La UE está tomando medidas para prevenir, detectar, responder y disuadir los incidentes de ciberseguridad.
Hoy en día gran parte de nuestra vida sucede en línea. Para asegurarnos de que estamos seguros allí, debemos invertir en nuestra ciberseguridad: en nuestras habilidades, en expertos, en hardware seguro, software y en la seguridad de servicios críticos (como transporte, energía o finanzas). Tenemos que garantizar un rápido intercambio de información entre las autoridades y las agencias que abordan los incidentes cibernéticos y tenemos que impulsar nuestra ciberresiliencia.
Todo el mundo debería poder vivir su vida digital de forma segura. La Comisión Europea contribuye a ello:
1. Impulsar la seguridad de las entidades en una serie de sectores críticos y productos de hardware y software, como las cosas conectadas
2. Fortalecimiento de las capacidades colectivas para responder a los principales ciberataques
3. Trabajar con socios de todo el mundo para garantizar la seguridad internacional y la estabilidad en el ciberespacio
El enfoque de la Comisión en materia de ciberseguridad se basa en cuatro principios:
1. Prevenir
2. Detect
3. Respond
4. Disuasión
1. Prevenir
Directiva SRI 2
La Directiva SRI 2 contribuye a aumentar el nivel general de ciberseguridad en la UE.
Amplía el ámbito de aplicación de la primera Directiva SRI a una gama más amplia de operadores, mejorando la resiliencia y las capacidades de respuesta a incidentes de las entidades públicas y privadas, las autoridades competentes y la UE en su conjunto.
Su objetivo es construir:
Una cultura de seguridad
Preparación de los Estados miembros
Mejor cooperación entre los Estados miembros
Los Estados miembros deben transponer la Directiva a más tardar el 17 de octubre de 2024.
Ley de Ciberseguridad (Certificación)
Crea un marco europeo de certificación de la ciberseguridad
Refuerza ENISA, la Agencia de la UE para la Ciberseguridad
Complementa la Directiva sobre seguridad de las redes y sistemas de información (Directiva SRI)
Sin un marco común para los certificados de ciberseguridad válidos a escala de la UE, existe un riesgo creciente de fragmentación y barreras entre los Estados miembros.
El marco de certificación proporcionará sistemas de certificación a escala de la UE.
Los ciudadanos ganan transparencia sobre las características de seguridad de los productos y servicios
Los proveedores disfrutan de una ventaja competitiva para satisfacer la creciente necesidad de soluciones digitales más seguras.
Ley de Ciberresiliencia
Cada 11 segundos hay un ataque de ransomware
Los ataques de ransomware costaron al mundo aproximadamente 20 000 millones de euros en 2021
10 millones de ataques DDoS lanzados en 2021 en todo el mundo
La UE aborda esta cuestión mediante la introducción de la primera legislación de este tipo a escala de la UE, la Ley de Ciberresiliencia.
La ciberresiliencia introduce requisitos obligatorios de ciberseguridad para los productos de hardware y software a lo largo de todo su ciclo de vida.
Los fabricantes deberán:
Garantizar que la ciberseguridad se tenga en cuenta en todas las fases de sus productos
Proporcionar instrucciones claras y comprensibles para el uso seguro de productos con elementos digitales
Asegurar que las vulnerabilidades se manejen de manera efectiva durante el período de soporte, en particular proporcionando actualizaciones de seguridad a los usuarios.
Reportar vulnerabilidades e incidentes activamente explotados
Está previsto que la Ley de Ciberresiliencia entre en vigor en el segundo semestre de 2024 y los fabricantes tendrán que introducir productos conformes en el mercado de la Unión de aquí a 2027.
Preparación del Mecanismo de Ciberemergencia y del Mecanismo de Revisión de Incidentes de Ciberseguridad
El Mecanismo de Revisión de Incidentes de Ciberseguridad forma parte de la Ley de Cibersolidaridad.
- Revisar y evaluar un incidente significativo específico de ciberseguridad
- Proporcionar un informe con las lecciones aprendidas y recomendaciones
Esto será llevado a cabo por ENISA a petición de la Comisión o de EU-CyCLONe.
2. Detect
Ley de Cibersolidaridad
La Ley de Cibersolidaridad de la UE refuerza la solidaridad de la UE y las acciones coordinadas para detectar, preparar y responder eficazmente a las crecientes amenazas e incidentes de ciberseguridad.
¿Cómo?
Sistema Europeo de Alerta de Ciberseguridad
- Red de Centros Nacionales y Transfronterizos de Operaciones de Seguridad
- Detectar y analizar datos e información sobre ciberamenazas e incidentes
- Proporcionar alertas oportunas a través de las fronteras
3. Respond
Gestión de crisis cibernéticas
EU-CyCLONe
La Red Europea de Organizaciones de Enlace para las Cibercrisis es una red de cooperación para las autoridades nacionales de los Estados miembros encargadas de la gestión de las cibercrisis. Apoya la colaboración y ayuda a los Estados miembros a compartir información oportunamente y a concienciar sobre la situación.
Red de CSIRT
La red de equipos de respuesta a incidentes informáticos está compuesta por los CSIRT y los CERT-UE de los Estados miembros. Establecido en 2016, contribuye a desarrollar la confianza y a promover una cooperación rápida y eficaz entre los Estados miembros.
Mecanismos de Ciberemergencia
Parte de la Ley de Cibersolidaridad, Mecanismos de Ciberemergencia:
- Reforzar la preparación de las entidades de ensayo que operan en sectores críticos
- Construir una Reserva de Ciberseguridad de la UE con servicios de respuesta a incidentes
- Proporcionar apoyo financiero para la asistencia mutua
4. Disuasión
Además de las acciones contenidas en la legislación mencionada, la Comisión está trabajando arduamente para disuadir la ciberdelincuencia a través de su política de ciberdefensa y su conjunto de instrumentos de ciberdiplomacia.
Política de ciberdefensa
La política de ciberdefensa de la UE se basa en cuatro pilares que abarcan una amplia gama de iniciativas que ayudarán a la UE y a los Estados miembros:
- Actuar juntos para reforzar la ciberdefensa de la UE
- Garantizar el ecosistema de defensa de la UE
- Invertir en capacidades de ciberdefensa
- Asociarse para abordar desafíos comunes
Caja de herramientas de ciberdiplomacia
El conjunto de instrumentos de ciberdiplomacia se adoptó en 2017. Contiene medidas dentro de la Política Exterior y de Seguridad Común de la UE que pueden utilizarse contra operaciones cibernéticas malintencionadas dirigidas contra los Estados miembros.
El conjunto de herramientas se complementó con la estrategia de ciberseguridad de la UE para 2020, que pretende, entre otras cosas, reforzar el liderazgo de la UE en materia de ciberseguridad.
En 2023, el Consejo adoptó directrices revisadas para el conjunto de instrumentos como respuesta a la creciente sofisticación de los ciberataques.
Apoyo a la ciberseguridad
Financiación
- Horizonte Europa
- Programa Europa Digital
- Mecanismo de Recuperación y Resiliencia
Centro Europeo de Competencia en Ciberseguridad
El Centro Europeo de Competencia en Ciberseguridad (ECCC) está ayudando a crear un ecosistema industrial y de investigación en materia de ciberseguridad a escala de la UE. Mostrará las mejores maneras de hacer uso de los recursos y conocimientos existentes en toda Europa.
Sus 5 objetivos principales son:
- Contribuir al despliegue de la última tecnología de ciberseguridad
- Proporcionar apoyo financiero y asistencia técnica a las empresas emergentes de ciberseguridad
- Apoyar la investigación y la innovación sobre la base de una agenda global
- Impulsar altos estándares de ciberseguridad en tecnología, sistemas y habilidades
- Facilitar la cooperación entre los ámbitos civil y de defensa y mejorar las sinergias en relación con el Fondo Europeo de Defensa
El ECCC logrará este objetivo mediante:
COORDINACIÓN
trabajar con una red de centros nacionales de coordinación para construir una sólida comunidad de ciberseguridad
INVERSIÓN
toma de decisiones estratégicas de inversión y puesta en común de recursos
APLICACIÓN
utilizando el apoyo financiero de Horizonte Europa y el Programa Europa Digital
Academia de Habilidades de Ciberseguridad
El 76% de los empleados en roles relacionados con la ciberseguridad no tienen ninguna calificación formal o capacitación certificada
El 56% de las empresas no tienen mujeres en roles de ciberseguridad
45% de las empresas tienen problemas para encontrar candidatos calificados
La academia de habilidades de ciberseguridad tiene como objetivo abordar los problemas anteriores y más al reunir las iniciativas de habilidades cibernéticas existentes. La UE necesita urgentemente profesionales con las capacidades y competencias necesarias para prevenir, detectar, disuadir y defender a la UE contra los ciberataques.
La academia se basa en cuatro áreas de actividades:
- Generación de conocimiento y capacitaciones
- Financiación y proyectos
- Participación de las partes interesadas
- Medición del progreso
La academia tiene tres objetivos principales:
- Cerrar la brecha de talento en ciberseguridad
- Refuerzo de la mano de obra cibernética de la UE
- Impulsar la competitividad, el crecimiento y la resiliencia de la UE
ENISA
ENISA es la Agencia de la Unión Europea para la Ciberseguridad. Se dedica a construir un alto nivel de ciberseguridad común en toda la UE.
- Desarrollo de capacidades en materia de ciberseguridad
- Cooperación operativa y gestión de crisis
- Divulgación coordinada de vulnerabilidades
- Tareas relacionadas con el mercado
- Normalización y certificación de la ciberseguridad
- Elaboración y aplicación de políticas
Contenido relacionado
The EU has outlined a cybersecurity strategy to boost Europe’s ability to fight and recover from...