La Comisión Europea ha presentado un paquete legislativo para fortalecer la resiliencia y las capacidades de ciberseguridad de la Unión Europea frente a la creciente amenaza de ataques cibernéticos y operaciones híbridas. La iniciativa responde a los riesgos que enfrentan los servicios esenciales y las instituciones democráticas de Europa, provocados por grupos estatales y delictivos cada vez más sofisticados.
El paquete incluye una revisión de la Ley de Ciberseguridad que busca garantizar que los productos y servicios de tecnologías de la información y la comunicación (TIC) que llegan a los ciudadanos europeos sean seguros desde su diseño. La normativa introduce un Marco Europeo de Certificación de Ciberseguridad (ECCF) simplificado, que permitirá a empresas y organizaciones acreditar el cumplimiento de las normas de manera más eficiente, reduciendo costes y cargas administrativas.
Nuevas normas para proteger infraestructuras críticas y cadenas de suministro TIC
Un elemento central del nuevo reglamento es la seguridad de las cadenas de suministro de TIC, especialmente frente a proveedores de terceros países con riesgos elevados. La legislación permitirá mitigar los riesgos en los 18 sectores críticos de la UE y reducirá de forma obligatoria la exposición de las redes europeas de telecomunicaciones móviles a proveedores considerados de alto riesgo, sobre la base del trabajo ya realizado en el marco del conjunto de herramientas de seguridad 5G.
El paquete también facilita el cumplimiento de la normativa para empresas de todos los tamaños, incluyendo microempresas y pymes, mediante la creación de nuevas categorías y la simplificación de los requisitos de gestión de riesgos y notificación de incidentes. Se espera que estas medidas beneficien a aproximadamente 28.700 empresas en toda la UE.
La Agencia de la UE para la Ciberseguridad (ENISA) verá reforzadas sus competencias para coordinar la respuesta a incidentes cibernéticos, emitir alertas tempranas y ofrecer servicios de gestión de vulnerabilidades. Además, la agencia apoyará la formación de profesionales cualificados en ciberseguridad mediante la expansión de su Academia de Capacidades y programas de certificación a nivel europeo.
Asimismo, ENISA también desarrollará un enfoque de la Unión Europea para proporcionar mejores servicios de gestión de vulnerabilidades a las partes interesadas. Operará el punto de entrada única para la notificación de incidentes propuesto en el Ómnibus Digital.
La nueva Ley de Ciberseguridad entrará en vigor inmediatamente después de su aprobación por el Parlamento Europeo y el Consejo Europeo. Una vez adoptada, los Estados miembros dispondrán de un año para incorporar la Directiva a su legislación nacional.