Entran en vigor nuevas normas para impulsar la ciberseguridad de las instituciones de la UE

El nuevo Reglamento sobre ciberseguridad por el que se establecen medidas destinadas a garantizar un elevado nivel común de ciberseguridad en las instituciones, órganos y organismos de la Unión entró en vigor ayer el 7 de enero de 2024.

A medida que las ciberamenazas son cada vez más generalizadas y los ciberataques son más sofisticados, lograr un elevado nivel común de ciberseguridad en todas las entidades de la Unión es fundamental para garantizar una administración pública de la UE abierta, eficiente, segura y resiliente. El Reglamento refuerza la ciberseguridad de las entidades de la Unión y adapta la administración de la UE a las normas impuestas a los Estados miembros, como la Directiva relativa a altos niveles comunes de ciberseguridad en toda la Unión, también conocida como SRI 2. La rápida adopción del Reglamento demuestra el compromiso de la UE con estos objetivos. Ahora pido a los colegisladores que entablen rápidamente negociaciones para el Reglamento paralelo sobre seguridad de la información.

Johannes Hahn, comisario responsable de Presupuesto y Administración

El Reglamento establece medidas para el establecimiento de un marco interno de gestión, gobernanza y control de riesgos de ciberseguridad para cada entidad de la Unión, y establece un nuevo Consejo Interinstitucional de Ciberseguridad (CIIC) para supervisar y apoyar su aplicación por parte de las entidades de la Unión. Proporciona un mandato ampliado del Equipo de Respuesta a Emergencias Informáticas para las instituciones, órganos y organismos de la UE (CERT-UE), como centro de información sobre amenazas, intercambio de información y coordinación de la respuesta a incidentes, un órgano consultivo central y un proveedor de servicios. En consonancia con su mandato, el CERT-UE pasa a denominarse Servicio de Ciberseguridad para las instituciones, órganos y organismos de la Unión, pero conserva la denominación abreviada «CERT-UE».

Etapas siguientes

Siguiendo el calendario definido en el Reglamento, las entidades de la Unión establecerán procesos internos de gobernanza de la ciberseguridad y adoptarán progresivamente medidas específicas para la gestión de riesgos de ciberseguridad previstas en el Reglamento. El CIIC se creará y será operativo lo antes posible, con el objetivo de garantizar la dirección estratégica del CERT-UE en el marco de su mandato ampliado, proporcionar orientación y apoyo a las entidades de la Unión y supervisar la aplicación del Reglamento. 

Antecedentes

En su Resolución de marzo de 2021, el Consejo de la Unión Europea destacó la importancia de un marco de seguridad sólido y coherente capaz de proteger integralmente al personal, los datos, las redes de comunicación, los sistemas de información y los procesos de toma de decisiones de la UE. En este contexto, la Comisión anunció la propuesta de Reglamento sobre ciberseguridad en marzo de 2022, y en junio de 2023 el Parlamento Europeo y el Consejo alcanzaron un acuerdo político.

El presente Reglamento se ajusta a los objetivos políticos de la Comisión establecidos por la Estrategia de la UE para una Unión de la Seguridad y la Estrategia de Ciberseguridad de la UE, y garantiza la coherencia con otras iniciativas legislativas en el ámbito de:

  • La Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (SRI 2), con la que esta legislación se ajusta en términos de principios y nivel de ambición, respetando al mismo tiempo las especificidades de las entidades de la Unión;
  • El Reglamento de Ciberseguridad;
  • La Recomendación de la Comisión sobre la respuesta coordinada de la UE a los incidentes y crisis de ciberseguridad a gran escala

El Reglamento sobre ciberseguridad se presentó conjuntamente con una propuesta de Reglamento sobre seguridad de la información, que establece reglas y normas mínimas de seguridad de la información para todas las instituciones, órganos y organismos de la UE. La presente propuesta tiene por objeto un intercambio seguro de información entre las instituciones, órganos y organismos de la UE y con los Estados miembros, basado en prácticas y medidas normalizadas para proteger los flujos de información. Las negociaciones entre los colegisladores sobre esta propuesta aún no han comenzado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *