Europa endurece su escudo digital con nuevas medidas de ciberseguridad

La Comisión Europea ha presentado un nuevo paquete de ciberseguridad para reforzar la resiliencia digital de la Unión, proteger las cadenas de suministro tecnológicas y mejorar la respuesta ante ciberataques que amenazan servicios esenciales e instituciones democráticas.

La Comisión Europea ha presentado un nuevo y ambicioso paquete de ciberseguridad con el objetivo de reforzar la resiliencia y las capacidades de la Unión Europea frente al creciente número de ciberataques e iniciativas híbridas que afectan a servicios esenciales, infraestructuras críticas e instituciones democráticas en todo el territorio comunitario.

Europa se enfrenta a diario a ataques cada vez más sofisticados, perpetrados tanto por organizaciones delictivas como por actores vinculados a determinados Estados. Ante este escenario, Bruselas propone una revisión del Reglamento sobre la Ciberseguridad que refuerza la seguridad de las cadenas de suministro de las tecnologías de la información y la comunicación (TIC), simplifica los procesos de certificación y mejora la capacidad de respuesta de la UE ante amenazas digitales.

Refuerzo de la seguridad en las cadenas de suministro TIC

Uno de los pilares del nuevo Reglamento sobre la Ciberseguridad es la reducción de los riesgos en las cadenas de suministro de las TIC, especialmente aquellos derivados de proveedores de terceros países considerados de alto riesgo. Para ello, se establece un marco de seguridad armonizado, proporcionado y basado en el análisis de riesgos, que permitirá a la UE y a los Estados miembros detectar y mitigar amenazas de forma conjunta en los 18 sectores críticos identificados a nivel europeo.

Las cadenas de suministro TIC son esenciales para el funcionamiento de infraestructuras estratégicas y servicios básicos. Los recientes incidentes de ciberseguridad han evidenciado que las vulnerabilidades no solo se limitan a aspectos técnicos, sino que también están relacionadas con dependencias estratégicas, injerencias extranjeras y riesgos geopolíticos. En este contexto, el Reglamento obligará a eliminar los riesgos que suponen determinados proveedores para las redes de telecomunicaciones móviles europeas, en línea con el trabajo desarrollado en el marco del conjunto de herramientas de seguridad 5G.

Un marco europeo de certificación más ágil y eficaz

El paquete presentado incluye la modernización del Marco Europeo de Certificación de la Ciberseguridad (ECCF), que permitirá que los productos y servicios que llegan a los consumidores europeos se sometan a pruebas de seguridad de manera más eficiente y transparente. La revisión del marco reducirá los plazos para desarrollar regímenes de certificación, fijando un periodo estándar de 12 meses, e introducirá procedimientos más claros y una gobernanza más ágil.

Gestionados por la Agencia de la Unión Europea para la Ciberseguridad (ENISA), los regímenes de certificación se convertirán en una herramienta voluntaria y práctica para las empresas, facilitando el cumplimiento de la legislación europea y reduciendo costes administrativos. Además, no solo se certificarán productos y servicios TIC, sino también la situación global de ciberseguridad de empresas y organizaciones, reforzando la confianza de ciudadanos, administraciones públicas y mercados.

Facilitar el cumplimiento de la normativa de ciberseguridad

El paquete también introduce medidas para simplificar el cumplimiento de las normas de ciberseguridad y los requisitos de gestión de riesgos para las empresas que operan en la UE. Estas iniciativas complementan la futura ventanilla única para la notificación de incidentes incluida en el paquete ómnibus digital.

Las modificaciones de la Directiva SRI 2 aumentarán la claridad jurídica y facilitarán el cumplimiento normativo a 28.700 empresas, entre ellas 6.200 microempresas y pequeñas empresas. Asimismo, se crea una nueva categoría de pequeñas empresas de mediana capitalización, lo que permitirá reducir los costes de cumplimiento para 22.500 entidades. El refuerzo del papel coordinador de la ENISA contribuirá además a simplificar las normas jurisdiccionales y a mejorar la recogida de datos sobre ataques con programas de secuestro de archivos.

Un papel reforzado para la ENISA

Desde la entrada en vigor del primer Reglamento sobre la Ciberseguridad en 2019, la ENISA se ha consolidado como una pieza clave del ecosistema europeo de ciberseguridad. Con la revisión presentada, la Agencia contará con mayores competencias para ayudar a la UE y a los Estados miembros a anticipar amenazas, prepararse y responder de forma coordinada a los incidentes de ciberseguridad.

La ENISA seguirá emitiendo alertas tempranas sobre ciberamenazas, cooperará con Europol y los equipos de respuesta a incidentes, y apoyará a las empresas en la recuperación tras ataques de ransomware. Además, gestionará la ventanilla única para la notificación de incidentes y desarrollará un enfoque europeo común para la gestión de vulnerabilidades.

Otro de los ejes destacados será la formación de profesionales cualificados, mediante la creación de la Academia de Competencias en Ciberseguridad y el establecimiento de regímenes de certificación de capacidades a escala europea.

Próximos pasos

El Reglamento sobre la Ciberseguridad será aplicable inmediatamente tras su aprobación por el Parlamento Europeo y el Consejo de la UE. Las modificaciones de la Directiva SRI 2 deberán ser incorporadas al ordenamiento jurídico nacional en el plazo de un año desde su adopción.

La vicepresidenta ejecutiva de Soberanía Tecnológica, Seguridad y Democracia, Henna Virkkunen, subrayó que “las amenazas a la ciberseguridad no son solo retos técnicos, sino riesgos estratégicos para nuestra democracia, nuestra economía y nuestro modo de vida”, destacando que este paquete supone un paso clave para garantizar la soberanía tecnológica europea y una mayor seguridad para todos los ciudadanos.