Desde el pasado 7 de enero de 2024, ya se encuentra en vigor el nuevo Reglamento de Ciberseguridad que fija una serie de medidas de protección comunes para las instituciones, oficinas, órganos y agencias de la UE. Se establece un marco común de gobernanza y de control de riesgos para cada entidad, configurando un nuevo Consejo Interinstitucional de Ciberseguridad (IICB) encargado de supervisar y de apoyar su implementación por parte de todas las entidades.
El nuevo Reglamento de Ciberseguridad de la UE otorga un mayor poder al Equipo de Respuesta a Emergencias Informáticas (CERT-EU), consolidándolo como epicentro de la coordinación de inteligencia sobre amenazas, intercambio de información y respuesta de incidentes. Además, desempeña funciones de asesoramiento y como proveedor de servicios. CERT-EU adquiere ahora el nombre de Servicio de Seguridad para las instituciones, órganos, oficinas y agencias de la Unión, aunque manteniendo su abreviatura.
Hay que tener en cuenta que el nuevo Reglamento de Ciberseguridad de la UE recoge reglas y estándares mínimos para todas las entidades, regulando los flujos de información y el control de riesgos. Además, impulsa la creación de un nuevo Consejo Interinstitucional de Ciberseguridad (IICB) que se encargará de supervisar y apoyar la implementación de la nueva legislación en las diferentes entidades.
Las diferentes entidades europeas irán incorporando procesos internos de ciberseguridad gradualmente, en base a los riesgos existentes. No obstante, el IICB se pondrá en funcionamiento cuanto antes para garantizar la línea estratégica a seguir del CERT-UE, supervisando en todo momento la aplicación de la nueva normativa.
En este sentido, Johannes Hahn, Comisario de Presupuesto y Administración, ha hecho hincapié en la necesidad de contraatacar frente a amenazas más generalizadas y ciberdelincuentes más sofisticados. De este modo, el Reglamento reforzará la ciberseguridad de todas las entidades de la UE, creando una administración pública abierta, eficiente, segura y resiliente. De igual modo, solicita a los colegisladores que entablen negociaciones para el Reglamento paralelo sobre seguridad de la información.
Las claves del nuevo Reglamento de Ciberseguridad de la UE
El Reglamento se fija según los objetivos políticos de la Comisión establecidos en la Estrategia de una Unión de la Seguridad de la UE y la Estrategia de Ciberseguridad de la UE, garantizando la coherencia con otras iniciativas legislativas. Es el caso de la Ley de Ciberseguridad, la Recomendación de la Comisión para una respuesta uniforme y coordinada frente a crisis e incidentes de ciberseguridad a gran escala y la Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la UE.
Además, va de la mano de una propuesta de Reglamento de seguridad de la información, el cual establece unos estándares mínimos en todas las instituciones, órganos, oficinas y agencias de la UE en cuanto al intercambio seguro de información entre los Estados miembros.
Hay que remontarse a marzo de 2022, fecha en la que la Comisión anunció públicamente la propuesta de Reglamento de Ciberseguridad. Más tarde, en junio de 2023, tanto el Parlamento Europeo como el Consejo alcanzaron un acuerdo político sin precedentes.
No obstante, merece especial mención el hecho de que la certificación de la ciberseguridad es voluntaria, salvo que se disponga otra cosa en el Derecho de la Unión o de los Estados miembros.
Principales objetivos de la propuesta de la Comisión
En noviembre de 2023 se alcanzó un acuerdo de modificación del Reglamento sobre la Ciberseguridad de la UE de 2019, garantizando la futura adaptación de esquemas de certificación europeos para los servicios de seguridad gestionados. Así pues, se permite establecer esquemas europeos de certificación, contribuyendo a la mejora de su calidad y fomentando la aparición de proveedores de servicios de ciberseguridad de confianza frente a la fragmentación del mercado interior.
Además de aclarar la definición de servicios de seguridad gestionados, se adapta la directiva relativa a las medidas que fijen un elevado nivel común de ciberseguridad; la Directiva SRI 2. De igual modo, se habla de los objetivos de seguridad, incluyéndose modificaciones en el anexo del Reglamento sobre la Ciberseguridad. También se introducen modificaciones técnicas y de redacción, para que todas las disposiciones del nuevo Reglamento se apliquen a los servicios de seguridad gestionados.
A partir de ese momento, la Presidencia española pudo entablar negociaciones con el Parlamento Europeo, diálogos tripartitos, hasta consolidar la versión definitiva de la legislación propuesta.