Ciberseguridad en la UE: la Comisión propone la creación de una unidad informática conjunta

: 24 Junio 2021

Ciberseguridad en la UE: la Comisión propone la creación de una unidad informática conjunta

La Comisión ha presentado una visión para construir una nueva unidad informática conjunta para hacer frente al creciente número de ciberincidentes graves que afectan a los servicios públicos y a la vida de las empresas y los ciudadanos en toda la Unión Europea.

Cada vez son más necesarias respuestas avanzadas y coordinadas en el ámbito de la ciberseguridad, a medida que los ciberataques aumentan en número, escala y consecuencias, lo que afecta gravemente a nuestra seguridad. Todos las partes interesadas de la UE deben estar listas para responder colectivamente e intercambiar información pertinente sobre la base de la «necesidad de comunicar», y no solo de la «necesidad de conocer».

La unidad informática conjunta propuesta hoy, anunciada por la presidenta Ursula von der Leyen en sus orientaciones políticas, tiene por objeto reunir los recursos y la experiencia de que disponen la UE y sus Estados miembros para prevenir, disuadir y responder eficazmente en materia de cibercrisis y ciberincidentes masivos. Las partes interesadas en la ciberseguridad, incluidas las del mundo civil, policial, diplomático y de ciberdefensa, y los socios del sector privado suelen trabajar demasiado a menudo por separado. Junto con la unidad informática conjunta, contarán con una plataforma virtual y física de cooperación: las instituciones, órganos y organismos pertinentes de la UE, en colaboración con los Estados miembros, crearán gradualmente una plataforma europea de solidaridad y asistencia para luchar contra los ciberataques a gran escala.

La Recomendación sobre la creación de la unidad informática conjunta es un paso importante hacia la culminación del marco europeo de gestión de crisis de ciberseguridad. Se trata de un resultado concreto de la Estrategia de Ciberseguridad de la UE y de la Estrategia de la Unión Europea de la Seguridad que contribuye a una economía y una sociedad digitales seguras.

En el marco de este paquete, la Comisión informa hoy acerca de los progresos registrados en los últimos meses en relación con la Estrategia de la Unión de la Seguridad. Además, la Comisión y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad han presentado el primer informe de ejecución de la Estrategia de Ciberseguridad, solicitado por el Consejo Europeo, y han publicado a la vez el quinto informe de situación sobre la ejecución del marco común de 2016 de lucha contra las amenazas híbridas y la Comunicación conjunta de 2018 «Aumentar la resiliencia y desarrollar las capacidades para hacer frente a las amenazas híbridas». Por último, la Comisión ha adoptado la Decisión por la que se establece en Bruselas la Agencia de la Unión Europea para la Ciberseguridad (ENISA), de conformidad con el Reglamento de ciberseguridad.

Una nueva unidad informática conjunta para prevenir los ciberincidentes cibernéticos a gran escala y hacerles frente

La unidad informática conjunta funcionará como una plataforma destinará a garantizar una respuesta coordinada de la UE a los ciberincidentes y cibercrisis a gran escala, y a ofrecer asistencia para recuperarse de esos ataques. La UE y los Estados miembros cuentan actualmente con numerosas entidades interesadas en diferentes ámbitos y sectores. Aunque los ámbitos pueden ser específicos, las amenazas suelen ser comunes, por lo que es necesario coordinarse, compartir conocimientos e incluso lanzar alertas por anticipado.

Se pedirá a los participantes que faciliten recursos operativos para la asistencia mutua dentro de la unidad informática conjunta (véanse los participantes aquí). La unidad informática conjunta les permitirá intercambiar mejores prácticas e información en tiempo real sobre las amenazas que puedan surgir en sus ámbitos respectivos. También trabajará a nivel operativo y técnico para cumplir el plan de la UE de respuesta a incidentes y crisis de ciberseguridad, basado en los planes nacionales; creará y movilizará equipos de reacción rápida en materia de ciberseguridad de la UE; facilitará la adopción de protocolos de asistencia mutua entre los participantes; creará capacidades nacionales e internacionales de vigilancia y detección, tales como centros de operaciones de seguridad; y tendrá otras actividades.

El ecosistema de ciberseguridad de la UE es amplio y variado y, gracias a la unidad informática conjunta, ahora habrá un espacio común de colaboración entre diferentes grupos y ámbitos, lo que permitirá a las redes existentes aprovechar todo su potencial. Se basa en el trabajo iniciado en 2017 con la Recomendación sobre una respuesta coordinada a los incidentes y crisis, el llamado plan director.

La Comisión propone crear la unidad informática común a través de un proceso gradual y transparente con cuatro etapas, en régimen de responsabilidad común con los Estados miembros y las distintas entidades con actividades en este ámbito. El objetivo es velar porque esta unidad empiece a funcionar a más tardar el 30 de junio de 2022 y esté completamente creada un año después, a más tardar el 30 de junio de 2023. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ejercerá de secretaría en la fase preparatoria y la unidad funcionará cerca de sus oficinas de Bruselas y de la oficina del CERT-UE, el Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la UE.

La Comisión aportará las inversiones necesarias para la creación de la unidad informática conjunta, principalmente con cargo al programa Europa Digital. Los fondos servirán para crear la plataforma física y virtual, crear y mantener canales de comunicación seguros, y mejorar las capacidades de detección. El Fondo Europeo de Defensa podría contribuir, sobre todo para fomentar las capacidades de ciberdefensa de los Estados miembros.

Garantizar la seguridad de los europeos, tanto en línea como fuera de línea

La Comisión ha informado hoy acerca de los progresos registrados en relación con la Estrategia de la Unión de la Seguridad de la UE para mantener la seguridad de los europeos. Junto con el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad, también presenta el primer informe de ejecución de la nueva Estrategia de Ciberseguridad de la UE.

La Comisión y el Alto Representante presentaron la Estrategia de ciberseguridad de la UE en diciembre de 2020. El informe de hoy hace balance de los progresos registrados en relación con cada una de las 26 iniciativas de esa Estrategia y hace referencia a la reciente aprobación por el Parlamento Europeo y el Consejo de la Unión Europea del Reglamento por el que se crea la Red y el Centro de Competencias de Ciberseguridad. Se ha avanzado mucho en el refuerzo del marco jurídico para garantizar la resiliencia de los servicios esenciales mediante la propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad (Directiva SRI revisada o «SRI 2»). Por lo que se refiere a la seguridad de las redes de comunicación 5G, la mayoría de los Estados miembros está avanzando en la aplicación de la caja de herramientas 5G de la UE, que ya tiene listos o casi listos marcos para imponer las restricciones adecuadas a los proveedores de 5G. Los requisitos aplicables a los operadores de redes móviles se están reforzando mediante la transposición del Código Europeo de las Comunicaciones Electrónicas, mientras que la Agencia de la Unión Europea para la Ciberseguridad (ENISA) está preparando una propuesta de régimen de certificación de la ciberseguridad de la UE para las redes 5G.

El informe también señala lo realizado por el Alto Representante en materia de fomento de un comportamiento estatal responsable en el ciberespacio, sobre todo mediante la defensa de la creación de un programa de acción por las Naciones Unidas. Además, el Alto Representante ha iniciado el proceso de revisión del marco político de ciberdefensa de la UE para mejorar la cooperación en materia de ciberdefensa, y está llevando a cabo un «ejercicio de lecciones aprendidas» con los Estados miembros para mejorar las herramientas de ciberdiplomacia de la UE y definir oportunidades para seguir reforzando la cooperación internacional y de la UE con este fin. Además, el informe sobre los progresos registrados en la lucha contra las amenazas híbridas, que la Comisión y el Alto Representante también han publicado hoy, destaca que desde que se creó el marco común de 2016 de lucha contra las amenazas híbridas (una respuesta de la Unión Europea), la UE ha apoyado una mayor conciencia de la situación, la resiliencia en los sectores críticos, una respuesta adecuada y la recuperación frente a las amenazas híbridas crecientes, tales como la desinformación y los ciberataques, desde el inicio de la pandemia de coronavirus.

También se han dado pasos importantes en los seis últimos meses en relación con la Estrategia de la Unión de la Seguridad de la UE a fin de velar por la seguridad de nuestro entorno físico y digital. Ya se han establecido normas de la UE cruciales que obligarán a las plataformas en línea a retirar los contenidos terroristas señalados por las autoridades de los Estados miembros en el plazo de una hora. La Comisión también ha propuesto una ley de servicios digitales, con normas armonizadas sobre la eliminación de mercancías, servicios o contenidos ilícitos en línea, y una nueva estructura de supervisión de las plataformas en línea muy grandes. La propuesta también se ocupa de los puntos vulnerables de las plataformas a la hora de amplificar los contenidos nocivos o de difundir desinformación. El Parlamento Europeo y el Consejo de la Unión Europea han acordado una legislación temporal sobre la detección voluntaria de abusos sexuales de menores en línea por parte de los servicios de comunicaciones. También se está trabajando para proteger mejor los espacios públicos, lo que incluye apoyar a los Estados miembros en la gestión de la amenaza que representan los drones y mejorar la protección de los lugares de culto y de las grandes instalaciones deportivas frente a las amenazas terroristas, con un programa de apoyo en curso por valor de 20 millones de euros. Para apoyar mejor a los Estados miembros en la lucha contra la delincuencia grave y el terrorismo, la Comisión también propuso en diciembre de 2020 actualizar el mandato de Europol, la Agencia de la UE de cooperación policial.

Declaraciones de los miembros del Colegio de Comisarios:

Margrethe Vestager, vicepresidenta ejecutiva para una Europa Adaptada a la Era Digital, ha declarado: «La ciberseguridad es una piedra angular de una Europa digital y conectada. En la sociedad actual, es primordial responder a las amenazas de manera coordinada. La unidad informática conjunta contribuirá a este objetivo. Juntos podemos realmente marcar la diferencia».

Josep Borrell, alto representante de la Unión para Asuntos Exteriores y Política de Seguridad, ha señalado: «La unidad informática conjunta representa un avance muy importante a la hora de que Europa proteja a sus gobiernos, ciudadanos y empresas frente a las ciberamenazas a escala mundial. En lo que respecta a los ciberataques, todos somos vulnerables, por lo que la cooperación a todos los niveles resulta crucial. En esto no hay ni grandes ni pequeños. Tenemos que defendernos, pero también debemos servir de guía para los demás en el fomento de un ciberespacio mundial, abierto, estable y seguro».

Margaritis Schinas, vicepresidente para la Promoción de nuestro Modo de Vida Europeo, ha comentado: «Los recientes ataques mediante programas de secuestro deben servir de advertencia de que debemos protegernos frente a amenazas que pueden poner en peligro nuestra seguridad y nuestro modo de vida europeo. Hoy en día, ya no podemos distinguir entre amenazas en línea y fuera de línea. Tenemos que mancomunar todos nuestros recursos para contrarrestar los riesgos cibernéticos y mejorar nuestra capacidad operativa. Construir un mundo digital seguro y fiable, basado en nuestros valores, requiere el compromiso de todos, también de la policía».

Thierry Breton, comisario de Mercado Interior, ha dicho: «La unidad informática conjunta es un elemento fundamental para protegernos de unas amenazas cibernéticas crecientes y cada vez más complejas. Hemos fijado hitos y plazos claros que nos permitirán mejorar concretamente, en colaboración con los Estados miembros, la cooperación en materia de gestión de crisis en la UE, detectar amenazas y reaccionar con mayor rapidez. Es el brazo operativo del ciberescudo europeo».

Ylva Johansson, comisaria europea de Asuntos de Interior, ha vertido las declaraciones siguientes: «La lucha contra los ciberataques resulta cada vez más difícil. Las policías de toda la UE pueden hacer frente mejor a esta nueva amenaza coordinándose entre sí. La unidad informática conjunta ayudará a los agentes de policía de los Estados miembros a compartir conocimientos especializados y contribuirá a reforzar la capacidad de los cuerpos y fuerzas de seguridad para luchar contra esos ataques».

Contexto

La ciberseguridad es una de las principales prioridades de la Comisión y una piedra angular de una Europa digital y conectada. El aumento de los ciberataques durante la crisis del coronavirus ha puesto de manifiesto la importancia de proteger los centros sanitarios y de atención, los centros de investigación y otras infraestructuras. Por tanto, es necesario adoptar medidas firmes en este ámbito, para que la economía y la sociedad de la UE estén preparadas para el futuro.

La UE se compromete a apoyar la nueva Estrategia de Ciberseguridad con un nivel de inversiones sin precedentes en la transición digital durante los siete próximos años, sobre todo con cargo al programa Europa Digital, Horizonte Europa y el Plan de Recuperación para Europa.

Además, en lo que respecta a la ciberseguridad, nuestra desprotección es la de nuestro eslabón más débil. Los ciberataques no se detienen en las fronteras físicas. Por consiguiente, la mejora de la cooperación, incluida la cooperación transfronteriza, en el ámbito de la ciberseguridad es también una prioridad de la UE: en los últimos años, la Comisión ha estado liderando y facilitando varias iniciativas para mejorar la preparación colectiva, ya que las estructuras conjuntas de la UE ya han prestado apoyo a los Estados miembros, tanto a nivel técnico como operativo. La recomendación formulada hoy de crear una unidad informática conjunta es otro paso hacia una mayor cooperación y una respuesta coordinada a las ciberamenazas.

Al mismo tiempo, la respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas, esto es, los instrumentos de ciberdiplomacia, fomenta la cooperación y promueve el comportamiento estatal responsable en el ciberespacio, permitiendo a la UE y a sus Estados miembros utilizar todas las medidas de la política exterior y de seguridad común, incluidas las medidas restrictivas, para prevenir, desalentar y contrarrestar las actividades informáticas malintencionadas.

Para garantizar la seguridad tanto en nuestro entorno físico como digital, la Comisión presentó en julio de 2020 la Estrategia de la Unión Europea de la Seguridad para el período 2020-2025. Esta se centra en ámbitos prioritarios en los que la UE puede contribuir a ayudar a los Estados miembros a fomentar la seguridad para todas las personas que viven en Europa: lucha contra el terrorismo y la delincuencia organizada; prevención y detección de las amenazas híbridas y aumento de la resiliencia de nuestras infraestructuras críticas; promoción de la ciberseguridad y fomento de la investigación y la innovación.