Políticas de Ciberseguridad

La Comisión Europea y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron una nueva Estrategia de Ciberseguridad de la UE a finales de 2020.

La Estrategia cubre la seguridad de servicios esenciales como hospitales, redes energéticas y ferrocarriles. También cubre la seguridad del número cada vez mayor de objetos conectados en nuestros hogares, oficinas y fábricas.

La Estrategia se centra en la creación de capacidades colectivas para responder a los principales ciberataques y trabajar con socios de todo el mundo para garantizar la seguridad internacional y la estabilidad en el ciberespacio.

Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión (Directiva SRI 2)

Las amenazas a la ciberseguridad son casi siempre transfronterizas, y un ciberataque contra las instalaciones críticas de un país puede afectar a la UE en su conjunto. Los países de la UE deben contar con organismos gubernamentales sólidos que supervisen la ciberseguridad en su país y que colaboren con sus homólogos de otros Estados miembros compartiendo información. Esto es particularmente importante para los sectores que son críticos para nuestras sociedades.

La primera Directiva sobre la seguridad de las redes y sistemas de información (DirectivaSRI)garantiza la creación y la cooperación de dichos organismos gubernamentales. Esta Directiva se revisó a finales de 2020, lo que dio lugar a la propuesta y adopción de la Directiva SRI 2. Los Estados miembros tenían hasta el 18 de octubre de 2024 para transponer y aplicar plenamente la SRI 2.

ENISA, la agencia de ciberseguridad de la UE

ENISA es la Agencia de la Unión Europea para la Ciberseguridad, creada en 2005. El mandato se revisó en 2019 y, desde entonces, la Agencia tiene un mandato permanente. 

Los principales objetivos y tareas de ENISA se establecen en el acto de base, a saber, el Reglamento de Ciberseguridad. ENISA presta apoyo a los Estados miembros, las instituciones de la UE y las empresas en ámbitos clave, como la aplicación de la Directiva SRI, la Ley de Ciberresiliencia y la Ley de Cibersolidaridad. La Agencia también apoya el proceso de certificación de la ciberseguridad de los productos, servicios y procesos de TIC, tal como se establece en el título III de la CSA. 

Ley de Ciberseguridad

El Reglamento de Ciberseguridad se adoptó en 2019 y reforzó el papel de la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Confirió a la Agencia un mandato permanente y la capacitó para contribuir a intensificar tanto la cooperación operativa como la gestión de crisis en toda la UE. También tiene más recursos financieros y humanos que antes.

El Reglamento de Ciberseguridad también estableció el Marco Europeo de Certificación de la Ciberseguridad (ECCF), que establece requisitos comunes de ciberseguridad y criterios de evaluación para la certificación de productos, servicios y procesos de TIC. Encontrará más información en el sitio web específico de ENISA .

Una modificación específica del Reglamento de Ciberseguridad, adoptada el 15 de enero de 2025, amplió el ámbito de aplicación de la certificación a los servicios de seguridad gestionados.

Ley de Ciberresiliencia

Ley de Cibersolidaridad

La Ley de Cibersolidaridad entró en vigor el 4 de febrero de 2025 con el objetivo de mejorar la preparación, la detección y la respuesta a los incidentes de ciberseguridad en toda la UE.

El Plan Cibernético

El 24 de febrero de 2025 se publicó un proyecto de Recomendación del Consejo sobre el Plan director de la UE para la gestión de crisis de ciberseguridad (Plan director cibernético). El objetivo de la presente Recomendación es presentar de manera clara, sencilla y accesible el marco de la UE para la gestión de cibercrisis. El plan propuesto actualiza el marco global de la UE para la gestión de crisis de ciberseguridad y describe los agentes pertinentes de la UE, describiendo sus funciones a lo largo de todo el ciclo de vida de la crisis. Esto incluye la preparación y el conocimiento compartido de la situación para anticipar incidentes cibernéticos, y las capacidades de detección necesarias para identificarlos, incluidas las herramientas de respuesta y recuperación necesarias para mitigar, disuadir y contener esos incidentes.

Plan de Recuperación

La ciberseguridad es una de las prioridades de la Comisión en su respuesta a la crisis del coronavirus, ya que hubo un aumento de los ciberataques durante el confinamiento. El Plan de Recuperación para Europa incluye inversiones adicionales en ciberseguridad.

Apoyo a la investigación y la innovación: Horizonte 2020 y la APPc; Horizonte Europa

La investigación en seguridad digital es esencial para construir soluciones innovadoras que puedan protegernos contra las amenazas cibernéticas más recientes y avanzadas. Es por eso que la ciberseguridad es una parte importante de Horizonte 2020 y su sucesor, Horizonte Europa. 

En Horizonte Europa, para el período 2021-2027, la ciberseguridad forma parte del clúster «Seguridad civil para la sociedad». 

Como parte de Horizonte 2020, la Comisión cofinanció la investigación y la innovación en temas como la preparación en materia de ciberseguridad a través de ciberrangos y simulación, la ciberseguridad para las pequeñas y medianas empresas, la ciberseguridad en el sistema eléctrico y energético y la ciberseguridad y la protección de datos en sectores críticos. Estos temas se enmarcan en el clúster «Sociedades seguras: protección de la libertad y la seguridad de Europa y de sus ciudadanos».

En 2016, se estableció la asociación contractual público-privada (CPP) de Horizonte 2020 sobre ciberseguridad entre la Comisión Europea y la Organización Europea de Ciberseguridad (ECSO), una asociación compuesta por miembros de la ciberindustria, el mundo académico, las administraciones públicas y más.

Apoyo a las cibercapacidades y al despliegue

Nuestras infraestructuras físicas y digitales están estrechamente entrelazadas. Por lo tanto, la Comisión también ha invertido en ciberseguridad como parte de su programa de financiación de inversiones en infraestructuras, el Mecanismo «Conectar Europa» (MCE), para el período 2014-2020.

El apoyo del MCE se ha destinado a los equipos de respuesta a incidentes de seguridad informática, los operadores de servicios esenciales, los proveedores de servicios digitales, los puntos de contacto únicos y las autoridades nacionales competentes. Esto mejora las capacidades de ciberseguridad y la colaboración transfronteriza dentro de la UE, apoyando la aplicación de la Estrategia de Ciberseguridad de la UE.

El Programa Europa Digital, para el período 2021-2027, es un programa ambicioso que tiene previsto invertir 1 900 millones de euros en capacidad de ciberseguridad y en el amplio despliegue de infraestructuras y herramientas de ciberseguridad en toda la UE para las administraciones públicas, las empresas y los particulares.

La ciberseguridad también forma parte de InvestEU, que es un programa general que reúne muchos instrumentos financieros y utiliza la inversión pública para garantizar nuevas inversiones del sector privado. Su mecanismo de inversión estratégica apoyará cadenas de valor clave en ciberseguridad. Es una parte importante del paquete de recuperación en respuesta a la crisis del coronavirus.

Atlas de Ciberseguridad

El Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad pondrá en común conocimientos especializados y armonizará el desarrollo y el despliegue europeos de tecnologías de ciberseguridad. Trabajará con la industria, la comunidad académica y otros para elaborar una agenda común de inversiones en ciberseguridad y decidir las prioridades de financiación para la investigación, el desarrollo y el despliegue de soluciones de ciberseguridad a través de los programas Horizonte Europa y Europa Digital.

Actualmente, se están ejecutando cuatro proyectos piloto para sentar las bases del Centro de Competencia y la Red. Involucran a más de 170 socios.

Para tener una mejor visión general de los conocimientos especializados y la capacidad en materia de ciberseguridad en toda la UE, la Comisión ha desarrollado una plataforma global denominada Atlas de Ciberseguridad.

Despliegue seguro de la 5G en la UE

Las redes 5G representan una infraestructura digital clave, ya que son la columna vertebral de muchos servicios críticos. Garantizar la ciberseguridad y la resiliencia de esta infraestructura crítica es esencial. Sobre la base de una evaluación de riesgos coordinada, los Estados miembros del Grupo de Cooperación SRI, junto con la Comisión y la ENISA, desarrollaron el conjunto de instrumentos de la UE sobre ciberseguridad 5G, que establece medidas para reforzar los requisitos de seguridad de las redes 5G, aplicar las restricciones pertinentes a los proveedores de alto riesgo y garantizar la diversificación de los proveedores.

La situación de la aplicación del conjunto de instrumentos 5G por parte de los Estados miembros se describe en el segundo informe de situación de junio de 2023 del Grupo de Cooperación SRI. La Comisión también realizó su propia evaluación de los proveedores de 5G, que está disponible en la Comunicación de junio de 2023. 

Garantizar el proceso electoral

Nuestras democracias europeas se han vuelto cada vez más digitales: las campañas políticas tienen lugar en línea y las propias elecciones se celebran a través del voto electrónico en muchos países. 

La Comisión ha emitido recomendaciones para la ciberseguridad de las elecciones al Parlamento Europeo, como parte de un paquete más amplio de recomendaciones para apoyar unas elecciones europeas libres y justas. Un mes antes de las elecciones europeas de 2019, el Parlamento Europeo, los países de la UE, la Comisión y ENISA llevaron a cabo una prueba en directo de su preparación.

Ciberseguridad de hospitales y proveedores de asistencia sanitaria

La digitalización está revolucionando la asistencia sanitaria, permitiendo mejores servicios a los pacientes. Sin embargo, los ciberataques pueden interrumpir estos servicios vitales. El 15 de enero de 2025, la Comisión presentó un plan de acción europeo sobre la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria, como una de las iniciativas prioritarias establecidas en las orientaciones políticas para la Comisión 2024/29.

El plan de acción propone, entre otras cosas, que ENISA, la agencia de la UE para la ciberseguridad, establezca un Centro paneuropeo de apoyo a la ciberseguridad para hospitales y proveedores de asistencia sanitaria, proporcionándoles orientación, herramientas, servicios y formación a medida. La iniciativa se basa en el marco más amplio de la UE para reforzar la ciberseguridad en todas las infraestructuras críticas.

Capacidades para la mano de obra

Solo podemos garantizar la seguridad digital si contamos con expertos con los conocimientos y habilidades adecuados, y actualmente no hay suficientes. Esta es la razón por la que la Comisión está tomando medidas para estimular el desarrollo de capacidades en materia de ciberseguridad y aumentar la mano de obra de la Unión Europea.

Las capacidades de ciberseguridad, que entran en el ámbito de la agenda general de la Comisión sobre capacidades digitales, seguirán ocupando un lugar destacado en la agenda política de la Comisión, con la Unión de Capacidades prevista en las orientaciones políticas de la Comisión para 2024-2029. Los proyectos seguirán financiándose en el marco de diversos programas, en particular el programa Europa Digital y Erasmus+, para colmar la brecha de mano de obra en la Unión Europea. La Comisión seguirá haciendo uso de los instrumentos políticos existentes, como el Programa Político de la Década Digital para 2030 y la posibilidad que ofrece de crear proyectos plurinacionales que aborden las capacidades en materia de ciberseguridad, tal como se prevé en la Comunicación de la Comisión sobre la reducción de la brecha de talento en materia de ciberseguridad para impulsar la competitividad, el crecimiento y la resiliencia de la UE («Academia de Capacidades en Ciberseguridad»).

La Academia Habilidades Ciberseguridad

La Academia de Capacidades en Ciberseguridad, puesta en marcha como parte del Año Europeo de las Capacidades 2023, reúne iniciativas privadas y públicas a escala europea y nacional para abordar la creciente brecha en la mano de obra en materia de ciberseguridad. La Academia, alojada en línea en la plataforma digital de empleos y capacidades de la Comisión, está recibiendo el apoyo de todas las partes interesadas, en particular de la industria, a través de un mecanismo de compromisos, y del mundo académico, con un modelo emblemático basado en el éxito de la Academia: la Red Industria-Academia.

Comunicación sobre la Academia de Cibercapacidades de la UE

Ficha informativa de la Academia de Cibercapacidades de la UE

Sensibilización

El factor humano es a menudo el eslabón débil de la ciberseguridad: Alguien que hace clic en un enlace de phishing puede tener enormes consecuencias. Por lo tanto, la Comisión sensibiliza sobre la ciberseguridad y promueve las mejores prácticas entre el público en general. Por ejemplo, una vez al año organiza el Mes Europeo de la Ciberseguridad junto con ENISA.

ENISA, la agencia de ciberseguridad de la UE

ENISA es la agencia de la UE que se ocupa de la ciberseguridad. Presta apoyo a los Estados miembros, las instituciones de la UE y las empresas en ámbitos clave, incluida la aplicación de la Directiva SRI.

ISACs

Los Centros de Intercambio y Análisis de Información (ISAC) fomentan la colaboración entre la comunidad de ciberseguridad en diferentes sectores de la economía. Seguir desarrollando ISAC tanto a nivel nacional como de la UE es una prioridad para la Comisión. En colaboración con ENISA, la Comisión también promueve el establecimiento de nuevos ISAC en sectores que no están cubiertos. El «consorcio de empoderamiento de los ISAC de la UE», supervisado por la Comisión, proporciona apoyo jurídico, técnico y organizativo a los ISAC.

CCI

El Centro Común de Investigación (JRC) de la Comisión contribuye activamente a la ciberseguridad en la UE. Por ejemplo, el CCI ha desarrollado una taxonomía de ciberseguridad. Esto alinea la terminología utilizada en ciberseguridad para que podamos tener una visión más clara de las capacidades de ciberseguridad en la UE.

El JRC también publicó recientemente un informe que ofrece información sobre el panorama actual de la ciberseguridad de la UE y su historia, titulado «Ciberseguridad:nuestro ancla digital».

CSIRT/CERT

En virtud de la Directiva SRI 2, los Estados miembros de la UE deben garantizar el buen funcionamiento de los equipos de respuesta a incidentes de seguridad informática («CSIRT»), también conocidos como equipos de respuesta a emergencias informáticas («CERT»). Estos equipos se ocupan de los incidentes y riesgos de ciberseguridad en la práctica. Cooperan entre sí a escala de la UE y también colaboran con el sector privado.

Todos los tipos de operadores de servicios esenciales y proveedores de servicios digitales deben estar cubiertos por CSIRT designados.

Las principales tareas de los CSIRT son:

• el seguimiento de los incidentes a nivel nacional;
• proporcionar alertas tempranas, alertas, anuncios y otra información sobre riesgos e incidentes a las partes interesadas pertinentes;
• responder a los incidentes;
• proporcionar análisis dinámicos de riesgos e incidentes y conciencia situacional;
• participar en la red de CSIRT.

ECSO

La Organización Europea de Ciberseguridad (ECSO) se creó en 2016 para actuar como contraparte de la Comisión en una asociación público-privada contractual que abarca Horizonte 2020 en los años 2016 a 2020. La mayoría de los 250 miembros de la ECSO pertenecen a la industria de la ciberseguridad o a instituciones académicas y de investigación en este ámbito. En menor medida, los miembros de ECSO también incluyen actores del sector público e industrias del lado de la demanda.

Además de formular recomendaciones sobre Horizonte 2020, ECSO lleva a cabo diversas actividades destinadas a la construcción de comunidades y el desarrollo industrial a nivel europeo.

Women4Cyber

Es importante destacar el papel de las mujeres en la comunidad de ciberseguridad, que están infrarrepresentadas. Por este motivo, la Comisión ha creado el Registro Women4Cyber, en cooperación con la iniciativa Women4Cyber de la ECSO. Hace que sea más fácil para los medios de comunicación, organizadores de eventos y otros encontrar a las muchas mujeres talentosas que trabajan en ciberseguridad, por lo que estas mujeres se vuelven más visibles y prominentes en la comunidad cibernética y el debate público.

La UE colabora con sus socios para promover intereses compartidos en la política de ciberseguridad. El 9.o Diálogo Cibernético UE-EE. UU. tuvo lugar en Bruselas en diciembre de 2023. La UE y los EE.UU. han avanzado en la cooperación en ámbitos como la ciberdiplomacia, la gestión de crisis, el desarrollo de capacidades, la ciberseguridad de las infraestructuras críticas (incluidalanotificación de incidentes),la ciberseguridad de los productos de hardware y software (incluido el Plan de Acción Conjunto sobre Productos Ciberseguros)y los aspectos de ciberseguridad de tecnologías emergentes como la IA. 

Desde 2021, la UE y Ucrania han celebrado tres diálogos cibernéticos. En 2023, la Agencia de Ciberseguridad de la UE (ENISA) formalizó un acuerdo de trabajo con sus homólogos ucranianos para fomentar el desarrollo de capacidades, el intercambio de mejores prácticas y el conocimiento de la situación. La UE también ha iniciado diálogos cibernéticos con la India, Japón, la República de Corea y Brasil. El primer diálogo cibernético entre la UE y el Reino Unido tuvo lugar en Bruselas en diciembre de 2023,el segundo un año después, el 6 de diciembre de 2024.

La ciberseguridad también se debate en el contexto de las asociaciones digitales bilaterales y los diálogos digitales, así como de la Alianza Digital UE-ALC, el diálogo reglamentario UE-Balcanes Occidentales, el diálogo estructurado UE-OTAN sobre resiliencia y el diálogo estructurado UE-OTAN sobre ciberseguridad y defensa. En 2023, el Grupo de Trabajo UE-OTAN sobre la Resiliencia de las Infraestructuras Críticas publicó un informe en el que se describían importantes sectores transversales. 

El 11 de noviembre de 2024, la UE y Japón celebraron su sexto diálogo cibernético en Tokio, donde intercambiaron información sobre el panorama de amenazas y la respuesta a las actividades malintencionadas cibernéticas, proporcionaron actualizaciones sobre sus últimos avances políticos y legislativos en materia de ciberseguridad, así como en los ámbitos de las tecnologías emergentes, la gestión de crisis cibernéticas y la ciberdefensa.

Ciberdelincuencia

Los delincuentes comunes hacen uso de ciberataques que amenazan a los europeos. El Departamento de Migración y Asuntos de Interior de la Comisión supervisa y actualiza la legislación de la UE en materia de ciberdelincuencia y apoya la capacidad policial. La Comisión también colabora con el Centro Europeo de Ciberdelincuencia de Europol.

Ciberdiplomacia

La UE está haciendo esfuerzos para protegerse contra las ciberamenazas procedentes de fuera de sus fronteras. Como parte de ello, la Comisión colabora con el Servicio Europeo de Acción Exterior y los Estados miembros en la aplicación de una respuesta diplomática conjunta a las actividades informáticas malintencionadas (el «conjunto de instrumentos de ciberdiplomacia»). Esta respuesta incluye la cooperación y el diálogo diplomáticos, medidas preventivas contra los ciberataques y sanciones contra quienes participen en ciberataques que amenacen a la UE.

La Comisión asiste en la toma de decisiones sobre la respuesta a las ciberamenazas externas siempre que sea necesario. También financia directamente la actual Iniciativa de Apoyo a la Ciberdiplomacia de la UE.

Ciberdefensa

El 10 de noviembre de 2022, la Comisión y el Alto Representante presentaron una Comunicación conjunta sobre una política de ciberdefensa de la UE para hacer frente al deterioro del entorno de seguridad tras la agresión de Rusia contra Ucrania e impulsar la capacidad de la UE para proteger a sus ciudadanos e infraestructuras.  

La política de ciberdefensa de la UE se basa en cuatro pilares que abarcan una amplia gama de iniciativas que ayudarán a la UE y a los Estados miembros a ser más capaces de detectar, disuadir y defenderse contra los ciberataques:

1. Actuar juntos para reforzar la ciberdefensa de la UE

2. Asegurar el ecosistema de defensa

3. Invertir en capacidades de ciberdefensa

4. Asociarse para abordar desafíos comunes

La nueva política exige inversiones encapacidades de ciberdefensa de espectro completo y reforzará la coordinación y la cooperación entre las comunidades cibernéticas militares y civiles de la UE. Mejorará la cooperación con el sector privado y la gestión eficiente de las crisis cibernéticas dentro de la Unión. La nueva política también contribuirá a reducir nuestras dependencias estratégicas en tecnologías cibernéticas críticas y a reforzar la base industrial tecnológica de la defensa europea (BITDE). Estimulará la formación, la atracción y la retención de cibertalentos.

La UE coopera en materia de defensa en el ciberespacio a través de las actividades de la Comisión Europea, el Servicio Europeode Acción Exterior (SEAE),la Agencia Europea de Defensa, así como ENISA y la Agencia de la Unión Europea para la Cooperación Policial (Europol).

Desarrollo de cibercapacidades en terceros países

La UE coopera con otros países para ayudar a desarrollar su capacidad de defensa contra las amenazas a la ciberseguridad. La Comisión apoya diversos programas de ciberseguridad en los países de la ampliación, así como en otros países del mundo a través de su departamento de Cooperación Internacional y Desarrollo.