Los acuerdos provisionales alcanzados entre el Consejo Europeo y el Parlamento Europeo sobre la llamada Ley de Cibersolidaridad y sobre una enmienda específica a la Ley de Ciberseguridad (CSA) permitirán fortalecer la solidaridad y las capacidades de la UE para detectar, prepararse y responder a amenazas e incidentes de ciberseguridad y mejorar su resiliencia cibernética. Ambos textos deberán ser aprobados definitivamente por ambas partes para su adopción formal.
La Ley de Cibersolidaridad establece capacidades de la UE para hacer que Europa sea más resiliente y reactiva frente a las ciberamenazas, al tiempo que fortalece los mecanismos de cooperación. Como objetivos principales, destacan el apoyo a la detección y el conocimiento de amenazas e incidentes de ciberseguridad importantes o de gran escala; el refuerzo a la preparación y la protección de entidades críticas y servicios esenciales, como hospitales y servicios públicos; el fortalecimiento de la solidaridad a nivel de la UE, la gestión concertada de crisis y las capacidades de respuesta entre los Estados miembros; así como la contribución a garantizar un panorama digital seguro para los ciudadanos y las empresas.
Para detectar las principales amenazas cibernéticas de forma rápida y eficaz, el nuevo reglamento establece un sistema de alerta de seguridad cibernética, que es una infraestructura paneuropea compuesta por centros cibernéticos nacionales y transfronterizos en toda la UE. Se trata de entidades encargadas de compartir información y encargadas de detectar y actuar ante las ciberamenazas. Asimismo, reforzarán el marco europeo existente y, a su vez, las autoridades y entidades relevantes podrán responder de manera más eficiente y efectiva a incidentes importantes.
Mecanismo de emergencia de ciberseguridad
El nuevo reglamento también prevé la creación de un mecanismo de emergencia de ciberseguridad para aumentar la preparación y mejorar las capacidades de respuesta a incidentes en la UE, que apoyará las acciones de preparación, incluidas pruebas de entidades en sectores altamente críticos (sanidad, transporte, energía, etc.) para detectar posibles vulnerabilidades, basándose en escenarios y metodologías de riesgo comunes.
También se creará una nueva reserva de ciberseguridad de la UE compuesta por servicios de respuesta a incidentes del sector privado listos para intervenir a petición de un Estado miembro o de instituciones, organismos y agencias de la UE, así como de terceros países asociados, en caso de un incidente de ciberseguridad significativo o de gran escala. Por último, el mecanismo proporcionará asistencia mutua en términos financieros.
Finalmente, el nuevo reglamento establece un mecanismo de evaluación y revisión para valorar la eficacia de las actuaciones bajo el mecanismo de ciberemergencia y el uso de la reserva de ciberseguridad, así como la contribución de este reglamento al fortalecimiento de la posición competitiva de los sectores de industria y servicios.
La enmienda específica a la Ley de Ciberseguridad
Por su parte, la enmienda específica de la Ley de Ciberseguridad tiene como objetivo mejorar la resiliencia cibernética de la UE al permitir la futura adopción de esquemas de certificación europeos para los servicios de seguridad gestionados. Proporcionados a los clientes por empresas especializadas, los servicios de seguridad gestionados son cruciales para la prevención, detección, respuesta y recuperación de incidentes de ciberseguridad.
La modificación permitirá el establecimiento de sistemas de certificación europeos para los servicios de seguridad gestionados, además de ayudar a aumentar su calidad y comparabilidad, fomentar el surgimiento de proveedores de servicios de ciberseguridad confiables y evitar la fragmentación del mercado interno.
A la espera de la revisión periódica de la CSA, prevista para el 28 de junio de 2024, el acuerdo provisional aclara la definición de servicios de seguridad gestionados y garantiza la alineación con la directiva revisada sobre sistemas de información de red (NIS 2); y alinea los objetivos de seguridad de estos esquemas de certificación con los objetivos de seguridad de otros esquemas según la regulación CSA actual.
Asimismo, la enmienda incluye modificaciones en el anexo de la CSA, que contiene una lista de requisitos que deben cumplir los organismos de evaluación de la conformidad; y especifica que la consulta de la Agencia de Ciberseguridad de la Unión Europea (ENISA) a todos los actores relevantes debe realizarse de manera oportuna y ofrece la posibilidad de que ENISA o la Comisión Europea informen trimestralmente a los colegisladores sobre el funcionamiento de los sistemas de certificación.