En la Unión Europea hay una preocupación constante por las ciberamenazas, sobre todo, en sectores cruciales o estratégicos como energía, transporte, finanzas, sanidad…
El pasado 18 de abril de 2023, la Comisión Europea presentó al Parlamento Europeo y al Consejo una propuesta de Reglamento para reforzar las capacidades y la solidaridad entre Estados miembros para detectar, prepararse y responder a las amenazas e incidentes de ciberseguridad que se da en conocer como Ley de Solidaridad Cibernética o Cyber Solidarity Act. Pueden consultar el texto aquí.
La propuesta incluye tres grandes acciones:
1ª.- Escudo Cibernético Europeo (European Cyber Shield)
La Comisión Europea plantea la creación de una infraestructura paneuropea integrada por los Centros de Operaciones de Seguridad Nacional (SOC Nacionales) y los Centros de Operaciones de Seguridad Transfronterizos (SOC Transfronterizos).
Para participar en el Escudo Cibernético Europeo, cada Estado miembro designará, al menos, un SOC Nacional, que será un organismo público con capacidad para recopilar y analizar información sobre amenazas e incidentes de ciberseguridad y contribuir a un SOC Transfronterizo.
Los SOC Transfronterizos reunirán en una red coordinada, al menos, a los SOC Nacionales de tres Estados miembros. Su objetivo es intercambiar entre ellos información sobre ciberamenazas, alertas, cuasi accidentes, vulnerabilidades, técnicas y procedimientos, indicadores de compromiso, tácticas antagónicas y recomendaciones relativas a la configuración de herramientas de ciberseguridad para detectar ciberataques.
Cuando los SOC Transfronterizos tengan conocimiento de incidentes de ciberseguridad a gran escala potencial o en curso proporcionarán dicha información a la Comisión Europea y a las autoridades nacionales (redes EU-CyCLONe y CSIRT).
2ª.- Mecanismo de Emergencia Cibernética
Su objetivo es mejorar la resiliencia de la Unión Europea frente a las principales ciberamenazas, así como preparar y mitigar el impacto a corto plazo de incidentes de ciberseguridad significativos o a gran escala.
Para alcanzar su objetivo se plantean:
a) Medidas de preparación
Una especie de simulacros, consistentes en ensayos en entidades de sectores críticos para detectar posibles puntos vulnerables, sobre la base de hipótesis y métodos de riesgo comunes.
b) Establecimiento de la Reserva de Ciberseguridad de la UE
Consistente en servicios de respuesta a incidentes de proveedores de confianza precontratados, por tanto, dispuestos a intervenir, a petición de un Estado miembro o de instituciones y organismos de la Unión, en caso de que se produzca un incidente de ciberseguridad significativo o a gran escala.
La Comisión Europea será la responsable de su aplicación, garantizando la complementariedad, la coherencia, las sinergias y los vínculos con otras acciones de apoyo previstas en la Unión.
La propuesta de la Comisión Europea prevé, también, que terceros países puedan solicitar el apoyo de la Reserva de Ciberseguridad de la UE al amparo de los Acuerdos de Asociación celebrados en el seno del Programa Europa Digital (DEP).
c) Ayuda financiera en favor de la asistencia mutua
El mecanismo apoyará, con ayuda financiera, a un Estado miembro que ofrezca asistencia mutua a otro Estado miembro afectado por un incidente de ciberseguridad.
3ª.- Mecanismo de revisión de incidentes de ciberseguridad
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) será responsable de la revisión de aquellos incidentes de ciberseguridad a gran escala o que resulten significativos, debiendo presentar a la Comisión Europea y a las autoridades nacionales (EU-CyCLONe y CSIRT) un informe que incluya las lecciones aprendidas y recomendaciones para mejorar la ciberrespuesta de la Unión.
El Escudo Cibernético Europeo y el Mecanismo de Emergencia Cibernética se financiarán con cargo al objetivo estratégico «Cyberseguridad» del DEP. El presupuesto previsto es de 100 millones de euros, que elevarán el nuevo importe total disponible en el marco del DEP a 842,8 millones de euros.
Otras iniciativas de la Comisión Europea
La Comisión Europea plantea la creación de una «Academia de Cibercapacidades» para velar por el fomento de las capacidades en materia de ciberseguridad y garantizar un número de profesionales cualificados en dicha materia.
La Academia se alojará inicialmente en línea en la plataforma de capacidades y empleos digitales de la Comisión. De forma que, los ciudadanos interesados en desarrollar una carrera profesional en el ámbito de la ciberseguridad podrán encontrar formación y certificaciones en dicho lugar.
La Academia incluirá un espacio común para el mundo académico, los proveedores de formación y la industria, ayudándoles a coordinar los programas educativos, la financiación y el seguimiento de la evolución del mercado laboral de la ciberseguridad.
La Comisión Europea, también, ha propuesto la adopción de sistemas europeos de certificación para servicios sumamente críticos y sensibles prestados por proveedores de servicios de ciberseguridad.
Conclusión
Los Estados miembros y la Unión Europea tienen la obligación de procurar a todos los ciudadanos y empresas un ciberespacio abierto, seguro y estable frente a las ciberamenazas que comprometen el funcionamiento de las redes y sistemas de información.
Las tensiones geopolíticas actuales, tras la guerra en Ucrania, han incrementado los riesgos, así que cualquier iniciativa que se presente para tratar de protegernos es bien recibida.