La Comisión Europea propone revisar y reforzar la ciberseguridad en la UE

La Comisión Europea ha propuesto un nuevo paquete de medidas legales de ciberseguridad y protección en distintas áreas, centrado en reforzar la resiliencia y capacidades de la UE en seguridad digital ante el creciente número y variedad de amenazas. El paquete incluye una propuesta para revisar la actual Ley de Ciberseguridad, con el fin de mejorar la seguridad de las cadenas de suministro de las tecnologías de la información y la comunicación de la UE.

Este paquete busca por tanto, entre otras cosas, garantizar que los productos que llegan a los ciudadanos de la UE sean «ciberseguros» por diseño, para lo que la Comisión Europea quiere poner en marcha un proceso de certificación más sencillo. Además, el paquete propuesto también facilita el cumplimiento de las normas de ciberseguridad vigentes en la UE y refuerza la Agencia de la UE para la Ciberseguridad, ENISA, en su apoyo a los países miembros y a la propia UE en la gestión de amenazas de ciberseguridad.

Uno de los puntos más destacados de esta nueva ley, y también de los más polémicos en relación con ciertos terceros países y compañías con sede en ellos es la reducción de los riesgos en la cadena de suministro de TIC de la UE procedentes de proveedores de terceros países con problemas de ciberseguridad. Para ello se establecerá un marco de seguridad fiable para la cadena de suministro de TIC con base en un enfoque armonizado, proporcionado y basado en el riesgo.

Esto permitirá a la UE y los países miembros identificar y mitigar de forma conjunta los riesgos en los 18 sectores críticos de la UE, teniendo en cuenta las repercusiones económicas y el suministro del mercado. En este sentido, la Comisión Europea señala que en el panorama geopolítico actual, la seguridad de la cadena de suministro ya no se limita a la seguridad técnica de los productos o servicios, sino que también abarca los riesgos relacionados con los proveedores. En concreto, las dependencias e injerencias extranjeras.

Con la Ley de Ciberseguridad propuesta, de hecho, se podrán reducir de manera obligatoria los riesgos de las redes de telecomunicaciones móviles europeas frente a los proveedores de terceros países de alto riesgo, con base en el trabajo ya realizado en el contexto del conjunto de herramientas de seguridad 5G. El texto no da nombres de países ni de empresas, pero según Reuters, todo apunta a que está pensado para China y empresas como Huawei o ZTE.

¿Que implica esto? Que la UE quiere eliminar de manera gradual los componentes y equipos de proveedores de alto riesgo en 18 sectores que considera críticos. Además del de telecomunicaciones mencionado, las medidas sea plicarían a otros 17 sectores clave, como los de equipos de detección, vehículos conectados y automatizados, sistemas de suministro y almacenamiento de electricidad, sistemas de suministro de agua, drones y sistemas antidrones, servicios cloud, dispositivos médicos, equipos de vigilancia, servicios espaciales y semiconductores.

China, posible afectada por las reformas de la Comisión Europea

El texto no da nombres de países ni de empresas, pero según Reuters, todo apunta a que está pensado para China y empresas como Huawei o ZTE. Y según la propuesta, los operadores móviles dispondrán de 36 meses desde la publicación de la lista de proveedores de alto riesgo para retirar de sus redes los componentes clave. Los plazos de retirada para las redes fijas, incluidos los cables de fibra óptica y submarinos, así como las redes de satélites, se anunciarán más adelante.

Eso sí, las restricciones a proveedores de países considerados un riesgo para la ciberseguridad solo entrarían en vigor después de una evolución formal de riesgos abierta por la Comisión Europea, o al menos por tres países de la UE. Cualquier medida que se tome en este caso se basaría en análisis de mercado y evaluaciones de impacto.

El grupo de presión del sector de las telecomunicaciones Connect Europe no está de acuerdo con esta medida, ya que ha advertido que las propuestas subirirán la carga que tiene que soportar el sector, con costes regulatorios adicionales que sumarían miles de millones de euros. Eso sí, todavía pasará algún tiempo hasta que pueda entrar en vigor la ley. La Comisión Europea tendrá todavía que negociar el texto de las nuevas medidas con los gobiernos de la UE y con el Parlamento Europeo, un proceso que llevará varios meses.

Por otro lado, la Ley de Ciberseguridad revisada garantizará que los productos y servicios que llegan a los consumidores de la UE se sometan a pruebas de seguridad de manera más eficiente. Esto se hará a través de un Marco Europeo de Certificación de Ciberseguridad renovado. Este marco aportará más claridad y procedimientos más sencillos, lo que permitirá poner en marcha sistemas de certificación en un plazo de 12 meses por defecto. Además, habilitará una gobernanza más ágil y transparente para implicar mejor a las partes interesadas a través de la información y la consulta públicas.

El papel de ENISA en la ciberseguridad de la UE del futuro

Los sistemas de certificación, gestionados por ENISA, serán una herramienta práctica, pero voluntaria, para las empresas. Permitirán que estas puedan demostrar el cumplimiento de las leyes de la UE, así como certificar su postura cibernética para satisfacer las necesidades renovado.

El paquete, además, incluirá medidas para simplificar el cumplimiento de las normas de ciberseguridad de la UE y los requisitos de gestión de riesgo para las empresas que funcionan en la UE, complementando el punto único de entrada para la notificación de incidentes propuesto en el Omnibus Digital.

En cuanto a los cambios propuestos específicamente para la Directiva NIS2, tienen como objetivo aumentar la claridad jurídica y facilitar así su cumplimiento a empresas de todos los tamaños. Además, incluirá una nueva categoría de pequeñas empresas de capitalización mediana para reducir los costes de cumplimiento a varios miles de ellas. Paralelamente, los cambios simplificarán las normas jurisdiccionales, agilizarán la recogida de datos sobre ataques de ransomware y facilitarán la supervisión de las entidades transfronterizas con el refuerzo de la función de coordinación de ENISA.

Esta organización seguirá apoyando a empresas y partes interesadas que operan en la UE a través de la emisión de alertas tempranas sobre amenazas e incidentes cibernéticos. En cooperación con Europol y los equipos de respuesta a incidentes de seguridad informática, ayudará a las empresas a responder y recuperarse de ataques de ransomware, y desarrollará un enfoque de la UE para ofrecer mejores servicios de gestión de vulnerabilidades.

Asimismo, ENISA se encargará de la gestión del único punto de entrada para la notificación de incidentes propuesto en el Digital Omnibus. Por otra parte, pondrá en marcha la Academia de Competencias en Ciberseguridad, y establecerá sistemas de certificación de competencias en ciberseguridad a escala de la UE.