Los incidentes de ciberseguridad representan una amenaza global creciente y compleja. La magnitud, frecuencia y efectos de estos ataques, que incluyen ciberespionaje y acciones disruptivas, están aumentando exponencialmente tanto en la Unión Europea como a nivel mundial.
Los países enfrentan riesgos cada vez más sofisticados que pueden comprometer las infraestructuras y las cadenas de suministros, generando potenciales daños económicos y operativos a gran escala. Sectores como energía, comunicaciones, servicios financieros y administraciones públicas están en el punto de mira de los ciberatacantes.
Ante este escenario, para fortalecer su marco de ciberseguridad, la Unión Europea acaba de aprobar el Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo de 19 de diciembre de 2024 por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos y por el que se modifica el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad) que entrará en vigor el 4 de febrero de 2025.
El Reglamento tiene por objetivo «establecer medidas para reforzar las capacidades de la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos». Para lograrlo se establece:
- Sistema Europeo de Alerta de Ciberseguridad: que consiste en una red paneuropea de centros cibernéticos nacionales y transfronterizos interconectados que utilizan tecnologías avanzadas como inteligencia artificial y análisis de datos para mejorar la detección, el análisis y el intercambio de alertas en tiempo real.
- Mecanismo de Emergencia en materia de Ciberseguridad: diseñado para responder a incidentes significativos y a gran escala, atenuar sus repercusiones y coordinar acciones rápidas.
- Reserva de Ciberseguridad de la UE: compuesta por proveedores de servicios de ciberseguridad que estarán disponibles para apoyar la respuesta a cualquier incidente de ciberseguridad a corto plazo.
- Mecanismo Europeo de Revisión de Incidentes de Ciberseguridad: para evaluar y analizar los incidentes graves con la participación de ENISA (Agencia de la Unión Europea para la Ciberseguridad).
Otro de los objetivos del nuevo Reglamento es garantizar la protección de datos y la seguridad de la información compartida en el marco del Sistema Europeo de Alerta de Ciberseguridad, estableciendo medidas estrictas para asegurar la confidencialidad e integridad de los datos y proteger los intereses comerciales y de seguridad de las entidades afectadas.
Las acciones en virtud de este nuevo Reglamento se llevarán a cabo, respetando las competencias de los Estados miembros, a través de la red de CSIRT, la Red Europea de Organizaciones de Enlace para la Gestión de Cibercrisis (EU-CyCLONe, por sus siglas en inglés) y el Grupo de Cooperación establecido en virtud de la Directiva (UE) 2022/2555. Estas acciones se entienden sin perjuicio de lo dispuesto en los artículos 107 y 108 del Tratado de Funcionamiento de la Unión Europea (TFUE).
El Reglamento de Cibersolidaridad se complementa con las siguientes normas comunitarias:
- Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 («Reglamento sobre la Ciberseguridad»).
- Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo.
- Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
- Recomendación (UE) 2017/1584 de la Comisión de 13 de septiembre de 2017 sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala.
Conclusión
La eficacia del Reglamento dependerá en gran medida de una implementación coordinada entre los Estados miembros, una financiación adecuada y una integración fluida con el complejo entramado normativo existente, que conlleva el riesgo de solapamientos.
