La Comisión Europea ha propuesto un nuevo paquete de medidas en ciberseguridad con el objetivo de reforzar la resiliencia y las capacidades de la Unión Europea frente a las crecientes amenazas cibernéticas. La iniciativa se enmarca en el contexto de los ataques cibernéticos e híbridos que afectan diariamente a servicios esenciales e instituciones democráticas de la UE.
El paquete incluye una propuesta de Ley de Ciberseguridad revisada y una Propuesta de Directiva orientada a simplificar y armonizar el cumplimiento de la normativa europea en esta materia, así como a reforzar el papel de la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
Refuerzo de la seguridad en las cadenas de suministro de TIC
El nuevo Reglamento de Ciberseguridad tiene como finalidad reducir los riesgos en la cadena de suministro de las tecnologías de la información y la comunicación (TIC), especialmente los asociados a proveedores de terceros países con problemas de ciberseguridad. Para ello, establece un marco común basado en un enfoque armonizado, proporcionado y basado en el riesgo.
Este marco permitirá a la UE y a los Estados miembros identificar y mitigar conjuntamente los riesgos en los dieciocho sectores críticos de la Unión, teniendo en cuenta tanto las repercusiones económicas como la oferta del mercado. El Reglamento también prevé la reducción obligatoria del riesgo en las redes europeas de telecomunicaciones móviles procedente de proveedores de terceros países considerados de alto riesgo, en línea con el trabajo desarrollado en el marco del conjunto de herramientas de seguridad 5G.
Simplificación del Marco Europeo de Certificación de la Ciberseguridad
La Ley de Ciberseguridad revisada plantea una actualización del Marco Europeo de Certificación de la Ciberseguridad (ECCF) con el fin de garantizar que los productos y servicios que llegan al mercado europeo se sometan a pruebas de seguridad de forma más eficiente.
Entre las principales novedades, el ECCF renovado aportará mayor claridad y simplificará los procedimientos, permitiendo que los esquemas de certificación se desarrollen, por defecto, en un plazo de doce meses. Asimismo, introduce una gobernanza más ágil y transparente, con mayor implicación de las partes interesadas mediante procesos de información y consulta públicas.
Los sistemas de certificación, gestionados por ENISA, se configurarán como herramientas prácticas y voluntarias para las empresas, facilitando la demostración del cumplimiento de la legislación de la UE y reduciendo cargas administrativas y costes.
Medidas para facilitar el cumplimiento normativo
El paquete incorpora medidas destinadas a simplificar el cumplimiento de las normas de ciberseguridad de la UE y los requisitos de gestión de riesgos para las empresas que operan en el territorio europeo. Estas medidas complementan el punto de entrada único para la notificación de incidentes propuesto en el Ómnibus Digital.
Las modificaciones de la Directiva SRI 2 buscan aumentar la claridad jurídica y facilitar el cumplimiento a 28.700 empresas, incluidas 6.200 microempresas y pequeñas empresas. Además, se introduce una nueva categoría de pequeñas empresas de mediana capitalización, con el objetivo de reducir los costes de cumplimiento para 22.500 empresas. Las enmiendas también simplifican las normas jurisdiccionales, agilizan la recopilación de datos sobre ataques de ransomware y facilitan la supervisión de entidades transfronterizas mediante un papel de coordinación reforzado de ENISA.
Un papel reforzado para ENISA
La Ley de Ciberseguridad revisada amplía las capacidades de ENISA para apoyar a la UE y a los Estados miembros en la comprensión, preparación y respuesta ante amenazas cibernéticas. La Agencia continuará emitiendo alertas tempranas y, en cooperación con Europol y los equipos de respuesta a incidentes de seguridad informática, apoyará a las empresas frente a ataques de ransomware.
Asimismo, ENISA operará el punto de entrada único para la notificación de incidentes y desarrollará un enfoque común para mejorar los servicios de gestión de vulnerabilidades. En el ámbito de las capacidades, la Agencia seguirá desempeñando un papel clave en la creación de una mano de obra cualificada en ciberseguridad, mediante la puesta a prueba de la Academia de Capacidades de Ciberseguridad y el establecimiento de esquemas de certificación de capacidades a escala de la UE.
Próximos pasos
El Reglamento de Ciberseguridad será aplicable inmediatamente tras su aprobación por el Parlamento Europeo y el Consejo. Las modificaciones asociadas a la Directiva SRI 2 deberán ser aprobadas y, una vez adoptadas, los Estados miembros dispondrán de un año para incorporarlas a su Derecho nacional y comunicar los textos correspondientes a la Comisión Europea.
La información completa puede consultarse aquí, en la publicación oficial.
