Políticas de ciberseguridad

Nueva estrategia

La Comisión Europea y la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron una nueva Estrategia de Ciberseguridad de la UE a finales de 2020.

La Estrategia cubre la seguridad de servicios esenciales como hospitales, redes energéticas y ferrocarriles. También cubre la seguridad del número cada vez mayor de objetos conectados en nuestros hogares, oficinas y fábricas.

La Estrategia se centra en la creación de capacidades colectivas para responder a los principales ciberataques y en trabajar con socios de todo el mundo para garantizar la seguridad y la estabilidad internacionales en el ciberespacio. Describe cómo una Unidad Cibernética Conjunta puede garantizar la respuesta más eficaz a las ciberamenazas utilizando los recursos colectivos y los conocimientos especializados disponibles para la UE y los Estados miembros.

Legislación y certificación

Directiva relativa a la seguridad de las redes y los sistemas de información (Directiva SRI)

Las amenazas de ciberseguridad son casi siempre transfronterizas, y un ciberataque en las instalaciones críticas de un país puede afectar a la UE en su conjunto. Los países de la UE deben contar con organismos gubernamentales sólidos que supervisen la ciberseguridad en su país y que colaboren con sus homólogos de otros Estados miembros mediante el intercambio de información. Esto es particularmente importante para los sectores que son críticos para nuestras sociedades.

La Directiva NEI, que todos los países han aplicado, garantiza la creación y cooperación de dichos órganos gubernamentales. La presente Directiva se revisó a finales de 2020.

Como resultado del proceso de revisión, la Comisión presentó la propuesta de Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (DirectivaNIS2) el 16 de diciembre de 2020.

ENISA — Agencia de ciberseguridad de la UE

ENISA («Agencia de la Unión Europea para la Seguridad de las Redes y de la Información») es la agencia de la UE que se ocupa de la ciberseguridad. Presta apoyo a los Estados miembros, las instituciones de la UE y las empresas en ámbitos clave, incluida la aplicación de la Directiva SRI.

Ley de ciberseguridad

La Ley de Ciberseguridad refuerza el papel de ENISA. La Agencia tiene ahora un mandato permanente y está facultada para contribuir a intensificar la cooperación operativa y la gestión de crisis en toda la UE. También cuenta con más recursos financieros y humanos que antes.

Certificación

Nuestras vidas digitales solo pueden funcionar bien si existe la confianza del público en general en la ciberseguridad de los productos y servicios de TI. Es importante que podamos ver que un producto ha sido comprobado y certificado para cumplir con los altos estándares de ciberseguridad. Actualmente existen varios sistemas de certificación de seguridad para productos informáticos en toda la UE. Tener un único esquema común de certificación sería más fácil y claro para todos.

Por lo tanto, la Comisión está trabajando en un marco de certificación a escala de la UE, con ENISA en su centro. La Ley de Ciberseguridad describe el proceso para lograr este marco.

Inversión

Plan de Recuperación

La ciberseguridad es una de las prioridades de la Comisión en su respuesta a la crisis del coronavirus, ya que hubo un aumento de los ciberataques durante el confinamiento. El Plan de Recuperación para Europa incluye inversiones adicionales en ciberseguridad.

Apoyo a la investigación y la innovación: Horizonte 2020 y cPPP; Horizonte Europa

La investigación en seguridad digital es esencial para construir soluciones innovadoras que puedan protegernos contra las últimas y más avanzadas amenazas cibernéticas. Es por eso que la ciberseguridad es una parte importante de Horizonte 2020 y su sucesor, Horizonte Europa. 

En Horizonte Europa, para el período 2021-2027, la ciberseguridad forma parte del clúster «Seguridad civil para la sociedad». Actualmente se está preparando el programa de trabajo 2021-2022.

Como parte de Horizonte 2020, la Comisión cofinanció la investigación y la innovación en temas como la preparación en materia de ciberseguridad a través de gamas y simulación cibernética, la ciberseguridad para las pequeñas y medianas empresas, la ciberseguridad en el sistema eléctrico y energético, y la ciberseguridad y la protección de datos en sectores críticos. Estos temas pertenecen al clúster «Sociedades seguras — Proteger la libertad y la seguridad de Europa y sus ciudadanos».

En 2016, se estableció la asociación contractual público-privada Horizonte 2020 sobre ciberseguridad entre la Comisión Europea y la Organización Europea de Seguridad Cibernética (ECSO), una asociación compuesta por miembros de la industria cibernética, el mundo académico, las administraciones públicas y más.

Apoyo a las capacidades cibernéticas y al despliegue

Nuestras infraestructuras físicas y digitales están muy estrechamente entrelazadas. Por consiguiente, la Comisión también ha invertido en ciberseguridad como parte de su programa de financiación de inversiones en infraestructuras, el Mecanismo «Conectar Europa», para el período 2014-2020.

El apoyo del MCE se ha dirigido a equipos de respuesta a incidentes de seguridad informática, operadores de servicios esenciales (OES), proveedores de servicios digitales (DSP), puntos de contacto únicos (SPOC) y autoridades nacionales competentes (ANC). Esto mejora las capacidades de ciberseguridad y la colaboración transfronteriza dentro de la UE, apoyando la aplicación de la Estrategia de Ciberseguridad de la UE.

El Programa Europa Digital, para el período 2021-2027, es un programa ambicioso que tiene previsto invertir 1 900 millones EUR en capacidad de ciberseguridad y el amplio despliegue de infraestructuras y herramientas de ciberseguridad en toda la UE para administraciones públicas, empresas y particulares.

La ciberseguridad también forma parte de InvestEU. InvestEU es un programa general que reúne muchos instrumentos financieros y utiliza la inversión pública para asegurar nuevas inversiones del sector privado. Su instrumento de inversión estratégica apoyará las cadenas de valor clave en ciberseguridad. Es una parte importante del paquete de recuperación en respuesta a la crisis del coronavirus.

Centro y Red de Competencias en Ciberseguridad; Atlas

El centro europeo de competencia industrial, tecnológica y de investigación en materia de ciberseguridad pondrá en común los conocimientos especializados y armonizará el desarrollo y el despliegue europeos de la tecnología de la ciberseguridad. Trabajará con la industria, la comunidad académica y otros para construir una agenda común para las inversiones en ciberseguridad y decidirá las prioridades de financiación para la investigación, el desarrollo y el despliegue de soluciones de ciberseguridad a través de los programas Horizonte Europa y Europa Digital.

Actualmente, se están ejecutando cuatro proyectos piloto para sentar las bases para el Centro y la Red de Competencias. Involucran a más de 170 socios.

Para una mejor visión general de la experiencia y la capacidad en materia de ciberseguridad en toda la UE, la Comisión ha desarrollado una plataforma global denominada Atlas de Ciberseguridad.

Orientación de políticas

Plan de respuesta coordinada a los principales ciberataques

El plan de la Comisión para una respuesta rápida de emergencia proporciona un plan en caso de ciberincidentes o crisis transfronterizas a gran escala. Establece los objetivos y modalidades de cooperación entre los Estados miembros y las instituciones de la UE para responder a tales incidentes y crisis. En él se explica cómo los mecanismos de gestión de crisis existentes pueden hacer pleno uso de las entidades de ciberseguridad existentes a escala de la UE.

Unidad Cibernética Conjunta

Como seguimiento, la presidenta de la Comisión, Ursula von der Leyen, anunció una propuesta para una Unidad Cibernética Conjunta a escala de la UE. La Recomendación sobre la creación de la Unidad Cibernética Conjunta anunciada por la Comisión el 23 de junio de 2021 es un paso importante para completar el marco europeo de gestión de crisis de ciberseguridad. Es un resultado concreto de la Estrategia de Ciberseguridad de la UE y de la Estrategia de la Unión de la Seguridad de la UE, que contribuye a una economía y una sociedad digitales seguras.

La Unidad Cibernética Conjunta actuará como plataforma para garantizar una respuesta coordinada de la UE a los incidentes y crisis cibernéticos a gran escala, así como para ofrecer asistencia para recuperarse de estos ataques.

Despliegue seguro de 5G en la UE

Está previsto que las redes 5G se desplieguen en toda la UE. Ofrecerán enormes beneficios, pero también tendrán más puntos de entrada potenciales para los atacantes debido a la naturaleza menos centralizada de su arquitectura, un mayor número de antenas y una mayor dependencia del software. La caja de herramientas de la UE sobre 5G establece medidas para reforzar los requisitos de seguridad de las redes 5G, aplicar las restricciones pertinentes a los proveedores considerados de alto riesgo y garantizar la diversificación de los proveedores.

Asegurar el proceso electoral

Nuestras democracias europeas se han vuelto cada vez más digitales: las campañas políticas se llevan a cabo en línea y las propias elecciones se realizan a través del voto electrónico en muchos países. 

La Comisión ha formulado recomendaciones para la ciberseguridad de las elecciones al Parlamento Europeo, como parte de un paquete más amplio de recomendaciones para apoyar las elecciones europeas libres y justas. Un mes antes de las elecciones europeas de 2019, el Parlamento Europeo, los países de la UE, la Comisión y ENISA llevaron a cabo una prueba en vivo de su preparación.

Habilidades y conciencia

Habilidades

Solo podemos garantizar la seguridad digital si tenemos expertos con los conocimientos y habilidades adecuados, y actualmente no hay suficientes. Por este motivo, la Comisión está tomando medidas para estimular el desarrollo de las capacidades en materia de ciberseguridad.

La Comisión preparó un llamamiento para establecer un marco coherente para la enseñanza de las competencias en materia de ciberseguridad en la educación universitaria y profesional. Los cuatro proyectos piloto que preparan el centro y la red de competencias en materia de ciberseguridad de ECSO están trabajando actualmente en este sentido. También hay iniciativas recurrentes dirigidas directamente a los estudiantes, como el desafío anual de ciberseguridad europeo.

Las competencias en ciberseguridad entran en el ámbito de la agenda general de la Comisión en materia de capacidades digitales. También forman parte de los esfuerzos de financiación en el marco de Horizonte 2020, Horizonte Europa y el Programa Europa Digital. Un ejemplo de ello es la financiación de los «niveles cibernéticos», que son entornos de simulación en vivo de ciberamenazas para la formación.

Conciencia

El factor humano es a menudo el eslabón débil de la ciberseguridad: alguien que haga clic en un enlace de phishing puede tener enormes consecuencias. Por lo tanto, la Comisión crea conciencia sobre la ciberseguridad y promueve las mejores prácticas entre el público en general. Por ejemplo, una vez al año organiza el Mes Europeo de la Ciberseguridad junto con ENISA.

Comunidad cibernética

ENISA — Agencia de ciberseguridad de la UE

ENISA es la agencia de la UE que se ocupa de la ciberseguridad. Presta apoyo a los Estados miembros, las instituciones de la UE y las empresas en ámbitos clave, incluida la aplicación de la Directiva SRI.

ISACs

Los Centros de Intercambio de Información y Análisis (ISAC) fomentan la colaboración entre la comunidad de ciberseguridad en diferentes sectores de la economía. Un mayor desarrollo de los CAIE tanto a nivel de la UE como nacional es una prioridad para la Comisión. En colaboración con ENISA, la Comisión también promueve la creación de nuevos ISAC en sectores que no están cubiertos. El consorcio «Empowering EU ISACs», supervisado por la Comisión, proporciona apoyo jurídico, técnico y organizativo a las ISAC.

JRC

El Centro Común de Investigación (CCI) de la Comisión está contribuyendo activamente a la ciberseguridad en la UE. Por ejemplo, el CCI ha desarrollado una taxonomía de ciberseguridad. Esto alinea la terminología utilizada en ciberseguridad para que podamos tener una visión más clara de las capacidades de ciberseguridad en la UE.

El CCI también publicó recientemente un informe que proporciona información sobre el panorama actual de la ciberseguridad de la UE y su historia, titulado «Cybersecurity — our digital anchor».

CSIRT/CERTs

En virtud de la Directiva SRI, los Estados miembros de la UE están obligados a garantizar el buen funcionamiento de los equipos de respuesta a incidentes de seguridad informática («CSIRT»), también conocidos como equipos de respuesta a emergencias informáticas («CERT»). Estos equipos se ocupan de los incidentes y riesgos de ciberseguridad en la práctica. Cooperan entre sí a escala de la UE y también colaboran con el sector privado. Todos los tipos de operadores de servicios esenciales y proveedores de servicios digitales deben estar cubiertos por CSIRT designados.

Las principales tareas de los CSIRT son:

• el seguimiento de los incidentes a nivel nacional;
• proporcionar alertas tempranas, alertas, anuncios y otra información sobre riesgos e incidentes a las partes interesadas pertinentes;
• responder a los incidentes;
• proporcionar análisis dinámicos de riesgos e incidentes y conocimiento de la situación;
• participar en la red de CSIRTs.

ECSO

La Organización Europea de Ciberseguridad (ECSO) se creó en 2016 con el fin de actuar como contraparte de la Comisión en una asociación contractual público-privada que abarca Horizonte 2020 en los años 2016 a 2020. La mayoría de los 250 miembros de ECSO pertenecen a la industria de la ciberseguridad o a instituciones académicas y de investigación en el campo. En menor medida, los miembros de ECSO también están integrados por agentes del sector público e industrias del lado de la demanda.

Además de formular recomendaciones sobre Horizonte 2020, ECSO lleva a cabo diversas actividades destinadas a la construcción comunitaria y el desarrollo industrial a escala europea.

Women4Cyber

Es importante destacar el papel de las mujeres en la comunidad de ciberseguridad, que están infrarrepresentadas. Por ello, la Comisión ha creado el Registro Women4Cyber, en cooperación con la iniciativa Women4Cyber de ECSO. Hace que sea más fácil para los medios de comunicación, organizadores de eventos y otros encontrar a las muchas mujeres talentosas que trabajan en ciberseguridad, por lo que estas mujeres se vuelven más visibles y prominentes en la comunidad cibernética y el debate público.

Otros ámbitos de política cibernética

Ciberdelincuencia

Los delincuentes comunes hacen uso de ciberataques que amenazan a los europeos. El departamento de Migración y Asuntos de Interior de la Comisión supervisa y actualiza la legislación de la UE en materia de ciberdelincuencia y apoya la capacidad policial. La Comisión también colabora con el Centro Europeo de Ciberdelincuencia de Europol.

Ciberdiplomacia

La UE está haciendo esfuerzos para protegerse contra las ciberamenazas desde fuera de sus fronteras. Como parte de esto, la Comisión trabaja junto con el Servicio Europeo de Acción Exterior y los Estados miembros en la aplicación de una respuesta diplomática conjunta a las actividades cibernéticas maliciosas (la «caja de herramientas de ciberdiplomacia»). Esta respuesta incluye la cooperación y el diálogo diplomáticos, las medidas preventivas contra los ciberataques y las sanciones contra los implicados en ciberataques que amenazan a la UE.

La Comisión ayuda en la toma de decisiones sobre la respuesta a las ciberamenazas externas siempre que sea necesario. También financia directamente la actual Iniciativa de Apoyo a la Diplomacia Cibernética de la UE.

Defensa

La UE coopera en materia de defensa en el ciberespacio a través de las actividades de la Agencia Europea de Defensa, así como de ENISA, Europol y la Dirección General de la Comisión responsable de la industria de la defensa.

Desarrollo de capacidades cibernéticas en terceros países

La UE coopera con otros países para ayudar a desarrollar su capacidad de defensa contra las amenazas de ciberseguridad. La Comisión apoya varios programas de ciberseguridad en los Balcanes Occidentales y losseis países de la asociación oriental de la vecindad inmediata de la UE, así como en otros países de todo el mundo a través de su departamento de Cooperación Internacional y Desarrollo.