguridad de la información para todas las instituciones, organismos, oficinas y agencias de la UE, con el fin de garantizar una protección mejorada y coherente contra las cambiantes amenazas a su información. Estas nuevas normas proporcionarán una base estable para un intercambio seguro de información entre las instituciones, órganos y organismos de la UE, y con los Estados miembros, sobre la base de prácticas y medidas normalizadas para proteger los flujos de información.

Los elementos clave de la propuesta de Reglamento de Seguridad de la Información son:

• Establecer una gobernanza eficaz para fomentar la cooperación entre todas las instituciones, órganos y organismos de la UE, es decir, un grupo interinstitucional de coordinación de la seguridad de la información.
• Establecer un enfoque común para la categorización de la información basado en el nivel de confidencialidad.
• Modernizar las políticas de seguridad de la información, incluyendo plenamente la transformación digital y el trabajo a distancia.
• Racionalizar las prácticas actuales y lograr una mayor compatibilidad entre los sistemas y dispositivos pertinentes.

En una resolución del pasado marzo de 2021, el Consejo de la Unión Europea ya destacó la importancia de un marco de seguridad sólido y coherente para proteger a todo el personal, los datos, las redes de comunicación, los sistemas de información y los procesos de toma de decisiones de la UE. Según la institución comunitaria, esto solo puede lograrse mediante el aumento de la resistencia y la mejora de la cultura de seguridad de las instituciones, órganos y organismos de la UE.

Siguiendo la Estrategia de la Unión de la Seguridad de la UE y la Estrategia de Ciberseguridad de la UE, el Reglamento de Ciberseguridad que se acaba de proponer garantizará la coherencia con las políticas de ciberseguridad de la UE ya existentes, en plena consonancia con la legislación europea actual:

• La Directiva sobre la seguridad de las redes y los sistemas de información (Directiva NIS) y la futura Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión ("NIS 2") que la Comisión propuso en diciembre de 2020.
• La Ley de Ciberseguridad.
• La Recomendación de la Comisión sobre la creación de una Unidad Cibernética Conjunta.
• La Recomendación de la Comisión sobre la respuesta coordinada a incidentes y crisis de ciberseguridad a gran escala.

Teniendo en cuenta la cantidad cada vez mayor de información sensible no clasificada y clasificada de la UE que manejan las instituciones, órganos, oficinas y agencias de la UE, el Reglamento de Seguridad de la Información propuesto tiene por objeto aumentar la protección de la información, racionalizando los diferentes marcos jurídicos de las instituciones, órganos, oficinas y agencias de la Unión en este ámbito.

La propuesta está en consonancia con la Estrategia de la Unión de Seguridad de la UE, que incluye un compromiso global de la UE para complementar los esfuerzos de los Estados miembros en todos los ámbitos de la seguridad, la característica clave de la Agenda Estratégica para 2019-2024, adoptada por el Consejo Europeo en junio de 2019, para proteger a nuestras sociedades de las amenazas en constante evolución dirigidas a la información, manejada por las instituciones, órganos y agencias de la UE y las Conclusiones del Consejo de Asuntos Generales de diciembre de 201, en las que se les pide a estas, con el apoyo de los Estados miembros, que desarrollen y apliquen un conjunto completo de medidas para garantizar su seguridad.