Julio García
El Consejo Europeo ha adoptado dos nuevas leyes que forman parte del «paquete» legislativo sobre ciberseguridad, a saber, la denominada «ley de solidaridad cibernética» y una modificación específica de la ley de ciberseguridad .
En una nota de prensa, el Consejo explica que estas dos nuevas leyes tienen como objetivo reforzar la solidaridad de la UE y sus capacidades para detectar, prepararse y responder a las amenazas e incidentes de ciberseguridad.
La nueva normativa establece capacidades de la UE para hacer que Europa sea más resiliente frente a las ciberamenazas, al tiempo que refuerza los mecanismos de cooperación.
Establece, entre otras cosas, un «sistema de alerta de ciberseguridad» , una infraestructura paneuropea compuesta por centros cibernéticos nacionales y transfronterizos en toda la UE. Se trata de entidades encargadas de compartir información y encargadas de detectar y actuar ante las ciberamenazas.
Los centros cibernéticos utilizarán tecnología de vanguardia, como la inteligencia artificial (IA) y el análisis avanzado de datos, para detectar y compartir alertas oportunas sobre ciberamenazas e incidentes transfronterizos.
Además, fortalecerán el marco europeo existente y, a su vez, las autoridades y las entidades pertinentes podrán responder de manera más eficiente y eficaz a los incidentes de ciberseguridad.
El nuevo reglamento también prevé la creación de un mecanismo de emergencia en materia de ciberseguridad para aumentar la preparación y mejorar la capacidad de respuesta ante incidentes en la UE. Este mecanismo apoyará:
- acciones de preparación , incluidas pruebas a entidades de sectores altamente críticos (atención sanitaria, transporte, energía, etc.) para detectar posibles vulnerabilidades, basándose en escenarios y metodologías de riesgo comunes
- una nueva reserva de ciberseguridad de la UE compuesta por servicios de respuesta a incidentes del sector privado listos para intervenir a petición de un Estado miembro o de instituciones, organismos y agencias de la UE, así como de terceros países asociados, en caso de un incidente de ciberseguridad significativo o de gran escala
- asistencia técnica mutua
Por último, la nueva ley establece un mecanismo de revisión de incidentes para evaluar, entre otros, la eficacia de las actuaciones en el marco del mecanismo de ciberemergencia y el uso de la reserva de ciberseguridad, así como la contribución de esta regulación al fortalecimiento de la posición competitiva de los sectores industrial y de servicios.
Esta enmienda específica tiene por objeto mejorar la resiliencia cibernética de la UE al permitir la futura adopción de sistemas de certificación europeos para los denominados «servicios de seguridad gestionados».
La nueva ley también reconoce la creciente importancia de los servicios de seguridad gestionados en la prevención, detección, respuesta y recuperación de incidentes de ciberseguridad. Estos servicios pueden consistir, por ejemplo, en la gestión de incidentes, pruebas de penetración, auditorías de seguridad y consultoría relacionada con el soporte técnico.
A la espera de los resultados de la evaluación de la CSA, esta modificación específica permitirá el establecimiento de sistemas de certificación europeos para estos servicios de seguridad gestionados. Contribuirá a aumentar su calidad y comparabilidad, fomentará la aparición de proveedores de servicios de ciberseguridad de confianza y evitará la fragmentación del mercado interior, dado que algunos Estados miembros ya han comenzado a adoptar sistemas de certificación nacionales para los servicios de seguridad gestionados.
