La Unión Europea se enfrenta diariamente a ciberataques contra servicios esenciales e infraestructuras críticas, como las infraestructuras energéticas. En este contexto, la Comisión Europea ha presentado un nuevo paquete para impulsar la ciberseguridad. El objetivo es fortalecer aún más la resiliencia y las capacidades de ciberseguridad de la UE frente a las crecientes amenazas. La nueva Ley de Ciberseguridad entrará en vigor inmediatamente después de su aprobación por el Parlamento Europeo y el Consejo Europeo. Una vez adoptada, los Estados miembros dispondrán de un año para incorporar la Directiva a su legislación nacional.
El nuevo paquete de ciberseguridad propuesto por la Comisión Europea incluye una propuesta de Ley de Ciberseguridad revisada, que mejora la seguridad de las cadenas de suministro de las tecnologías de la información y la comunicación (TIC) de la Unión Europea. Garantiza que los productos que llegan a los ciudadanos de la UE sean ciberseguros desde su diseño mediante un proceso de certificación más sencillo. Además, facilita el cumplimiento de la normativa vigente de ciberseguridad de la UE y refuerza el apoyo de la Agencia Europea de Ciberseguridad (ENISA) a los Estados miembros y a la UE en la gestión de las amenazas a la ciberseguridad.
Cadenas de suministro de las TIC
Los recientes incidentes de ciberseguridad han puesto de relieve los importantes riesgos que plantean las vulnerabilidades en las cadenas de suministro de las TIC, esenciales para el funcionamiento de servicios e infraestructuras críticas.
La nueva Ley de Ciberseguridad tiene como objetivo reducir los riesgos en la cadena de suministro de las TIC de la UE procedentes de proveedores de terceros países con problemas de ciberseguridad. Establece un marco fiable de seguridad para la cadena de suministro de TIC basado en un enfoque armonizado, proporcionado y basado en el riesgo. Esto permitirá a la UE y a los Estados miembros identificar y mitigar conjuntamente los riesgos en los 18 sectores críticos de la UE.
Asimismo, la Ley de Ciberseguridad permitirá la eliminación obligatoria de riesgos de las redes europeas de telecomunicaciones móviles provenientes de proveedores de terceros países de alto riesgo, basándose en el trabajo ya realizado en el marco del conjunto de herramientas de seguridad 5G.
Por otro lado, la Ley de Ciberseguridad revisada garantizará que los productos y servicios que llegan a los consumidores de la UE se sometan a pruebas de seguridad de forma más eficiente. Esto se logrará mediante un Marco Europeo de Certificación de la Ciberseguridad (ECCF) renovado, que aportará mayor claridad y simplificará los procedimientos, permitiendo que los sistemas de certificación se desarrollen en un plazo predeterminado de 12 meses.
Por su parte, los sistemas de certificación, gestionados por la Agencia Europea de Ciberseguridad (ENISA), se convertirán en una herramienta práctica y voluntaria para las empresas, que les permitirá demostrar su cumplimiento de la legislación de la UE, reduciendo la carga y los costes. Más allá de los productos, servicios, procesos y servicios de seguridad gestionados de las TIC, las empresas y organizaciones podrán certificar su ciberseguridad para satisfacer las necesidades del mercado.
Además, entre otras cuestiones, el paquete también introduce medidas para simplificar el cumplimiento de las normas de ciberseguridad de la Unión Europea y los requisitos de gestión de riesgos para las empresas que operan en la UE. Las modificaciones específicas de la Directiva NIS2 buscan aumentar la claridad jurídica. Simplificarán las normas jurisdiccionales, agilizarán la recopilación de datos sobre ataques de ransomware y facilitarán la supervisión de las entidades transfronterizas gracias al papel de coordinación reforzado de ENISA.
Ley de Redes Digitales
Por otro lado, la Comisión Europea también ha presentado la nueva Ley de Redes Digitales (Digital Networks Act, DNA), que se presentará al Parlamento Europeo y al Consejo Europeo para su aprobación. La propuesta busca crear un mercado único europeo eficaz mediante la armonización de las normas y la facilitación de las transacciones transfronterizas para incentivar a los operadores a expandirse, crecer e innovar.
La Comisión Europea destaca la necesidad de actualizar la normativa actual para crear las condiciones necesarias para que los operadores inviertan en el despliegue de redes avanzadas de fibra óptica y móviles. Las redes de alta capacidad posibilitan tecnologías innovadoras, como la inteligencia artificial y la nube.