Los incidentes de ciberseguridad representan una amenaza global creciente y compleja. La magnitud, frecuencia y efectos de estos ataques, que incluyen ciberespionaje y acciones disruptivas, están aumentando exponencialmente tanto en la Unión Europea como a nivel mundial.
Los países enfrentan riesgos cada vez más sofisticados que pueden comprometer las infraestructuras y las cadenas de suministros, generando potenciales daños económicos y operativos a gran escala. Sectores como energía, comunicaciones, servicios financieros y administraciones públicas están en el punto de mira de los ciberatacantes.
Ante este escenario, para fortalecer su marco de ciberseguridad, la Unión Europea acaba de aprobar el Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo de 19 de diciembre de 2024 por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos y por el que se modifica el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad).
El Reglamento tiene por objetivo «establecer medidas para reforzar las capacidades de la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos».
Para prevenir y responder a incidentes de ciberseguridad significativos y a gran escala se crea una red de centros cibernéticos paneuropea que se denomina «Sistema Europeo de Alerta de Ciberseguridad» junto con un «Mecanismo de Emergencia en materia de Ciberseguridad» para responder a incidentes significativos y a gran escala y atenuar sus repercusiones, que incluye la creación de la «Reserva de Ciberseguridad de la UE» compuesta por proveedores de servicios de ciberseguridad que estarán disponibles para apoyar la respuesta a cualquier incidente de ciberseguridad a corto plazo. También se crea un «Mecanismo Europeo de Revisión de Incidentes de Ciberseguridad» para revisar y evaluar dichos incidentes con la participación de ENISA (Agencia de la Unión Europea para la Ciberseguridad).
Otro de los objetivos del nuevo Reglamento es garantizar la protección de datos y la seguridad de la información compartida en el marco del Sistema Europeo de Alerta de Ciberseguridad, estableciendo medidas estrictas para asegurar la confidencialidad e integridad de los datos y proteger los intereses comerciales y de seguridad de las entidades afectadas.
Las acciones en virtud de este nuevo Reglamento se llevarán a cabo, respetando las competencias de los Estados miembros, a través de la red de CSIRT, la Red Europea de Organizaciones de Enlace para la Gestión de Cibercrisis (EU-CyCLONe, por sus siglas en inglés) y el Grupo de Cooperación establecido en virtud de la Directiva (UE) 2022/2555. Estas acciones se entienden sin perjuicio de lo dispuesto en los artículos 107 y 108 del Tratado de Funcionamiento de la Unión Europea (TFUE).
El Reglamento de Cibersolidaridad se complementa con las siguientes normas comunitarias:
- Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 («Reglamento sobre la Ciberseguridad»).
- Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo.
- Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
- Recomendación (UE) 2017/1584 de la Comisión de 13 de septiembre de 2017 sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala.
Conclusión
Un entramado normativo tan complejo puede comprometer la eficacia del sistema.
