Políticas de ciberseguridad

Estrategia de ciberseguridad

La Comisión Europea y la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron una nueva Estrategia de Ciberseguridad de la UE a finales de 2020.

La Estrategia abarca la seguridad de servicios esenciales como hospitales, redes energéticas y ferrocarriles. También cubre la seguridad del número cada vez mayor de objetos conectados en nuestros hogares, oficinas y fábricas.

La Estrategia se centra en la creación de capacidades colectivas para responder a los principales ciberataques y trabajar con socios de todo el mundo para garantizar la seguridad internacional y la estabilidad en el ciberespacio. En él se describe cómo una unidad cibernética conjunta puede garantizar la respuesta más eficaz a las ciberamenazas utilizando los recursos colectivos y los conocimientos especializados de que disponen la UE y los Estados miembros.

Legislación y certificación

Directiva relativa a las medidas para un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI2)

Las amenazas a la ciberseguridad son casi siempre transfronterizas, y un ciberataque contra las instalaciones críticas de un país puede afectar a la UE en su conjunto. Los países de la UE necesitan contar con organismos gubernamentales fuertes que supervisen la ciberseguridad en su país y que colaboren con sus homólogos de otros Estados miembros mediante el intercambio de información. Esto es particularmente importante para los sectores que son críticos para nuestras sociedades.

La Directiva sobre la seguridad de las redes y los sistemas de información (Directiva SRI), que todos los países han aplicado, garantiza la creación y la cooperación de dichos organismos gubernamentales. La presente Directiva se revisó a finales de 2020.

Como resultado del proceso de revisión, la Comisión presentó la propuesta de Directiva sobre medidas para un elevado nivel común de ciberseguridad en toda la Unión (DirectivaSRI2) el 16 de diciembre de 2020. 

La Directiva se publicó en el Diario Oficial de la Unión Europea en diciembre de 2022 y entró en vigor el 16 de enero de 2023. Los Estados miembros dispondrán de 21 meses a partir de la entrada en vigor de la Directiva para incorporar las disposiciones a su legislación nacional (fecha real: 18 de octubre de 2024).

ENISA — Agencia de ciberseguridad de la UE

ENISA (Agencia de Ciberseguridad de la Unión Europea)es la agencia de la UE que se ocupa de la ciberseguridad. Presta apoyo a los Estados miembros, las instituciones de la UE y las empresas en ámbitos clave, incluida la aplicación de la Directiva SRI.

La Ley de ciberresiliencia

La propuesta de Reglamento sobre los requisitos de ciberseguridad para los productos con elementos digitales, conocida como la Ley de ciberresiliencia, refuerza las normas de ciberseguridad para garantizar una mayor seguridad de los productos de hardware y software.

Ley de Ciberseguridad

La Ley de Ciberseguridad refuerza el papel de ENISA. La Agencia tiene ahora un mandato permanente y está facultada para contribuir a intensificar la cooperación operativa y la gestión de crisis en toda la UE. También cuenta con más recursos financieros y humanos que antes. El 18 de abril de 2023, la Comisión propuso una modificación específica del Acto de Ciberseguridad de la UE.

Ley de Ciber Solidaridad

El 18 de abril de 2023, la Comisión Europea propuso la Ley de Ciber Solidaridad de la UE para mejorar la respuesta a las ciberamenazas en toda la UE. La propuesta incluirá un Escudo Europeo de Ciberseguridad y un mecanismo global de ciberemergencia para crear un mejor método de ciberdefensa.

Certificación

Nuestras vidas digitales solo pueden funcionar bien si existe confianza pública en la ciberseguridad de los productos y servicios de TI. Es importante que podamos ver que un producto ha sido comprobado y certificado para cumplir con los altos estándares de ciberseguridad. Actualmente existen varios sistemas de certificación de seguridad para productos informáticos en toda la UE. Tener un único esquema común de certificación sería más fácil y más claro para todos.

Por lo tanto, la Comisión está trabajando en un marco de certificación a escala de la UE, cuyo núcleo es ENISA. La Ley de Ciberseguridad describe el proceso para lograr este marco.

Inversión

Plan de Recuperación

La ciberseguridad es una de las prioridades de la Comisión en su respuesta a la crisis del coronavirus, ya que hubo un aumento de los ciberataques durante el confinamiento. El Plan de Recuperación para Europa incluye inversiones adicionales en ciberseguridad.

Apoyo a la investigación y la innovación: Horizonte 2020 y CPP; Horizonte Europa

La investigación en seguridad digital es esencial para construir soluciones innovadoras que puedan protegernos contra las amenazas cibernéticas más recientes y avanzadas. Es por ello que la ciberseguridad es una parte importante de Horizonte 2020 y su sucesor Horizonte Europa. 

En Horizonte Europa, para el período 2021-2027, la ciberseguridad forma parte del clúster «Seguridad civil para la sociedad». 

En el marco de Horizonte 2020, la Comisión cofinancia la investigación y la innovación en temas como la preparación en materia de ciberseguridad a través de la ciberseguridad y la simulación, la ciberseguridad para las pequeñas y medianas empresas, la ciberseguridad en el sistema eléctrico y energético, y la ciberseguridad y la protección de datos en sectores críticos. Estos temas pertenecen al clúster «Sociedades seguras — Protección de la libertad y la seguridad de Europa y sus ciudadanos».

En 2016, se estableció la asociación público-privada contractual (cPPP) de Horizonte 2020 sobre ciberseguridad entre la Comisión Europea y la Organización Europea de Seguridad Cibernética (ECSO), una asociación compuesta por miembros de la industria cibernética, el mundo académico, las administraciones públicas y más.

Apoyo a las cibercapacidades y despliegue

Nuestras infraestructuras físicas y digitales están estrechamente entrelazadas. Por lo tanto, la Comisión también ha invertido en ciberseguridad como parte de su programa de financiación de inversiones en infraestructuras, el Mecanismo «Conectar Europa» (MCE), para el período 2014-2020.

El MCE ha prestado apoyo a los equipos de respuesta a incidentes de seguridad informática, a los operadores de servicios esenciales (OES), a los proveedores de servicios digitales (DSP), a los puntos de contacto únicos (SPOC) y a las autoridades nacionales competentes (ANC). Esto mejora las capacidades de ciberseguridad y la colaboración transfronteriza dentro de la UE, apoyando la aplicación de la Estrategia de Ciberseguridad de la UE.

El Programa Europa Digital, para el período 2021-2027, es un programa ambicioso que tiene previsto invertir 1900 millones EUR en capacidad de ciberseguridad y en el amplio despliegue de infraestructuras y herramientas de ciberseguridad en toda la UE para las administraciones públicas, las empresas y los particulares.

La ciberseguridad también forma parte de InvestEU. InvestEU es un programa general que reúne muchos instrumentos financieros y utiliza la inversión pública para garantizar nuevas inversiones del sector privado. Su mecanismo de inversión estratégica apoyará las cadenas de valor clave en ciberseguridad. Es una parte importante del paquete de recuperación en respuesta a la crisis del coronavirus.

Centro y red de competencias en materia de ciberseguridad; Atlas

El centro europeo de competencia industrial, tecnológica e investigadora en materia de ciberseguridad pondrá en común conocimientos especializados y armonizará el desarrollo y el despliegue europeos de la tecnología de ciberseguridad. Trabajará con la industria, la comunidad académica y otros para elaborar una agenda común para las inversiones en ciberseguridad y decidirá las prioridades de financiación para la investigación, el desarrollo y el despliegue de soluciones de ciberseguridad a través de los programas Horizonte Europa y Europa Digital.

Actualmente, se están ejecutando cuatro proyectos piloto para sentar las bases para el Centro de Competencia y la Red. Involucran a más de 170 socios.

Para una mejor visión general de la experiencia y la capacidad en materia de ciberseguridad en toda la UE, la Comisión ha desarrollado una plataforma global denominada Atlas de Ciberseguridad.

Orientación política

Plan para una respuesta coordinada a los principales ciberataques

El plan de la Comisión para una respuesta rápida de emergencia proporciona un plan en caso de ciberincidente o crisis transfronteriza a gran escala. Establece los objetivos y modos de cooperación entre los Estados miembros y las instituciones de la UE para responder a estos incidentes y crisis. En él se explica cómo los mecanismos de gestión de crisis existentes pueden hacer pleno uso de las entidades de ciberseguridad existentes a escala de la UE.

Unidad Cibernética Conjunta

Como seguimiento, la presidenta de la Comisión, Ursula von der Leyen, anunció una propuesta de una Unidad Cibernética Conjunta a escala de la UE. La Recomendación sobre la creación de la Unidad Cibernética Conjunta anunciada por la Comisión el 23 de junio de 2021 es un paso importante hacia la finalización del marco europeo de gestión de crisis de ciberseguridad. Es un resultado concreto de la Estrategia de Ciberseguridad de la UE y de la Estrategia de la UE para una Unión de la Seguridad, que contribuye a una economía y una sociedad digitales seguras.

La Unidad Cibernética Conjunta actuará como plataforma para garantizar una respuesta coordinada de la UE a los ciberincidentes y crisis a gran escala, así como para ofrecer asistencia para recuperarse de estos ataques.

Despliegue seguro de la 5G en la UE

Está previsto que se desplieguen redes 5G en toda la UE. Ofrecerán enormes beneficios, pero también tendrán más puntos de entrada potenciales para los atacantes debido a la naturaleza menos centralizada de su arquitectura, un mayor número de antenas y una mayor dependencia del software. El conjunto de herramientas de la UE sobre 5G establece medidas para reforzar los requisitos de seguridad de las redes 5G, aplicar restricciones pertinentes a los proveedores considerados de alto riesgo y garantizar la diversificación de los proveedores.

Asegurar el proceso electoral

Nuestras democracias europeas se han vuelto cada vez más digitales: las campañas políticas se llevan a cabo en línea y las elecciones se llevan a cabo a través del voto electrónico en muchos países. 

La Comisión ha emitido recomendaciones para la ciberseguridad de las elecciones al Parlamento Europeo, como parte de un paquete más amplio de recomendaciones para apoyar elecciones europeas libres y justas. Un mes antes de las elecciones europeas de 2019, el Parlamento Europeo, los países de la UE, la Comisión y ENISA llevaron a cabo una prueba en vivo de su preparación.

Habilidades y sensibilización

Habilidades

Solo podemos garantizar la seguridad digital si contamos con expertos con los conocimientos y habilidades adecuados, y actualmente no hay suficientes. Esta es la razón por la que la Comisión está tomando medidas para estimular el desarrollo de las competencias en materia de ciberseguridad.

La Comisión preparó una convocatoria de un marco coherente para la enseñanza de las competencias en materia de ciberseguridad en la educación universitaria y profesional. Los cuatro proyectos piloto que preparan el centro y la red de competencias en materia de ciberseguridad de ECSO están trabajando actualmente en ello. También hay iniciativas recurrentes destinadas directamente a los estudiantes, como el desafío anual de la ciberseguridad europea.

Las competencias en materia de ciberseguridad entran en el orden del día general de la Comisión en materia de capacidades digitales. También forman parte de los esfuerzos de financiación en el marco de Horizonte 2020, Horizonte Europa y el Programa Europa Digital. Un ejemplo es la financiación de «ciberrandes», que son entornos de simulación en vivo de ciberamenazas para la formación.

Conciencia

El factor humano es a menudo el eslabón débil en ciberseguridad: alguien que hace clic en un enlace de phishing puede tener enormes consecuencias. Por lo tanto, la Comisión sensibiliza sobre la ciberseguridad y promueve las mejores prácticas entre el público en general. Por ejemplo, una vez al año organiza el Mes Europeo de la Ciberseguridad junto con ENISA.

La Academia de Capacidades para la Ciberseguridad de la UE

La Academia de Capacidades de Ciberseguridad de la UE, lanzada como parte del Año Europeo de las Capacidades, reunirá iniciativas privadas y públicas a escala europea y nacional para abordar la brecha en la mano de obra en ciberseguridad. La iniciativa se alojará en línea en la plataforma de empleo y capacidades de la Comisión y contará con oportunidades de financiación, formación y certificaciones de toda la UE, para aquellos interesados en una carrera en ciberseguridad.

Comunicación sobre la Academia de Competencias Cibernéticas de la UE

Ficha informativa de la Academia de Ciberhabilidades de la UE

Comunidad cibernética

ENISA — Agencia de ciberseguridad de la UE

ENISA es la agencia de la UE que se ocupa de la ciberseguridad. Presta apoyo a los Estados miembros, las instituciones de la UE y las empresas en ámbitos clave, incluida la aplicación de la Directiva SRI.

ISAC

Los Centros de Intercambio y Análisis de Información (ISAC) fomentan la colaboración entre la comunidad de ciberseguridad en diferentes sectores de la economía. Seguir desarrollando las ISAC tanto a nivel nacional como de la UE es una prioridad para la Comisión. En colaboración con ENISA, la Comisión también promueve el establecimiento de nuevos ISAC en sectores que no están cubiertos. El «Consorcio ISAC de la UE», supervisado por la Comisión, proporciona apoyo jurídico, técnico y organizativo a las ISAC.

CCI

El Centro Común de Investigación (CCI) de la Comisión contribuye activamente a la ciberseguridad en la UE. Por ejemplo, el CCI ha desarrollado una taxonomía de ciberseguridad. Esto alinea la terminología utilizada en ciberseguridad para que podamos tener una visión más clara de las capacidades de ciberseguridad en la UE.

El CCI también publicó recientemente un informe que proporciona información sobre el panorama actual de la ciberseguridad de la UE y su historia, titulado «Ciberseguridad: nuestro ancla digital».

CSIRT/CERT

En virtud de la Directiva SRI, los Estados miembros de la UE deben garantizar que cuentan con equipos de respuesta a incidentes de seguridad informática que funcionen correctamente («CSIRT»), también conocidos como equipos de respuesta a emergencias informáticas («CERT»). Estos equipos proporcionan hacer frente a incidentes y riesgos de ciberseguridad en la práctica. Cooperan entre sí a nivel de la UE y también colaboran con el sector privado.
Todos los tipos de operadores de servicios esenciales y proveedores de servicios digitales deben estar cubiertos por los CSIRT designados.

Las principales tareas de los CSIRT son:

• el seguimiento de los incidentes a nivel nacional;
• proporcionar alertas tempranas, alertas, anuncios y otra información sobre riesgos e incidentes a las partes interesadas pertinentes;
• responder a incidentes;
• proporcionar análisis dinámicos de riesgos e incidentes y conciencia de la situación;
• participar en la red CSIRTs.

ECSO

La Organización Europea de Ciberseguridad (ECSO) se creó en 2016 con el fin de actuar como contraparte de la Comisión en una asociación público-privada contractual que abarca Horizonte 2020 en los años 2016 a 2020. La mayoría de los 250 miembros de ECSO pertenecen a la industria de la ciberseguridad o a instituciones de investigación y académicas en el campo. En menor medida, los miembros de ECSO también comprenden actores del sector público e industrias del lado de la demanda.

Además de formular recomendaciones sobre Horizonte 2020, ECSO lleva a cabo diversas actividades destinadas a la construcción de comunidades y al desarrollo industrial a nivel europeo.

Women4Cyber

Es importante destacar el papel de las mujeres en la comunidad de ciberseguridad, que están infrarrepresentadas. Por ello, la Comisión ha creado el Registro Women4Cyber, en cooperación con la iniciativa Women4Cyber de ECSO. Hace que sea más fácil para los medios de comunicación, los organizadores de eventos y otros encontrar a las muchas mujeres talentosas que trabajan en ciberseguridad, por lo que estas mujeres se vuelven más visibles y prominentes en la comunidad cibernética y el debate público.

Diálogos cibernéticos

La UE trabaja con socios para promover intereses compartidos en la política de ciberseguridad. El 9.º Diálogo Cibernético UE-EE.UU. tuvo lugar en Bruselas en diciembre de 2023. La UE y los Estados Unidos han avanzado en la cooperación en ámbitos como la ciberdiplomacia, la gestión de crisis, el desarrollo de capacidades, la ciberseguridad de las infraestructuras críticas (incluida la notificaciónde incidentes), la ciberseguridad de los productos informáticos y de hardware (incluido el Plan de Acción Conjunto sobre ProductosCiberseguros) y los aspectos de ciberseguridad de las tecnologías emergentes, como la IA.

Desde 2021, la UE y Ucrania han mantenido dos diálogos cibernéticos. En 2023, la Agencia de Ciberseguridad de la UE ENISA formalizó un acuerdo de trabajo con sus homólogos ucranianos para fomentar el desarrollo de capacidades, el intercambio de mejores prácticas y el conocimiento de la situación. La UE también ha dominado los diálogos cibernéticos con la India, Japón, la República de Corea y Brasil. El 1.º Diálogo Cibernético UE-Reino Unido tuvo lugar en Bruselas en diciembre de 2023.

La ciberseguridad también se debate en el contexto de las asociaciones y diálogos digitales bilaterales, así como de la Alianza Digital UE-ALC, el diálogo regulador UE-Balcanes Occidentales, el diálogo estructurado UE-OTAN sobre resiliencia y el diálogo estructurado UE-OTAN sobre ciberseguridad y defensa. En 2023, el Grupo de Trabajo UE-OTAN sobre resiliencia de las infraestructuras críticas publicó un informeen el que se trazaban importantes sectores transversales.

Otros ámbitos políticos cibernéticos

Ciberdelincuencia

Los delincuentes comunes hacen uso de ciberataques que amenazan a los europeos. El departamento de Migración y Asuntos de Interior de la Comisión supervisa y actualiza la legislación de la UE en materia de ciberdelincuencia y apoya la capacidad policial. La Comisión también colabora con el Centro Europeo de Ciberdelincuencia de Europol.

Ciberdiplomacia

La UE está haciendo esfuerzos para protegerse contra las ciberamenazas desde fuera de sus fronteras. Como parte de esto, la Comisión colabora con el Servicio Europeo de Acción Exterior y los Estados miembros en la aplicación de una respuesta diplomática conjunta a las actividades cibernéticas malintencionadas (el «caja de herramientas de ciberdiplomacia»). Esta respuesta incluye cooperación y diálogo diplomáticos, medidas preventivas contra los ciberataques y sanciones contra quienes participan en ciberataques que amenazan a la UE.

La Comisión ayuda en la toma de decisiones sobre la respuesta a las ciberamenazas externas siempre que sea necesario. También financia directamente la Iniciativa de Apoyo a la Ciberdiplomacia de la UE en curso.

Ciberdefensa

El 10 de noviembre de 2022, la Comisión y la Alta Representante presentaron una Comunicación conjunta sobre una política de ciberdefensa de la UE para hacer frente al deterioro del entorno de seguridad tras la agresión de Rusia contra Ucrania e impulsar la capacidad de la UE para proteger a sus ciudadanos e infraestructuras.  

La política de la UE en materia de ciberdefensa se basa en cuatro pilares que abarcan una amplia gama de iniciativas que ayudarán a la UE y a los Estados miembros a estar en mejores condiciones de detectar, desalentar y defenderse de los ciberataques:

1. Actuar juntos por una ciberdefensa más fuerte de la UE

2. Asegurar el ecosistema de defensa

3. Invertir en capacidades de ciberdefensa

4. Asociarse para hacer frente a los desafíos comunes

La nueva política exige inversiones encapacidades de ciberdefensa de espectro completo y reforzará la coordinación y la cooperación entre las comunidades cibernéticas militares y civiles de la UE. Mejorará la cooperación con el sector privado y la gestión eficiente de las crisis cibernéticas dentro de la Unión. La nueva política también ayudará a reducir nuestras dependencias estratégicas en tecnologías cibernéticas críticas y reforzará la Base Industrial Tecnológica Europea de Defensa (EDTIB). Estimulará la formación, la atracción y retención de talentos cibernéticos.

La UE coopera en materia de defensa en el ciberespacio a través de las actividades de la Comisión Europea, el Servicio Europeo de Acción Exterior (SEAE), la Agencia Europea de Defensa, la ENISA y la Agencia de la Unión Europea para la Cooperación Policial (Europol).

Desarrollo de capacidades cibernéticas en terceros países

La UE coopera con otros países para ayudar a reforzar su capacidad de defensa contra las amenazas a la ciberseguridad. La Comisión apoya diversos programas de ciberseguridad en los Balcanes Occidentales y en los seis países de la Asociación Oriental de la vecindad inmediata de la UE, así como en otros países del mundo a través de su departamento de Cooperación Internacional y Desarrollo.