Acuerdo para reforzar la ciberseguridad en todas las instituciones europeas

El Consejo de la UE y el Parlamento Europeo han llegado a un acuerdo político sobre el Reglamento propuesto por la Comisión por el que se establecen medidas destinadas a garantizar un elevado nivel común de ciberseguridad en las instituciones, órganos y organismos de la Unión.

La Comisión anunció la propuesta de Reglamento sobre ciberseguridad en marzo de 2022. Este Reglamento establecerá un marco para la gobernanza, la gestión de riesgos y el control en todas las instituciones de la UE en el ámbito de la ciberseguridad, junto con un nuevo consejo interinstitucional de ciberseguridad para supervisar su aplicación. Además, ampliará el mandato del Equipo de Respuesta a Emergencias Informáticas para las instituciones, órganos, organismos y agencias de la UE (CERT-UE) como centro de información sobre amenazas e intercambio de información y coordinación de la respuesta a incidentes, órgano consultivo central y proveedor de servicios. El CERT-UE pasará a denominarse «Servicio de Ciberseguridad de las Instituciones, Órganos y Organismos de la Unión» para reflejar su nuevo mandato, manteniendo al mismo tiempo la denominación abreviada CERT-UE a efectos de reconocimiento.

Los elementos principales de la propuesta para todas las instituciones, órganos y organismos de la UE son los siguientes:

• Tendrán que dotarse de un marco para la gobernanza, la gestión y el control de riesgos en el ámbito de la ciberseguridad.
• Tendrán que llevar a cabo evaluaciones periódicas de madurez.
• Tendrán que definir un código básico de medidas de seguridad para hacer frente a los riesgos detectados.
• Tendrán que formular un plan para mejorar su ciberseguridad.
• Tendrán que comunicar sin demora indebida al CERT-UE la información relacionada con los incidentes.

Próximas etapas

Una vez ultimado el texto, el Parlamento Europeo y el Consejo tendrán que adoptar formalmente el nuevo Reglamento antes de que pueda entrar en vigor. A continuación, se exigirá a las entidades de la Unión que cumplan las obligaciones y los plazos especificados en el texto. Esto contribuirá a garantizar niveles más elevados de ciberseguridad en la administración de la UE y a que esta esté mejor preparada para hacer frente a los retos futuros. 

Antecedentes

En su Resolución de marzo de 2021, el Consejo de la Unión Europea destacó la importancia de un marco de seguridad sólido y coherente capaz de proteger integralmente al personal, los datos, las redes de comunicación, los sistemas de información y los procesos de toma de decisiones de la UE. Tal objetivo solo puede lograrse mediante un aumento de la resiliencia y una mejora de la cultura de seguridad de las instituciones, órganos, organismos y agencias de la UE.

Siguiendo la estela de la Estrategia de la UE para una Unión de la Seguridad y la Estrategia de ciberseguridad de la UE, el Reglamento sobre ciberseguridad que se ha propuesto asegurará la coherencia con las políticas de seguridad de la UE vigentes, en total consonancia con la normativa europea actual:

• La Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión («SRI 2»), a la que esta legislación se ajusta en términos de principios y nivel de ambición, en el respeto de las características específicas de las instituciones de la Unión.
• El Reglamento sobre la Ciberseguridad.
• La Recomendación de la Comisión sobre la respuesta coordinada de la UE a los incidentes y crisis de ciberseguridad a gran escala.