Informe sobre la ciberseguridad y la resiliencia de las infraestructuras y redes de comunicaciones de la UE

Como seguimiento de la Convocatoria Nevers de 9 de marzo de 2022 y sobre la base del trabajo coordinado ya realizado a escala de la UE para reforzar la seguridad de las redes 5G, los Estados miembros llevaron a cabo una evaluación de riesgos de las infraestructuras y redes de comunicaciones de Europa. 

Esta evaluación de riesgos identificó una serie de amenazas para las redes e infraestructuras de comunicación, como limpiaparabrisas, ataques de ransomware, ataques de cadena de suministro, ataques físicos, sabotaje, etc. Estas amenazas, aprovechando las vulnerabilidades, podrían suponer un riesgo significativo para la seguridad y la resiliencia de la infraestructura de conectividad. Sobre la base de estas conclusiones y, además de los nueve escenarios de riesgo ya identificados en laevaluación del riesgo de la coordinación de la UE de las redes 5G, el informe desarrolla diez escenarios de riesgo de importancia estratégica para la Unión, como un ataque a la cadena de suministro para acceder a la infraestructura de los operadores o un ataque coordinado de sabotaje físico a la infraestructura digital.

Para mitigar estos riesgos, el informe presenta una serie de recomendaciones estratégicas y técnicas para los Estados miembros, la Comisión y ENISA, que se aplicarán con el apoyo del Organismo de Reguladores Europeos de las Comunicaciones Electrónicas. Por lo que se refiere a los aspectos estratégicos, el informe recomienda:

• Evaluar la resiliencia de las interconexiones internacionales;
• Evaluar la criticidad, la resiliencia y la redundancia de la infraestructura básica de Internet, como los cables submarinos;
• Aplicar las recomendaciones relativas a los proveedores en el segundo informe de situación sobre la aplicación de la Caja de herramientas de la UE;
• Crear transparencia en el panorama de los proveedores y proveedores de servicios gestionados o prestadores de servicios de seguridad gestionados utilizados para redes fijas, tecnología de fibra, cables submarinos, redes satelitales y otros proveedores importantes de TIC;
• Involucrar al sector de las comunicaciones electrónicas en los ciberejercicios y la colaboración operativa;
• Fomentar el intercambio de información y mejorar el conocimiento de la situación sobre las amenazas para los operadores;
• Prestar apoyo financiero a los operadores para que adopten medidas técnicas contra los ciberataques en sus redes;
• Intercambiar buenas prácticas entre las autoridades nacionales sobre los ataques físicos a las infraestructuras digitales;
• Ampliar las pruebas de resistencia física de las infraestructuras críticas para incluir la infraestructura digital.

Dada la importancia crítica de las infraestructuras y redes en el ámbito de aplicación del presente informe y en vista de la rápida evolución del panorama de amenazas, y sin perjuicio de las competencias de los Estados miembros en materia de seguridad nacional, se anima a los Estados miembros, a la Comisión y a ENISA a aplicar estas medidas de refuerzo de la resiliencia lo antes posible, sobre la base del trabajo ya iniciado en la aplicación de algunas de las recomendaciones.

Trasfondo

El 9 de marzo de 2022, la reunión informal del Consejo de Ministros de Telecomunicaciones organizada en Nevers (Francia) dio lugar a una convocatoria conjunta para reforzar las capacidades de ciberseguridad de la UE. El punto 4 de la convocatoria pide a las autoridades nacionales pertinentes, como el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE), ENISA y el Grupo de Cooperación SRI, que hagan recomendaciones a los Estados miembros de la UE y a la Comisión sobre la base de una evaluación de riesgos con el fin de reforzar la resiliencia de las infraestructuras y redes de comunicaciones de la UE.