Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
El Comité Europeo de las Regiones (CDR) propone en su Dictamen dos tipos de Recomendaciones: unas, de Enmienda y otras, de Políticas. En las Recomendaciones de Enmienda algunas se refieren a considerandos, artículos, parágrafos de la Propuesta de un Reglamento del Parlamento Europeo y del Consejo por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse y responder a ellos.
Entre las Recomendaciones Políticas, el Comité Europeo de las Regiones (CDR) acoge favorablemente la propuesta de Reglamento. En la actualidad los Estados miembros de la UE están estrechamente vinculados entre sí y conectados en redes digitales, algo que irá en aumento en los próximos años. Por consiguiente, el Comité acoge con satisfacción la iniciativa de la Comisión de abordar conjuntamente las ciberamenazas que son consecuencia de la creciente digitalización. En la propuesta se hace referencia al creciente número de cíberincidentes, en particular en los ámbitos en los que tienen competencias las regiones y las ciudades. Se hace hincapié en la necesidad de prepararse para los incidentes en ámbitos de funcionamiento críticos para la sociedad, responder y aprender de ellos. El CDR considera que las propuestas de la Comisión pueden contribuir a aumentar la resiliencia digital de la Unión.
Entre las Posiciones relativas a las esferas de actuación de la propuesta, el Dictamen hace referencia al: Ciberescudo europeo, los Mecanismo de Revisión de Incidentes de Ciberseguridad, los Mecanismos de Revisión de Incidentes de Ciberseguridad.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com ___________________________________________________________________
Diario Oficial de la Unión Europea |
ES
Serie C |
C/2024/1049 | 9.2.2024 |
Dictamen del Comité Europeo de las Regiones — Ley de Cibersolidaridad de la UE y resiliencia digital
(C/2024/1049)
|
I. RECOMENDACIONES DE ENMIENDA
COM(2023) 209
Enmienda 1
Considerando 1
Texto de la Comisión Europea | Enmienda del CDR |
La utilización y dependencia de las tecnologías de la información y la comunicación constituyen un elemento esencial en todos los sectores de actividad económica, ya que tanto nuestras administraciones públicas como nuestras empresas y ciudadanos están más interconectados y son más interdependientes que nunca, en todos los sectores y por encima de todas las fronteras. | La utilización y dependencia de las tecnologías de la información y la comunicación constituyen un elemento esencial —pero también han puesto de manifiesto vulnerabilidades— en todos los sectores de actividad económica, ya que tanto nuestras administraciones públicas como nuestras empresas y ciudadanos están más interconectados y son más interdependientes que nunca, en todos los sectores y por encima de todas las fronteras. |
Exposición de motivos
Se considera innecesaria.
Enmienda 2
Considerando 3
Texto de la Comisión Europea | Enmienda del CDR |
Es necesario afianzar la posición competitiva de los sectores de la industria y los servicios de la Unión en el conjunto de la economía digitalizada y apoyar su transformación digital reforzando el nivel de ciberseguridad en el mercado único digital. Tal como se recomendó en tres propuestas distintas de la Conferencia sobre el Futuro de Europa, es necesario aumentar la resiliencia de los ciudadanos, las empresas y las entidades que gestionan infraestructuras críticas frente a las crecientes amenazas a la ciberseguridad, que pueden tener repercusiones sociales y económicas devastadoras. […] | Es necesario afianzar la posición competitiva de los sectores de la industria y los servicios de la Unión en el conjunto de la economía digitalizada y apoyar su transformación digital reforzando el nivel de ciberseguridad en el mercado único digital. Tal como se recomendó en tres propuestas distintas de la Conferencia sobre el Futuro de Europa, es necesario aumentar la resiliencia de los ciudadanos, las empresas , la administración pública a nivel nacional, regional y local y las entidades que gestionan infraestructuras críticas frente a las crecientes amenazas a la ciberseguridad, que pueden tener repercusiones sociales y económicas devastadoras. […] |
Exposición de motivos
Las administraciones regionales y locales prestan servicios de proximidad a la ciudadanía que son igualmente críticos para la sociedad; constituyen además uno de los elementos principales de un mercado europeo dinámico.
Enmienda 3
Considerando 29
Texto de la Comisión Europea | Enmienda del CDR |
Como parte de las acciones de preparación, a fin de promover un enfoque coherente y reforzar la seguridad en toda la Unión y su mercado interior, debe prestarse apoyo para la puesta a prueba y la evaluación de la ciberseguridad de las entidades que operan en los sectores muy críticos determinados de conformidad con la Directiva (UE) 2022/2555 de manera coordinada. A tal fin, la Comisión, con el apoyo de la ENISA y en cooperación con el Grupo de Cooperación SRI establecido por la Directiva (UE) 2022/2555, debe determinar periódicamente los sectores o subsectores pertinentes, los cuales deben poder optar a recibir ayuda financiera para la realización de pruebas coordinadas a escala de la Unión. Los sectores o subsectores deben seleccionarse del anexo I de la Directiva (UE) 2022/2555 («Sectores de alta criticidad»). Los ejercicios de pruebas coordinados […]. | Como parte de las acciones de preparación, a fin de promover un enfoque coherente y reforzar la seguridad en toda la Unión y su mercado interior, debe prestarse apoyo para la puesta a prueba y la evaluación de la ciberseguridad de las entidades que operan en los sectores muy críticos determinados de conformidad con la Directiva (UE) 2022/2555 de manera coordinada. A tal fin, la Comisión, con el apoyo de la ENISA y en cooperación con el Grupo de Cooperación SRI establecido por la Directiva (UE) 2022/2555, debe determinar periódicamente los sectores o subsectores pertinentes, los cuales deben poder optar a recibir ayuda financiera para la realización de pruebas coordinadas a escala de la Unión. Los sectores o subsectores, así como los organismos de la administración pública de nivel regional y local, independientemente de que se consideren «muy críticos» con arreglo a la legislación nacional, deben seleccionarse del anexo I de la Directiva (UE) 2022/2555 («Sectores de alta criticidad»). Los ejercicios de pruebas coordinados […]. |
Exposición de motivos
Dado que los Estados miembros tienen la posibilidad de excluir a los entes regionales y locales del ámbito de aplicación de la Directiva SRI 2 (1), debe garantizarse que, para compensar, estos sean tenidos en cuenta en la Ley de Cibersolidaridad.
Enmienda 4
Considerando 30
Texto de la Comisión Europea | Enmienda del CDR |
Además, el Mecanismo de Ciberemergencia debe respaldar otras acciones de preparación y apoyo a la preparación en otros sectores no cubiertos por las pruebas coordinadas de entidades que operan en sectores muy críticos. Estas acciones podrían incluir diversos tipos de actividades nacionales de preparación. | Además, el Mecanismo de Ciberemergencia debe respaldar otras acciones de preparación y apoyo a la preparación en otros sectores no cubiertos por las pruebas coordinadas de entidades que operan en sectores críticos . El mismo principio debe aplicarse a la administración pública, independientemente de que se considere un sector crítico con arreglo a la legislación nacional . Estas acciones podrían incluir diversos tipos de actividades nacionales de preparación. |
Exposición de motivos
Los entes regionales y locales deberían tener la posibilidad de recurrir al apoyo del Mecanismo de Ciberemergencia.
Enmienda 5
Considerando 33
Texto de la Comisión Europea | Enmienda del CDR |
Debe crearse gradualmente una reserva de ciberseguridad a escala de la Unión, compuesta por servicios de proveedores privados de servicios de seguridad gestionados para apoyar las acciones de respuesta y recuperación inmediata en caso de incidentes de ciberseguridad significativos o a gran escala. La Reserva de Ciberseguridad de la UE debe garantizar la disponibilidad y el estado de preparación de los servicios. Los servicios de la Reserva de Ciberseguridad de la UE deben servir para ayudar a las autoridades nacionales a prestar asistencia a las entidades afectadas que operen en sectores críticos o muy críticos como complemento de sus propias acciones a nivel nacional. Al solicitar el apoyo de la Reserva de Ciberseguridad de la UE, los Estados miembros deben especificar el apoyo prestado a la entidad afectada a nivel nacional, que debe tenerse en cuenta al evaluar la solicitud del Estado miembro. Los servicios de la Reserva de Ciberseguridad de la UE también pueden servir para apoyar a las instituciones, órganos y organismos de la Unión, en condiciones similares. | Debe crearse gradualmente una reserva de ciberseguridad a escala de la Unión, compuesta por servicios de proveedores privados de servicios de seguridad gestionados para apoyar las acciones de respuesta y recuperación inmediata en caso de incidentes de ciberseguridad significativos o a gran escala. La Reserva de Ciberseguridad de la UE debe garantizar la disponibilidad y el estado de preparación de los servicios. Los servicios de la Reserva de Ciberseguridad de la UE deben servir para ayudar a las autoridades nacionales a prestar asistencia a las entidades afectadas como complemento de sus propias acciones a nivel nacional. Al solicitar el apoyo de la Reserva de Ciberseguridad de la UE, los Estados miembros deben especificar el apoyo prestado a la entidad afectada a nivel nacional, que debe tenerse en cuenta al evaluar la solicitud del Estado miembro. Los servicios de la Reserva de Ciberseguridad de la UE también pueden servir para apoyar a las instituciones, órganos y organismos de la Unión, en condiciones similares. |
Exposición de motivos
Las entidades afectadas deben recibir apoyo de la Reserva de Ciberseguridad de la UE no solo cuando operen en sectores críticos o muy críticos.
Enmienda 6
Artículo 1, apartado 2, letra b)
Texto de la Comisión Europea | Enmienda del CDR |
consolidar la preparación de las entidades que operan en sectores críticos y muy críticos en toda la Unión y reforzar la solidaridad mediante el desarrollo de capacidades comunes de respuesta frente a incidentes de ciberseguridad significativos o a gran escala, en particular poniendo el apoyo de la Unión a la respuesta a incidentes de ciberseguridad a disposición de terceros países asociados al programa Europa Digital; | consolidar la preparación de las entidades que operan en sectores críticos y muy críticos , así como de los organismos de la administración pública a nivel nacional y subnacional, en toda la Unión y reforzar la solidaridad mediante el desarrollo de capacidades comunes de respuesta frente a incidentes de ciberseguridad significativos o a gran escala, en particular poniendo el apoyo de la Unión a la respuesta a incidentes de ciberseguridad a disposición de terceros países asociados al programa Europa Digital; |
Exposición de motivos
Las autoridades de los entes subnacionales también deben entrar en el ámbito de aplicación de este Reglamento.
Enmienda 7
Artículo 4, apartado 1, párrafo segundo
Texto de la Comisión Europea | Enmienda del CDR |
Tendrá la capacidad de actuar como punto de referencia y pasarela a otras organizaciones públicas y privadas a nivel nacional para recopilar y analizar información sobre amenazas e incidentes de ciberseguridad y contribuir a un COS transfronterizo. […] | Tendrá la capacidad de actuar como punto de referencia y pasarela a otras organizaciones públicas y privadas a nivel nacional y subnacional para recopilar y analizar información sobre amenazas e incidentes de ciberseguridad y contribuir a un COS transfronterizo. […] |
Exposición de motivos
Los centros de operaciones de seguridad nacionales («COS») también deberían recopilar y analizar información de las entidades de los niveles regional y local.
Enmienda 8
Artículo 5, apartado 2
Texto de la Comisión Europea | Enmienda del CDR |
Tras una convocatoria de manifestaciones de interés, el ECCC seleccionará un consorcio anfitrión para que participe con él en una adquisición conjunta de herramientas e infraestructuras. El ECCC podrá conceder al consorcio anfitrión una subvención para financiar el funcionamiento de dichas herramientas e infraestructuras. La contribución financiera de la Unión sufragará hasta el 75 % de los costes de adquisición de las herramientas e infraestructuras y hasta el 50 % de los costes de funcionamiento, y los costes restantes correrán a cargo del consorcio anfitrión. Antes de iniciar el procedimiento para la adquisición de las herramientas e infraestructuras, el ECCC y el consorcio anfitrión celebrarán un acuerdo de alojamiento y uso que regule el uso de las herramientas e infraestructuras. | Tras una convocatoria de manifestaciones de interés, el ECCC seleccionará un consorcio anfitrión para que participe con él en una adquisición conjunta de herramientas e infraestructuras. El ECCC podrá conceder al consorcio anfitrión una subvención para financiar el funcionamiento de dichas herramientas e infraestructuras. La contribución financiera de la Unión sufragará hasta el 75 % de los costes de adquisición de las herramientas e infraestructuras y hasta el 50 % de los costes de funcionamiento, y los costes restantes los sufragará el consorcio anfitrión con cargo a otros fondos distintos de los previstos en el Reglamento (UE) 2021/1060 (Reglamento sobre Disposiciones Comunes) . Antes de iniciar el procedimiento para la adquisición de las herramientas e infraestructuras, el ECCC y el consorcio anfitrión celebrarán un acuerdo de alojamiento y uso que regule el uso de las herramientas e infraestructuras. |
Exposición de motivos
Las medidas en el marco de la Ley de Cibersolidaridad no deberían financiarse con cargo a los programas de la política de cohesión.
Enmienda 9
Artículo 9, apartado 1
Texto de la Comisión Europea | Enmienda del CDR |
Se crea un Mecanismo de Ciberemergencia para mejorar la resiliencia de la Unión ante las principales amenazas para la ciberseguridad, prepararla para los efectos a corto plazo de los incidentes de ciberseguridad significativos y a gran escala, y mitigar dichos efectos, en un espíritu de solidaridad (el «Mecanismo»). | Se crea un Mecanismo de Ciberemergencia para mejorar la resiliencia de la Unión ante las amenazas para la ciberseguridad, prepararla para los efectos a corto plazo de los incidentes de ciberseguridad significativos y a gran escala, y mitigar dichos efectos, en un espíritu de solidaridad (el «Mecanismo»). |
Exposición de motivos
El Mecanismo de Ciberemergencia debería servir para prepararse para los efectos a corto plazo de todo tipo de incidentes de ciberseguridad y mitigarlos.
Enmienda 10
Artículo 10, apartado 2 (nuevo)
Texto de la Comisión Europea | Enmienda del CDR |
2. La Comisión elaborará un informe anual en el que evaluará el funcionamiento del Mecanismo y si existe la necesidad de introducir requisitos adicionales de cooperación o formación. |
Exposición de motivos
La Comisión debe presentar informes periódicos, ya que la ciberseguridad es un ámbito dinámico, por lo que es necesario adaptar rápidamente los requisitos a la realidad.
Enmienda 11
Artículo 11, apartado 1
Texto de la Comisión Europea | Enmienda del CDR |
Con el fin de apoyar las pruebas coordinadas de preparación de las entidades a que se refiere el artículo 10, apartado 1, letra a), en toda la Unión, la Comisión, previa consulta al Grupo de Cooperación SRI y a la ENISA, determinará, a partir de los sectores de alta criticidad enumerados en el anexo I de la Directiva (UE) 2022/2555, los sectores o subsectores afectados cuyas entidades podrán ser objeto de las pruebas coordinadas de preparación, teniendo en cuenta las evaluaciones de riesgos y las pruebas de resiliencia coordinadas existentes y previstas a escala de la Unión. | Con el fin de apoyar las pruebas coordinadas de preparación de las entidades a que se refiere el artículo 10, apartado 1, letra a), en toda la Unión, la Comisión, previa consulta al Grupo de Cooperación SRI y a la ENISA, determinará, a partir de los sectores de alta criticidad enumerados en el anexo I de la Directiva (UE) 2022/2555 , incluidas las administraciones públicas a escala local , los sectores o subsectores afectados cuyas entidades podrán ser objeto de las pruebas coordinadas de preparación, teniendo en cuenta las evaluaciones de riesgos y las pruebas de resiliencia coordinadas existentes y previstas a escala de la Unión. |
Exposición de motivos
Los entes regionales y locales deberían tener la posibilidad de recurrir al apoyo del Mecanismo de Ciberemergencia. Esta enmienda introduce en el articulado de la propuesta la solicitud efectuada por el ponente en su recomendación de enmienda n.o 3 (relativa al considerando 30).
Enmienda 12
Artículo 14, apartado 2, letra b)
Texto de la Comisión Europea | Enmienda del CDR |
el tipo de entidad afectada, dando mayor prioridad a los incidentes que afecten a entidades esenciales según se definen en el artículo 3, apartado 1, de la Directiva (UE) 2022/2555; | el tipo de entidad afectada, incluidos los organismos de la administración pública de nivel regional y local, dando mayor prioridad a los incidentes que afecten a entidades esenciales según se definen en el artículo 3, apartado 1, de la Directiva (UE) 2022/2555; |
Exposición de motivos
El objetivo es precisar el ámbito de aplicación añadiendo una mención a la participación de las entidades subnacionales.
Enmienda 13
Artículo 18, apartado 1
Texto de la Comisión Europea | Enmienda del CDR |
A petición de la Comisión, de EU-CyCLONe o de la red de CSIRT, la ENISA revisará y evaluará las amenazas, vulnerabilidades y medidas de mitigación con respecto a un incidente específico de ciberseguridad significativo o a gran escala. Una vez finalizada la revisión y evaluación de un incidente, la ENISA presentará un informe de revisión del incidente a la red de CSIRT, a EU-CyCLONe y a la Comisión para ayudarlos en el desempeño de sus cometidos, en particular a la luz de los establecidos en los artículos 15 y 16 de la Directiva (UE) 2022/2555. Cuando proceda, la Comisión dará a conocer el informe al Alto Representante. | A petición de la Comisión, de EU-CyCLONe o de la red de CSIRT, la ENISA revisará y evaluará las amenazas, vulnerabilidades y medidas de mitigación con respecto a un incidente específico de ciberseguridad significativo o a gran escala. Una vez finalizada la revisión y evaluación de un incidente, la ENISA presentará un informe de revisión del incidente a la red de CSIRT, a EU-CyCLONe y a la Comisión para ayudarlos en el desempeño de sus cometidos, en particular a la luz de los establecidos en los artículos 15 y 16 de la Directiva (UE) 2022/2555. En la medida de lo posible, la red de CSIRT transmitirá el informe a las autoridades de nivel subnacional. Cuando proceda, la Comisión dará a conocer el informe al Alto Representante. |
Exposición de motivos
El objetivo es precisar el ámbito de aplicación añadiendo una mención a la participación de las entidades subnacionales.
II. RECOMENDACIONES POLÍTICAS
POSICIÓN DEL COMITÉ EUROPEO DE LAS REGIONES
El Comité Europeo de las Regiones (CDR) acoge favorablemente la propuesta de Reglamento de la Comisión Europea relativo al refuerzo de la cooperación europea en materia de ciberseguridad. En la actualidad los Estados miembros de la UE están estrechamente vinculados entre sí y conectados en redes digitales, algo que irá en aumento en los próximos años. Por consiguiente, el Comité acoge con satisfacción la iniciativa de la Comisión de abordar conjuntamente las ciberamenazas que son consecuencia de la creciente digitalización. En la propuesta se hace referencia al creciente número de ciberincidentes, en particular en los ámbitos en los que tienen competencias las regiones y las ciudades. Se hace hincapié en la necesidad de prepararse para los incidentes en ámbitos de funcionamiento críticos para la sociedad, responder a ellos y aprender de ellos. El CDR considera que las propuestas de la Comisión pueden contribuir a aumentar la resiliencia digital de la Unión.
1. | Para lograr el objetivo de una Europa resiliente desde el punto de vista digital, los políticos y la ciudadanía han de entender la necesidad de aunar fuerzas en el ámbito de la ciberseguridad. Por consiguiente, el CDR pide a los Estados miembros, a la Comisión y a todos los entes locales que trabajen de común acuerdo para sensibilizar sobre la necesidad de actuar —incluida la necesidad de aumentar las inversiones en resiliencia digital, en particular en los niveles local y regional—, y que sopesen la posibilidad de desarrollar instrumentos políticos de protección centrados en los ataques con programas de secuestro de archivos con fines de chantaje. Esto requiere medidas financieras, técnicas y de cualificación adecuadas; |
2. | El Comité toma nota de que, en muchos aspectos, la propuesta hace referencia a la Directiva SRI 2 y se basa en ella. Al transponer la Directiva SRI 2 a nivel nacional, cada Estado miembro determina si las autoridades locales se incluyen en su ámbito de aplicación (2). Habida cuenta de que, a efectos de la aplicación de la Directiva SRI 2, cada Estado miembro puede decidir si define a los municipios como entidades esenciales o importantes, cualquier diferencia entre países tendrá repercusiones en el planteamiento que adopten los Estados miembros respecto de la Ley de Cibersolidaridad en la versión actual de la propuesta. Al objeto de que las autoridades locales responsables de servicios esenciales de algunos Estados miembros no queden excluidas del ámbito de aplicación de la Ley de Cibersolidaridad, en el texto legislativo debe aclararse que estas autoridades se consideran dentro de su ámbito de aplicación, independientemente de que estén o no cubiertas por la Directiva SRI 2; |
3. | Reconociendo que la ciberseguridad constituye una piedra angular de la interoperabilidad digital, señala que es imperativo que los esfuerzos por mejorar la interoperabilidad entre las regiones vayan respaldados por medidas de ciberseguridad sólidas, a fin de garantizar que las ciberamenazas no obstaculicen la interoperabilidad entre las regiones de toda Europa; |
4. | Las ciudades y regiones deben recibir un apoyo concreto de las estructuras que vayan a crearse y no solo estar obligadas a comunicarles información. Por consiguiente, el Comité pide más aclaraciones sobre la manera en que se prestará apoyo a las regiones, en particular también con vistas a aumentar el nivel de ciberseguridad en los municipios pequeños. |
Posiciones relativas a las esferas de actuación de la propuesta
El ciberescudo europeo
El despliegue de una infraestructura paneuropea de centros de operaciones de seguridad para desarrollar y mejorar las capacidades comunes para detectar, analizar y tratar datos sobre ciberamenazas y ciberincidentes.
5. | Con el fin de obtener una visión global del estado actual de la ciberseguridad en la UE, es necesario agregar información, evaluaciones de riesgos, amenazas e incidentes, procedentes también de los proveedores de sistemas locales y nacionales. El CDR considera problemático que no existan incentivos y procedimientos claros sobre cómo las ciudades y regiones pueden contribuir activamente a reforzar la resiliencia digital. La participación del nivel regional y local es sumamente importante, ya que precisamente son ellos los que disponen de soluciones digitales que están expuestas a ataques. Por consiguiente, es preciso crear un entorno en el que las ciudades y regiones puedan y deban participar como socios en los esfuerzos por reforzar la ciberseguridad en la Unión. |
6. | En una serie de estudios el Comité ha constatado que existen grandes diferencias en el nivel de madurez entre los Estados miembros en cuanto a las medidas de protección y seguridad adoptadas. Incluso dentro de los propios Estados miembros existen diferencias significativas, por ejemplo, entre las autoridades nacionales y las autoridades locales más pequeñas, tanto en cuanto a las capacidades como a los objetivos de ciberseguridad. El Comité considera que, por esta razón, el Reglamento debería contribuir a reducir estas diferencias y garantizar que todas las partes interesadas tengan capacidades y objetivos relativamente equivalentes. |
7. | El Comité llama la atención sobre el riesgo de que las tareas de la nueva red de centros de operaciones de seguridad nacionales y transfronterizos se solapen con las de la red de equipos de respuesta a incidentes de seguridad informática (CSIRT) (3). Si se crean centros de seguridad nacionales junto con equipos de respuesta a incidentes de seguridad informática, será necesario definir claramente cómo funcionará la cooperación y cuáles serán las responsabilidades del centro de operaciones de seguridad nacional y de los CSIRT en caso de incidente. |
8. | El Comité valora positivamente los objetivos específicos del proyecto de Reglamento y las medidas propuestas. Al mismo tiempo, lamenta que la actual propuesta no cubra suficientemente los entes locales y regionales pese al aumento de los ciberataques, por lo que propone introducir una serie de modificaciones legislativas para abordar estas deficiencias. |
9. | En la actualidad, faltan datos y puntos de medición claros sobre incidentes, amenazas y riesgos para los municipios y las regiones. En el marco del Ciberescudo europeo deberían desarrollarse indicadores para evaluar cómo van progresando el desarrollo y el grado de madurez en relación con la aplicación del Reglamento. A largo plazo, los indicadores pueden incorporarse a un mapa de riesgos basado en datos, mostrando dónde se necesita adoptar la mayor parte de las medidas. |
Mecanismo de Ciberemergencia
Sus objetivos son consolidar la preparación, evaluar la preparación en sectores considerados críticos, reforzar las capacidades de recuperación tras incidentes y crear una Reserva de Ciberseguridad.
10. | Los incidentes de ciberseguridad a gran escala pueden deberse a acontecimientos locales; en la propuesta debe mostrarse cómo los centros de operaciones de seguridad y la Reserva de Ciberseguridad pueden detectar perturbaciones locales graves y no solo incidentes de seguridad graves y a gran escala que ya se hayan producido. El intercambio de información no debe limitarse a incidentes a gran escala, sino que también debe incluir los riesgos potenciales. |
11. | La información relacionada con incidentes de ciberseguridad suele ser de naturaleza muy sensible y puede contener detalles técnicos o incluso datos personales, que hasta la fecha no pueden compartirse sin que existan contratos y acuerdos entre las partes. En la actualidad existen dificultades para intercambiar información en los niveles nacionales. Por lo tanto, la cuestión de los intercambios transfronterizos es muy compleja. Para que el Mecanismo de Ciberemergencia pueda funcionar, la Comisión debe garantizar que todas las partes interesadas —los agentes públicos y privados en el marco de la Reserva de Ciberseguridad de la UE— cumplan las condiciones jurídicas y técnicas necesarias para intercambiar y recibir información. A juicio del Comité, al divulgar información se trata principalmente de la resolución de incidentes, es decir, de la mejor manera de que las entidades atacadas puedan hacer frente a un incidente grave. |
12. | El CDR acoge con satisfacción el elevado nivel de requisitos impuestos a los proveedores de servicios del sector privado que participen en la Reserva de Ciberseguridad propuesta. Sin embargo, el diseño de estos requisitos no debe conducir a la exclusión de determinadas capacidades o conocimientos del sistema, por el hecho de que solo unos cuantos operadores de muy gran tamaño puedan cumplir los requisitos impuestos a los proveedores de servicios de seguridad. La UE debe abarcar una amplia gama de actividades de seguridad para ser lo más resiliente posible. |
13. | La propuesta establece que la Reserva de Ciberseguridad consistirá en servicios prestados por proveedores de confianza, que se certificarán de conformidad con el Reglamento sobre la Ciberseguridad (4). La Agencia de la Unión Europea para la Ciberseguridad (ENISA) es responsable de garantizar que los productos y servicios cumplan los requisitos de ciberseguridad especificados. El CDR subraya la necesidad de que la ENISA desarrolle rápidamente sistemas de certificación para que los proveedores puedan certificarse mediante tecnologías modernas (5). |
14. | Además, cuando se cree una Reserva de Ciberseguridad deberá velarse por que no se obstaculice la competencia o se excluya a los agentes que operan únicamente en determinadas zonas de la Unión. El establecimiento de la Reserva de Ciberseguridad y la certificación requieren procedimientos rápidos y claros que permitan determinar cuáles son los agentes más competentes e importantes en este ámbito. |
15. | En opinión del CDR, deberían determinarse proveedores nacionales de tecnologías y servicios para sistemas críticos y registrarse en una base de datos. Estos datos pueden ser muy valiosos en el contexto de medidas que requieran una movilización de agentes locales. También pueden utilizarse en el marco de la labor de la Academia de Ciberseguridad. |
16. | En caso de incidente, el efecto de las contramedidas dependerá de la rapidez de la respuesta. La información compleja que se intercambie sobre incidentes y riesgos de seguridad deberá llegar a los grupos destinatarios adecuados en un breve lapso de tiempo. De conformidad con la propuesta, deben crearse una nueva organización y una nueva estructura para el intercambio de información. No obstante, a la hora de crear centros de operaciones de seguridad nacionales y transfronterizos, el CDR subraya la necesidad de utilizar y ampliar los canales de información existentes, como CyCLONe (6) y CSIRT. |
Mecanismo de Revisión de Incidentes de Ciberseguridad
Una función de revisión de incidentes de ciberseguridad, en particular de incidentes que hayan tenido un impacto significativo.
17. | Las necesidades de capacidades en materia de ciberseguridad y su financiación se orientan en función del rápido desarrollo de la digitalización. El CDR valora positivamente la creación, por parte de la Comisión, de una Academia de Capacidades en materia de Ciberseguridad y pide una estrategia clara para reforzar las ciudades y regiones más pequeñas y con menos recursos económicos habida cuenta de la escasez de capacidades en la UE. |
18. | El Comité subraya que la cooperación de diferentes actores —a la que contribuyen entidades públicas y privadas con conocimientos especializados, experiencia y personal— es un requisito para reforzar la resiliencia digital. Destaca el papel que desempeñan los entes locales y regionales en el fortalecimiento de la resiliencia digital, ya que pueden prestarse apoyo mutuo mediante campañas de sensibilización e intercambios de ejemplos de buenas prácticas y de conocimientos especializados. Destaca que cuantas más empresas inviertan en su resiliencia digital, mayor será el coste de los ataques para los ciberdelincuentes, lo que también podría servir de elemento disuasorio; |
19. | En la actualidad, las ciudades y regiones europeas están sufragando tanto los costes que implica mantener un alto nivel de ciberseguridad como los costes derivados de los incidentes. A juicio del CDR, existe el riesgo de que el Reglamento ejerza una presión adicional sobre unos recursos ya de por sí escasos. Por consiguiente, el Reglamento no debe dar lugar a nuevas cargas sino contribuir a reforzar la capacidad de todas las entidades a través de herramientas, procedimientos y apoyo concretos. |
20. | El CDR se pregunta por qué los informes de revisión no pueden compartirse dentro de la red de centros de operaciones de seguridad nacionales y transfronterizos; la propuesta prevé que únicamente los centros de operaciones de seguridad nacionales tendrán acceso a la información pública. Para que los agentes mejoren y desarrollen su ciberseguridad, es extremadamente importante aprender de los incidentes. Todos los pormenores de la información deben ponerse a disposición de todos los participantes en la red. |
21. | En la propuesta las cuestiones relativas a la financiación se presentan de una forma demasiado general. El CDR aboga por que se precise con mayor grado de detalle cómo se utilizarán los fondos y qué proporción está previsto asignar directamente a las regiones y los municipios. |
22. | Por último, el Comité subraya que la propuesta respeta los principios de subsidiariedad y proporcionalidad. |
Bruselas, 30 de noviembre de 2023.
El Presidente del Comité Europeo de las Regiones
Vasco ALVES CORDEIRO
(1) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).
(2) Artículo 2, apartado 5, de la Directiva SRI 2: «Los Estados miembros podrán disponer que la presente Directiva se aplique a: a) entidades de la Administración pública a nivel local […]».
(3) De conformidad con el artículo 11, apartado 3, de la Directiva SRI 2, los CSIRT desempeñarán las siguientes funciones:
a) | realizar un seguimiento y analizar las ciberamenazas, las vulnerabilidades y los incidentes a escala nacional y, previa solicitud, prestar asistencia a las entidades esenciales e importantes afectadas por lo que respecta a la supervisión en tiempo real o cuasirreal de su red y sistemas de información; |
b) | difundir alertas tempranas, alertas, avisos e información sobre las ciberamenazas, las vulnerabilidades y los incidentes entre las entidades esenciales e importantes afectadas, así como entre las autoridades competentes y otras partes interesadas pertinentes, a ser posible en tiempo cuasirreal; |
c) | responder a incidentes y prestar asistencia a las entidades esenciales e importantes afectadas, si procede; |
d) | recopilar y analizar datos forenses y efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación en materia de ciberseguridad; |
e) | proporcionar, a petición de una entidad esencial o importante afectada, una exploración proactiva de las redes y los sistemas de información de la entidad afectada para detectar vulnerabilidades que puedan tener una repercusión significativa; |
f) | participar en la red de CSIRT y prestar asistencia mutua, de conformidad con sus capacidades y competencias, a otros miembros de la red de CSIRT cuando la soliciten; |
g) | cuando proceda, actuar como coordinador a efectos del proceso de divulgación coordinada de vulnerabilidades con arreglo al artículo 12, apartado 1; |
h) | contribuir al despliegue de herramientas seguras de intercambio de información en virtud del artículo 10, apartado 3. |
(4) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
(5) La ENISA está desarrollando actualmente tres mecanismos de certificación, que aún no están finalizados, que abarcarán las TIC, la 5G y los servicios en la nube. https://www.enisa.europa.eu/topics/standards/certification/eu-cybersecurity-certification-faq
(6) Artículo 16, apartados 1 y 3, de la Directiva SRI 2.
Red europea de organizaciones de enlace para las crisis de ciberseguridad (EU-CyCLONe)
1. | Se crea EU-CyCLONe a fin de respaldar la gestión coordinada de los incidentes y las crisis de ciberseguridad a gran escala en el ámbito operativo y de garantizar el intercambio regular de información relevante entre los Estados miembros y las instituciones, los órganos y los organismos de la Unión. |
3. | Los cometidos de EU-CyCLONe serán los siguientes:
|
ELI: http://data.europa.eu/eli/C/2024/1049/oj
ISSN 1977-0928 (electronic edition)