La Unión Europea trabaja en varios frentes para promover la ciberresiliencia, salvaguardar nuestra comunicación y nuestros datos y mantener la seguridad de la sociedad y la economía en línea.
Estrategia de Ciberseguridad
La Comisión Europea y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron una nueva Estrategia de Ciberseguridad de la UE a finales de 2020.
La Estrategia cubre la seguridad de servicios esenciales como hospitales, redes energéticas y ferrocarriles. También cubre la seguridad del número cada vez mayor de objetos conectados en nuestros hogares, oficinas y fábricas.
La Estrategia se centra en la creación de capacidades colectivas para responder a los principales ciberataques y trabajar con socios de todo el mundo para garantizar la seguridad internacional y la estabilidad en el ciberespacio. Describe cómo una Unidad Cibernética Conjunta puede garantizar la respuesta más eficaz a las ciberamenazas utilizando los recursos colectivos y los conocimientos especializados de que disponen la UE y los Estados miembros.
Legislación y certificación
Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión (Directiva SRI 2)
Las amenazas a la ciberseguridad son casi siempre transfronterizas, y un ciberataque contra las instalaciones críticas de un país puede afectar a la UE en su conjunto. Los países de la UE deben contar con organismos gubernamentales sólidos que supervisen la ciberseguridad en su país y que colaboren con sus homólogos de otros Estados miembros compartiendo información. Esto es particularmente importante para los sectores que son críticos para nuestras sociedades.
La primera Directiva sobre la seguridad de las redes y sistemas de información (DirectivaSRI)garantiza la creación y la cooperación de dichos organismos gubernamentales. Esta Directiva se revisó a finales de 2020, lo que dio lugar a la propuesta y adopción de la Directiva SRI 2. Los Estados miembros tenían hasta el 18 de octubre de 2024 para transponer y aplicar plenamente la SRI 2.
ENISA, la agencia de ciberseguridad de la UE
ENISA (Agenciade la Unión Europea para la Ciberseguridad)es la agencia de la UE que se ocupa de la ciberseguridad. Presta apoyo a los Estados miembros, las instituciones de la UE y las empresas en ámbitos clave, incluida la aplicación de la Directiva SRI.
Ley de Ciberresiliencia
La propuesta de Reglamento sobre los requisitos de ciberseguridad para los productos con elementos digitales, conocida como Ley de Ciberresiliencia, refuerza las normas de ciberseguridad para garantizar productos de hardware y software más seguros.
Ley de Ciberseguridad
La Ley de Ciberseguridad refuerza el papel de ENISA. La Agencia tiene ahora un mandato permanente y está facultada para contribuir a intensificar tanto la cooperación operativa como la gestión de crisis en toda la UE. También tiene más recursos financieros y humanos que antes. El 18 de abril de 2023, la Comisión propuso una modificación específica del Reglamento de Ciberseguridad de la UE.
Ley de Cibersolidaridad
El 18 de abril de 2023, la Comisión Europea propuso la Ley de Cibersolidaridad de la UE para mejorar la respuesta a las ciberamenazas en toda la UE. La propuesta incluirá un Escudo Europeo de Ciberseguridad y un Mecanismo de Ciberemergencia global para crear un mejor método de ciberdefensa.
Certificación
Nuestras vidas digitales solo pueden funcionar bien si existe una confianza pública general en la ciberseguridad de los productos y servicios de TI. Es importante que podamos ver que un producto ha sido verificado y certificado para cumplir con altos estándares de ciberseguridad. En la actualidad existen varios sistemas de certificación de la seguridad de los productos informáticos en toda la UE. Contar con un único sistema común de certificación sería más fácil y claro para todos.
Por lo tanto, la Comisión está trabajando en un marco de certificación a escala de la UE, con ENISA en su centro. La Ley de Ciberseguridad describe el proceso para lograr este marco.
Inversión
Plan de Recuperación
La ciberseguridad es una de las prioridades de la Comisión en su respuesta a la crisis del coronavirus, ya que hubo un aumento de los ciberataques durante el confinamiento. El Plan de Recuperación para Europa incluye inversiones adicionales en ciberseguridad.
Apoyo a la investigación y la innovación: Horizonte 2020 y la APPc; Horizonte Europa
La investigación en seguridad digital es esencial para construir soluciones innovadoras que puedan protegernos contra las amenazas cibernéticas más recientes y avanzadas. Es por eso que la ciberseguridad es una parte importante de Horizonte 2020 y su sucesor, Horizonte Europa.
En Horizonte Europa, para el período 2021-2027, la ciberseguridad forma parte del clúster «Seguridad civil para la sociedad».
Como parte de Horizonte 2020, la Comisión cofinanció la investigación y la innovación en temas como la preparación en materia de ciberseguridad a través de ciberrangos y simulación, la ciberseguridad para las pequeñas y medianas empresas, la ciberseguridad en el sistema eléctrico y energético y la ciberseguridad y la protección de datos en sectores críticos. Estos temas se enmarcan en el clúster «Sociedades seguras: protección de la libertad y la seguridad de Europa y de sus ciudadanos».
En 2016, se estableció la asociación contractual público-privada (CPP) de Horizonte 2020 sobre ciberseguridad entre la Comisión Europea y la Organización Europea de Ciberseguridad (ECSO), una asociación compuesta por miembros de la ciberindustria, el mundo académico, las administraciones públicas y más.
Apoyo a las cibercapacidades y al despliegue
Nuestras infraestructuras físicas y digitales están estrechamente entrelazadas. Por lo tanto, la Comisión también ha invertido en ciberseguridad como parte de su programa de financiación de inversiones en infraestructuras, el Mecanismo «Conectar Europa» (MCE), para el período 2014-2020.
El apoyo del MCE se ha destinado a los equipos de respuesta a incidentes de seguridad informática, los operadores de servicios esenciales, los proveedores de servicios digitales, los puntos de contacto únicos y las autoridades nacionales competentes. Esto mejora las capacidades de ciberseguridad y la colaboración transfronteriza dentro de la UE, apoyando la aplicación de la Estrategia de Ciberseguridad de la UE.
El Programa Europa Digital, para el período 2021-2027, es un programa ambicioso que tiene previsto invertir 1 900 millones de euros en capacidad de ciberseguridad y en el amplio despliegue de infraestructuras y herramientas de ciberseguridad en toda la UE para las administraciones públicas, las empresas y los particulares.
La ciberseguridad también forma parte de InvestEU. InvestEU es un programa general que reúne muchos instrumentos financieros y utiliza la inversión pública para garantizar nuevas inversiones del sector privado. Su mecanismo de inversión estratégica apoyará cadenas de valor clave en ciberseguridad. Es una parte importante del paquete de recuperación en respuesta a la crisis del coronavirus.
Centro y Red de Competencia en Ciberseguridad; Atlas
El Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad pondrá en común conocimientos especializados y armonizará el desarrollo y el despliegue europeos de tecnologías de ciberseguridad. Trabajará con la industria, la comunidad académica y otros para elaborar una agenda común de inversiones en ciberseguridad y decidir las prioridades de financiación para la investigación, el desarrollo y el despliegue de soluciones de ciberseguridad a través de los programas Horizonte Europa y Europa Digital.
Actualmente, se están ejecutando cuatro proyectos piloto para sentar las bases del Centro de Competencia y la Red. Involucran a más de 170 socios.
Para tener una mejor visión general de los conocimientos especializados y la capacidad en materia de ciberseguridad en toda la UE, la Comisión ha desarrollado una plataforma global denominada Atlas de Ciberseguridad.
Orientación normativa
Plan director para una respuesta coordinada a los principales ciberataques
El plan de la Comisión para una respuesta rápida de emergencia proporciona un plan en caso de ciberincidente o crisis transfronteriza a gran escala. Establece los objetivos y los modos de cooperación entre los Estados miembros y las instituciones de la UE para responder a tales incidentes y crisis. Explica cómo los mecanismos de gestión de crisis existentes pueden hacer pleno uso de las entidades de ciberseguridad existentes a escala de la UE.
Unidad Cibernética Conjunta
Como seguimiento, la presidenta de la Comisión, Ursula von der Leyen, anunció una propuesta para una Unidad Cibernética Conjunta a escala de la UE. La Recomendación sobre la creación de la Unidad Cibernética Conjunta anunciada por la Comisión el 23 de junio de 2021 es un paso importante para completar el marco europeo de gestión de crisis de ciberseguridad. Es un resultado concreto de la Estrategia de Ciberseguridad de la UE y de la Estrategia de la UE para una Unión de la Seguridad, que contribuye a una economía y una sociedad digitales seguras.
La Unidad Cibernética Conjunta actuará como plataforma para garantizar una respuesta coordinada de la UE a los ciberincidentes y crisis a gran escala, así como para ofrecer asistencia para recuperarse de estos ataques.
Despliegue seguro de la 5G en la UE
Está previsto que las redes 5G se desplieguen en toda la UE. Ofrecerán enormes beneficios, pero también tendrán más puntos de entrada potenciales para los atacantes debido a la naturaleza menos centralizada de su arquitectura, un mayor número de antenas y una mayor dependencia del software. El conjunto de instrumentos de la UE sobre la 5G establece medidas para reforzar los requisitos de seguridad de las redes 5G, aplicar las restricciones pertinentes a los proveedores considerados de alto riesgo y garantizar la diversificación de los proveedores.
Garantizar el proceso electoral
Nuestras democracias europeas se han vuelto cada vez más digitales: las campañas políticas tienen lugar en línea y las propias elecciones se celebran a través del voto electrónico en muchos países.
La Comisión ha emitido recomendaciones para la ciberseguridad de las elecciones al Parlamento Europeo, como parte de un paquete más amplio de recomendaciones para apoyar unas elecciones europeas libres y justas. Un mes antes de las elecciones europeas de 2019, el Parlamento Europeo, los países de la UE, la Comisión y ENISA llevaron a cabo una prueba en directo de su preparación.
Habilidades y sensibilización
Habilidades
Solo podemos garantizar la seguridad digital si contamos con expertos con los conocimientos y habilidades adecuados, y actualmente no hay suficientes. Esta es la razón por la que la Comisión está tomando medidas para estimular el desarrollo de capacidades en materia de ciberseguridad.
La Comisión elaboró un llamamiento en favor de un marco coherente para la enseñanza de las capacidades en materia de ciberseguridad en la educación universitaria y profesional. Los cuatro proyectos piloto que preparan el centro de competencia y la red de ciberseguridad de ECSO están trabajando actualmente en ello. También hay iniciativas recurrentes destinadas directamente a los estudiantes, como el reto anual europeo en materia de ciberseguridad.
Las capacidades de ciberseguridad entran en el ámbito de aplicación de la Agenda General de Capacidades Digitales de la Comisión. También forman parte de los esfuerzos de financiación en el marco de Horizonte 2020, Horizonte Europa y el Programa Europa Digital. Un ejemplo es la financiación de «ciberrangos», que son entornos de simulación en vivo de ciberamenazas para la formación.
Sensibilización
El factor humano es a menudo el eslabón débil de la ciberseguridad: Alguien que hace clic en un enlace de phishing puede tener enormes consecuencias. Por lo tanto, la Comisión sensibiliza sobre la ciberseguridad y promueve las mejores prácticas entre el público en general. Por ejemplo, una vez al año organiza el Mes Europeo de la Ciberseguridad junto con ENISA.
La Academia de Capacidades de Ciberseguridad de la UE
La Academia de Competencias en Ciberseguridad de la UE, puesta en marcha como parte del Año Europeo de las Competencias, pondrá en común iniciativas privadas y públicas a escala europea y nacional para abordar la brecha en la mano de obra en materia de ciberseguridad. La iniciativa se alojará en línea en la plataforma de empleos y capacidades de la Comisión y contará con oportunidades de financiación, formación y certificaciones de toda la UE, para aquellos interesados en una carrera en ciberseguridad.
Comunicación sobre la Academia de Cibercapacidades de la UE
Ficha informativa de la Academia de Cibercapacidades de la UE
Comunidad cibernética
ENISA, la agencia de ciberseguridad de la UE
ENISA es la agencia de la UE que se ocupa de la ciberseguridad. Presta apoyo a los Estados miembros, las instituciones de la UE y las empresas en ámbitos clave, incluida la aplicación de la Directiva SRI.
ISACs
Los Centros de Intercambio y Análisis de Información (ISAC) fomentan la colaboración entre la comunidad de ciberseguridad en diferentes sectores de la economía. Seguir desarrollando ISAC tanto a nivel nacional como de la UE es una prioridad para la Comisión. En colaboración con ENISA, la Comisión también promueve el establecimiento de nuevos ISAC en sectores que no están cubiertos. El «consorcio de empoderamiento de los ISAC de la UE», supervisado por la Comisión, proporciona apoyo jurídico, técnico y organizativo a los ISAC.
CCI
El Centro Común de Investigación (JRC) de la Comisión contribuye activamente a la ciberseguridad en la UE. Por ejemplo, el CCI ha desarrollado una taxonomía de ciberseguridad. Esto alinea la terminología utilizada en ciberseguridad para que podamos tener una visión más clara de las capacidades de ciberseguridad en la UE.
El JRC también publicó recientemente un informe que ofrece información sobre el panorama actual de la ciberseguridad de la UE y su historia, titulado «Ciberseguridad:nuestro ancla digital».
CSIRT/CERT
En virtud de la Directiva SRI, los Estados miembros de la UE deben garantizar el buen funcionamiento de los equipos de respuesta a incidentes de seguridad informática («CSIRT»), también conocidos como equipos de respuesta a emergencias informáticas («CERT»). Estos equipos se ocupan de los incidentes y riesgos de ciberseguridad en la práctica. Cooperan entre sí a escala de la UE y también colaboran con el sector privado.
Todos los tipos de operadores de servicios esenciales y proveedores de servicios digitales deben estar cubiertos por CSIRT designados.
Las principales tareas de los CSIRT son:
- el seguimiento de los incidentes a nivel nacional;
- proporcionar alertas tempranas, alertas, anuncios y otra información sobre riesgos e incidentes a las partes interesadas pertinentes;
- responder a los incidentes;
- proporcionar análisis dinámicos de riesgos e incidentes y conciencia situacional;
- participar en la red de CSIRT.
ECSO
La Organización Europea de Ciberseguridad (ECSO) se creó en 2016 para actuar como contraparte de la Comisión en una asociación público-privada contractual que abarca Horizonte 2020 en los años 2016 a 2020. La mayoría de los 250 miembros de la ECSO pertenecen a la industria de la ciberseguridad o a instituciones académicas y de investigación en este ámbito. En menor medida, los miembros de ECSO también incluyen actores del sector público e industrias del lado de la demanda.
Además de formular recomendaciones sobre Horizonte 2020, ECSO lleva a cabo diversas actividades destinadas a la construcción de comunidades y el desarrollo industrial a nivel europeo.
Women4Cyber
Es importante destacar el papel de las mujeres en la comunidad de ciberseguridad, que están infrarrepresentadas. Por este motivo, la Comisión ha creado el Registro Women4Cyber, en cooperación con la iniciativa Women4Cyber de la ECSO. Hace que sea más fácil para los medios de comunicación, organizadores de eventos y otros encontrar a las muchas mujeres talentosas que trabajan en ciberseguridad, por lo que estas mujeres se vuelven más visibles y prominentes en la comunidad cibernética y el debate público.
Diálogos cibernéticos
La UE colabora con sus socios para promover intereses compartidos en la política de ciberseguridad. El 9.o Diálogo Cibernético UE-EE. UU. tuvo lugar en Bruselas en diciembre de 2023. La UE y los EE.UU. han avanzado en la cooperación en ámbitos como la ciberdiplomacia, la gestión de crisis, el desarrollo de capacidades, la ciberseguridad de las infraestructuras críticas (incluidalanotificación de incidentes),la ciberseguridad de los productos de hardware y software (incluido el Plan de Acción Conjunto sobre Productos Ciberseguros)y los aspectos de ciberseguridad de tecnologías emergentes como la IA.
Desde 2021, la UE y Ucrania han celebrado dos diálogos cibernéticos. En 2023, la Agencia de Ciberseguridad de la UE (ENISA) formalizó un acuerdo de trabajo con sus homólogos ucranianos para fomentar el desarrollo de capacidades, el intercambio de mejores prácticas y el conocimiento de la situación. La UE también ha entablado diálogos cibernéticos con la India, Japón, la República de Corea y Brasil. El primer diálogo cibernético entre la UE y el Reino Unido tuvo lugar en Bruselas en diciembre de 2023.
La ciberseguridad también se debate en el contexto de las asociaciones digitales bilaterales y los diálogos digitales, así como de la Alianza Digital UE-ALC, el diálogo reglamentario UE-Balcanes Occidentales, el diálogo estructurado UE-OTAN sobre resiliencia y el diálogo estructurado UE-OTAN sobre ciberseguridad y defensa. En 2023, el Grupo de Trabajo UE-OTAN sobre la Resiliencia de las Infraestructuras Críticas publicó un informe en el que se describían importantes sectores transversales.
El 11 de noviembre de 2024, la UE y Japón celebraron su sexto diálogo cibernético en Tokio, donde intercambiaron información sobre el panorama de amenazas y la respuesta a las actividades malintencionadas cibernéticas, proporcionaron actualizaciones sobre sus últimos avances políticos y legislativos en materia de ciberseguridad, así como en los ámbitos de las tecnologías emergentes, la gestión de crisis cibernéticas y la ciberdefensa.
Otros ámbitos de la ciberpolítica
Ciberdelincuencia
Los delincuentes comunes hacen uso de ciberataques que amenazan a los europeos. El Departamento de Migración y Asuntos de Interior de la Comisión supervisa y actualiza la legislación de la UE en materia de ciberdelincuencia y apoya la capacidad policial. La Comisión también colabora con el Centro Europeo de Ciberdelincuencia de Europol.
Ciberdiplomacia
La UE está haciendo esfuerzos para protegerse contra las ciberamenazas procedentes de fuera de sus fronteras. Como parte de ello, la Comisión colabora con el Servicio Europeo de Acción Exterior y los Estados miembros en la aplicación de una respuesta diplomática conjunta a las actividades informáticas malintencionadas (el «conjunto de instrumentos de ciberdiplomacia»). Esta respuesta incluye la cooperación y el diálogo diplomáticos, medidas preventivas contra los ciberataques y sanciones contra quienes participen en ciberataques que amenacen a la UE.
La Comisión asiste en la toma de decisiones sobre la respuesta a las ciberamenazas externas siempre que sea necesario. También financia directamente la actual Iniciativa de Apoyo a la Ciberdiplomacia de la UE.
Ciberdefensa
El 10 de noviembre de 2022, la Comisión y el Alto Representante presentaron una Comunicación conjunta sobre una política de ciberdefensa de la UE para hacer frente al deterioro del entorno de seguridad tras la agresión de Rusia contra Ucrania e impulsar la capacidad de la UE para proteger a sus ciudadanos e infraestructuras.
La política de ciberdefensa de la UE se basa en cuatro pilares que abarcan una amplia gama de iniciativas que ayudarán a la UE y a los Estados miembros a ser más capaces de detectar, disuadir y defenderse contra los ciberataques:
1. Actuar juntos para reforzar la ciberdefensa de la UE
2. Asegurar el ecosistema de defensa
3. Invertir en capacidades de ciberdefensa
4. Asociarse para abordar desafíos comunes
La nueva política exige inversiones encapacidades de ciberdefensa de espectro completo y reforzará la coordinación y la cooperación entre las comunidades cibernéticas militares y civiles de la UE. Mejorará la cooperación con el sector privado y la gestión eficiente de las crisis cibernéticas dentro de la Unión. La nueva política también contribuirá a reducir nuestras dependencias estratégicas en tecnologías cibernéticas críticas y a reforzar la base industrial tecnológica de la defensa europea (BITDE). Estimulará la formación, la atracción y la retención de cibertalentos.
La UE coopera en materia de defensa en el ciberespacio a través de las actividades de la Comisión Europea, el Servicio Europeode Acción Exterior (SEAE),la Agencia Europea de Defensa, así como ENISA y la Agencia de la Unión Europea para la Cooperación Policial (Europol).
Desarrollo de cibercapacidades en terceros países
La UE coopera con otros países para ayudar a desarrollar su capacidad de defensa contra las amenazas a la ciberseguridad. La Comisión apoya diversos programas de ciberseguridad en los Balcanes Occidentales y los seis países de la Asociación Oriental de la vecindad inmediata de la UE, así como en otros países del mundo a través de su departamento de Cooperación Internacional y Desarrollo.
Últimas noticias
Biblioteca
- 17-10-2024NIS2: Reglamento de Ejecución de la Comisión sobre entidades y redes críticas
- 11-09-2024Nueva modificación del programa de trabajo del programa Europa Digital para 2023-2024
- 11-04-2024Recomendación sobre una hoja de ruta de aplicación coordinada para la transición a la criptografía post-cuántico
Eventos
- 05-02-2024 - 06-02-2024De la investigación a la realidad: soluciones digitales para los retos europeos
- 14-12-2023Contratación pública de innovación como catalizador para la adopción de los resultados de la investigación en materia de seguridad
- 06-05-2023#DigitalEU en la Jornada Europea de Puertas Abiertas el sábado 6 de mayo
Consulta
- 27-06-2024 - 25-07-2024Consulta sobre el proyecto de acto de ejecución en virtud de la Directiva SRI2
- 21-02-2024 - 30-06-2024Consulta sobre el Libro Blanco: «¿Cómo dominar las necesidades de infraestructura digital de Europa?»
- 13-02-2024 - 05-03-2024Evaluación del Reglamento de Ciberseguridad
Contenidos relacionados
Visión general
La UE ha esbozado una estrategia de ciberseguridad para impulsar la capacidad de Europa de luchar contra los ciberataques y recuperarse de ellos.
En detalle
La Ley de Cibersolidaridad de la UE mejorará la preparación, la detección y la respuesta a los incidentes de ciberseguridad en toda la UE.
Las nuevas normas de ciberseguridad de la UE garantizan un hardware y un software más seguros.
Los operadores de Servicios Esenciales (OES), las Autoridades Nacionales de Certificación de Ciberseguridad (NCCA) y las Autoridades Nacionales Competentes (ANNC) en materia de ciberseguridad se encuentran entre los solicitantes seleccionados que recibirán 11 millones EUR en...
The European Cybersecurity Network and Cybersecurity Competence Centre help the EU retain and develop cybersecurity technological and industrial capacities.
El Grupo de Certificación de Ciberseguridad de las Partes Interesadas se creó para proporcionar asesoramiento sobre cuestiones estratégicas relacionadas con la certificación de la ciberseguridad.
La Ley de Ciberseguridad refuerza la Agencia de la UE para la ciberseguridad (ENISA) y establece un marco de certificación de la ciberseguridad para productos y servicios.
El marco de certificación de la ciberseguridad de la UE para los productos de TIC permite la creación de regímenes de certificación de la UE adaptados y basados en el riesgo.
La Directiva NIS2 es la legislación a escala de la UE en materia de ciberseguridad. Proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE.
Véase también
The EU Cybersecurity Strategy aims to build resilience to cyber threats and ensure citizens and businesses benefit from trustworthy digital technologies.
Contenido relacionado
Ciberseguridad en el programa DIGITAL Europa
El Programa Europa Digital ayudará a la UE a alcanzar un alto nivel común de ciberseguridad.