El Consejo Europeo y el Parlamento han alcanzado un acuerdo provisional sobre la Ley de Cibersolidaridad y sobre una enmienda específica a la Ley de Ciberseguridad para fortalecer la solidaridad y las capacidades de la UE para prevenir, detectar, prepararse, responder y recuperarse ante amenazas e incidentes de ciberseguridad, así como mejorar su ciberresiliencia.
La nueva Ley de Cibersolidaridad establece capacidades para que la Unión Europea sea más resiliente y reactiva frente a las ciberamenazas, al tiempo que fortalece los mecanismos de cooperación. Entre sus principales objetivos, persigue apoyar la detección y el conocimiento de amenazas e incidentes de ciberseguridad significativos o a gran escala.
Para una detección rápida y eficaz, establece un sistema de alerta de ciberseguridad, una infraestructura paneuropea compuesta por centros cibernéticos nacionales y transfronterizos en toda Europa. Estas entidades se encargarán de compartir información y detectar y actuar ante las ciberamenazas para reforzar el marco europeo existente.
La legislación también tiene por objeto reforzar la preparación y proteger entidades críticas y servicios esenciales, como los servicios públicos; fortalecer la solidaridad a nivel europeo, la gestión coordinada de crisis y las capacidades de respuesta de los Estados miembros; y contribuir a garantizar un panorama digital seguro para ciudadanía y empresas.
Mecanismo de emergencia de ciberseguridad
La Ley de Cibersolidaridad prevé la creación de un mecanismo de emergencia de ciberseguridad. Este apoyará acciones de preparación, incluidas pruebas de entidades en sectores críticos (transporte, energía, sanidad, etc.) para detectar posibles vulnerabilidades en base a escenarios y metodologías de riesgo comunes, así como la asistencia mutua en términos financieros.
Además, este mecanismo apoyará una nueva reserva de ciberseguridad de la Unión Europea, compuesta por servicios de respuesta a incidentes del sector privado, listos para intervenir a petición de un Estado miembro o de instituciones y agencias de la UE y de terceros países.
Igualmente, la nueva legislación establece un mecanismo de evaluación y revisión. Este permitirá valorar la eficacia de las actuaciones bajo el mecanismo de emergencia y el uso de la reserva de ciberseguridad, junto con la contribución de esta norma a la competitividad de los sectores de industria y servicios.
Enmienda específica a la Ley de Ciberseguridad
La enmienda específica a la Ley de Ciberseguridad tiene el objetivo de mejorar la ciberresiliencia de la Unión Europea, al permitir la futura adopción de sistemas de certificación europeos para los servicios de seguridad administrada. Estos servicios, prestados a los clientes por empresas especializadas, contribuyen a prevenir y detectar incidentes de ciberseguridad para dar respuesta y recuperarse una vez se han producido.
La modificación de la legislación busca aumentar la calidad y comparabilidad de estos servicios, fomentar la aparición de proveedores de confianza y evitar la fragmentación del mercado interior, pues algunos Estados miembros ya han iniciado la adopción de esquemas nacionales.
A la espera de la revisión periódica de la Ley de Ciberseguridad, prevista para el próximo 28 de junio, el acuerdo provisional aclara la definición de servicios de seguridad administrada y garantiza la alineación con la Directiva NIS2. Asimismo, alinea los objetivos de seguridad de los esquemas de certificación con los de otros esquemas e incluye modificaciones en el anexo, que contiene una lista de requisitos a cumplir por los organismos de evaluación de la conformidad.
Adicionalmente, especifica que la consulta de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) a todos los actores relevantes debe llevarse a cabo de manera oportuna y ofrece la posibilidad de que la Agencia o la Comisión informen trimestralmente a los colegisladores sobre el funcionamiento de los sistemas de certificación.
Tras el acuerdo provisional, ambos textos deberán ser aprobados por el Parlamento Europeo y el Consejo para su adopción formal. Posteriormente, se publicarán en el Diario Oficial de la UE y entrarán en vigor 20 días después.