Nueva estrategia de ciberseguridad europea.

El 16 de diciembre la Comisión ha publicado la nueva estrategia de ciberseguridad con el objetivo de reforzar la resiliencia europea contra ciber amenazas y garantizar la fiabilidad de los servicios digitales. Para ello, la Comisión ha presentado dos propuestas de directiva: La directiva de medidas para un nivel común de ciberseguridad en la Unión (NIS2) y la directiva de resiliencia de entidades críticas.

Áreas de actuación

La estrategia contiene propuestas regulatorias, inversiones e iniciativas políticas en tres áreas:

1. Resiliencia: Liderazgo y gobernanza tecnológicas.

La Comisión propone actualizar el actual marco regulatorio, en particular la directiva de seguridad de redes (Directiva NIS). Por ello, tras un proceso de consulta pública ha publicado la nueva directiva de medidas para un nivel común de ciberseguridad en la Unión (NIS2). El objetivo es aumentar el nivel de ciber resiliencia en los sectores críticos tanto públicos como privados (hospitales, ferrocarriles, sistemas energéticos) e infraestructuras comunes como centros de datos o laboratorios de investigación.

Uno de los principales avances incluidos en la NIS2 es abarcar más sectores que su predecesora e introducir un “cap” de tamaño, es decir, todas el medianas y grandes empresas de los sectores seleccionados entran dentro del punto de mira. Además, la propuesta elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales, pasando a una clasificación basada en la importancia de las empresas; se dividen en dos categorías, esenciales e importantes, cada una de ellas sujeta a un régimen de supervisión diferente. Por otra parte, la propuesta aumenta los requerimientos de seguridad de las empresas, imponiendo un enfoque de gestión de riesgos y una lista de requerimientos básicos de seguridad que tienen que ser cumplidos. Además, se propone aumentar la seguridad de las cadenas de suministros, exigiendo a tanto compañías como Estados Miembros a realizar un análisis de riesgos en las cadenas de suministros y en las relaciones con proveedores. Por último, la propuesta introduce mayores medidas de supervisión para las autoridades nacionales y aumenta el papel de grupo de cooperación en la creación de políticas sobre las tecnologías emergentes. En la siguiente tabla se pueden ver las diferencias entre las dos directivas.

Además, la comisión ha propuesto lanzar una red de centros de operaciones de seguridad por toda la Unión para construir un “escudo de ciberseguridad”. Basándose en la Inteligencia Artificial, podrá detectar signos de ciberataques lo suficientemente rápido como para que no ocurra ningún daño.

2. Construcción de capacidades operacionales para prevenir, disuadir y responder.

La Comisión está preparando juntamente con los estados miembros la creación de una Unidad de Ciberseguridad, con el objetivo de aumentar la cooperación entre autoridades para prevenir, disuadir y responder a ataques cibernéticos. Se han hecho propuestas para mejorar el EU Cyber Diplomacy Toolbox para poder responder de manera efectiva a ciberataques, especialmente a los que afectan a la infraestructura crítica, a las cadenas de suministros y a las instituciones y procesos democráticos. Además, basándose en los desarrollos de la Agencia Europea de Defensa, se buscará aumentar la cooperación en ciberdefensa y desarrollar capacidades de ciberdefensa. Por último, se insta a los Estados Miembros a hacer uso de los fondos de defensa europeos.

3. Creación de un ciberespacio abierto

La Unión trabajará de manera internacional para mejorar las leyes y requisitos de seguridad a nivel global. Se ha creado un plan de acción europeo externo, donde en particular la Agenda Externa Europea de Ciber Capacidades buscará construir ciber capacidades en países en desarrollo mediante una. Este plan consta de 5 áreas:

• Liderazgo en las Normas y Estándares Internacionales: Mediante la cooperación multilateral y el alcance diplomático (Naciones Unidad); y con medidas para aumentar la confianza (OSCE)
• Alianzas y cooperación internacional: diálogos con países en desarrollo y organizaciones internacionales; e intercambios con la sociedad académica, civil y el sector privado.
• Cyber Diplomacy Toolbox: Herramienta para fomentar el dialogo y las declaraciones políticas. Incluye sanciones.
• Construcción de ciber capacidades: Aumentar la ciber resiliencia y las ciber capacidades para investigar y perseguir el cibercrimen. Aumento de proyectos en ciberseguridad.
• Iniciativas de desarrollo de capacidades y cooperación en la ciber defensa: Proyectos de cooperación estructurada permanente.

Todo esto se financiará mediante el programa de Europa Digital, y el Horizonte Europa. Los Centros de Coordinación de Redes y los Centros de Coordinación de Ciberseguridad se encargarán de que una gran porción de la financiación llegue a las SMEs.

Servicios clave e infraestructuras críticas

Por otra parte, la Comisión se ha centrado en actualizar las actuales medidas que protegen los servicios clave y las infraestructuras desde el punto de vista de ciberseguridad y de la seguridad física. La actual regulación sobre infraestructuras criticas solo evalúa los riesgos físicos en los sectores de la energía y del transporte. Para actualizar el marco la Comisión ha propuesto en primer lugar la Directiva NIS2, ya comentada anteriormente y la directiva de resiliencia de entidades críticas (CER). La directiva CER actualiza la directiva de Infraestructuras Criticas de 2008. La principal novedad es el aumento de sectores que cubre, pasando de los dos mencionados antes a energía, transporte, banca, infraestructuras financieras de mercado, salud, agua potable, agua desechable, infraestructuras digitales, administraciones públicas y espacio.

Además, los Estados Miembros tienen libertad para adoptar las estrategias a nivel nacional que consideren para asegurar la resiliencia de entidades críticas; deben llevar a cabo evaluaciones de los riesgos periódicas y comunicar a la Comisión los tipos de riesgos identificados, así como el resultado de la evaluación de dichos riesgos. Por otra parte, los Estados Miembros deberán identificar dentro de cada sector y subsector (definidos en el Anexo) las entidades críticas; aquellas que proveen servicios esenciales y en las que un incidente puede producir efectos significativos en la provisión de otros servicios.  Finalmente, la Comisión apoyará a los Estados Miembros creando una evaluación conjunta de riesgos, mejores soluciones y metodologías utilizadas.

Por último, uno de los puntos más importantes es la seguridad en las redes de próxima generación (5G y siguientes). Con la nueva estrategia de ciberseguridad se espera complementar el trabajo de ENISA en la implementación del toolbox 5G; una herramienta para evaluar los riesgos en las redes 5G. De acuerdo con un informe publicado el mismo día, la mayoría de los estados miembros ya están implementando las recomendaciones de la Comisión para la ciberseguridad en redes 5G y el toolbox 5G. Se espera que la implementación esté finalizada para el segundo cuatrimestre de 2021 y que se haya hecho una evaluación de los riesgos encontrados y un plan de mitigación de dichos riesgos.

Fuentes:

Unión Europea, Comisión Europea. New EU Cybersecurity Strategy and new rules to make physical and digital critical entities more resilient.  Nota de prensa, 16 de diciembre de 2020. Disponible en: https://ec.europa.eu/commission/presscorner/detail/en/IP_20_2391

Unión Europea, Comisión Europea. The EU’s Cybersecurity Strategy in the Digital Decade. Factsheet, 16 de diciembre de 2020. Disponible en: https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade-0

Unión Europea, Comisión Europea. Proposal for directive on measures for high common level of cybersecurity across the Union. Propuesta de ley, 16 de diciembre de 2020. Disponible en: https://ec.europa.eu/digital-single-market/en/news/proposal-directive-measures-high-common-level-cybersecurity-across-union

Unión Europea, Comisión Europea. Revised Directive on Security of Network and Information Systems (NIS2). Factsheet, 16 de diciembre de 2020. Disponible en: https://ec.europa.eu/digital-single-market/en/news/revised-directive-security-network-and-information-systems-nis2

Unión Europea, Comisión Europea. Proposal for a Directive of the European Parliament and of the Council on the resilience of critical entities. Bruselas, Leyes, 16 de diciembre de 2020. Disponible en: https://ec.europa.eu/home-affairs/sites/homeaffairs/files/pdf/15122020_proposal_directive_resilience_critical_entities_com-2020-829_en.pdf

Unión Europea, Comisión Europea. Cybersecurity: EU External Action. Factsheet, 16 de diciembre de 2020. Disponible en: https://eeas.europa.eu/sites/eeas/files/cybersecurity_2020-12.pdf