La Comisión Europea ha propuesto un nuevo paquete de ciberseguridad. El paquete incluye una propuesta de Ley de Ciberseguridad revisada, que mejora la seguridad de las cadenas de suministro de las tecnologías de la información y la comunicación (TIC) de la Unión Europea. Garantiza que los productos que llegan a los ciudadanos de la UE sean ciberseguros desde su diseño mediante un proceso de certificación más sencillo. Además, facilita el cumplimiento de la normativa vigente de ciberseguridad de la UE y refuerza el apoyo de la Agencia Europea de Ciberseguridad (ENISA) a los Estados miembros y a la UE en la gestión de las amenazas a la ciberseguridad.
La Unión Europea se enfrenta diariamente a ciberataques contra servicios esenciales e instituciones democráticas. El objetivo del nuevo paquete de ciberseguridad es fortalecer aún más la resiliencia y las capacidades de ciberseguridad de la UE frente a las crecientes amenazas.
La nueva Ley de Ciberseguridad entrará en vigor inmediatamente después de su aprobación por el Parlamento Europeo y el Consejo Europeo. Una vez adoptada, los Estados miembros dispondrán de un año para incorporar la Directiva a su legislación nacional.
Refuerzo de la seguridad de las cadenas de suministro de las TIC
La nueva Ley de Ciberseguridad tiene como objetivo reducir los riesgos en la cadena de suministro de las TIC de la UE procedentes de proveedores de terceros países con problemas de ciberseguridad. Establece un marco fiable de seguridad para la cadena de suministro de TIC basado en un enfoque armonizado, proporcionado y basado en el riesgo. Esto permitirá a la UE y a los Estados miembros identificar y mitigar conjuntamente los riesgos en los 18 sectores críticos de la UE.
La Ley de Ciberseguridad permitirá la eliminación obligatoria de riesgos de las redes europeas de telecomunicaciones móviles provenientes de proveedores de terceros países de alto riesgo, basándose en el trabajo ya realizado en el marco del conjunto de herramientas de seguridad 5G.
Mayor ciberseguridad mediante un proceso de certificación más sencillo
Por otro lado, la Ley de Ciberseguridad revisada garantizará que los productos y servicios que llegan a los consumidores de la UE se sometan a pruebas de seguridad de forma más eficiente. Esto se logrará mediante un Marco Europeo de Certificación de la Ciberseguridad (ECCF) renovado.
El ECCF aportará mayor claridad y simplificará los procedimientos, permitiendo que los sistemas de certificación se desarrollen en un plazo predeterminado de 12 meses. También introducirá una gobernanza más ágil y transparente para una mayor participación de las partes interesadas mediante la información y la consulta públicas.
Los sistemas de certificación, gestionados por ENISA, se convertirán en una herramienta práctica y voluntaria para las empresas, que les permitirá demostrar su cumplimiento de la legislación de la UE, reduciendo la carga y los costes. Más allá de los productos, servicios, procesos y servicios de seguridad gestionados de las TIC, las empresas y organizaciones podrán certificar su ciberseguridad para satisfacer las necesidades del mercado.
Normas de ciberseguridad de la UE
Además, el paquete introduce medidas para simplificar el cumplimiento de las normas de ciberseguridad de la Unión Europea y los requisitos de gestión de riesgos para las empresas que operan en la UE, complementando el sistema de ventanilla única para la notificación de incidentes propuesto en la Directiva Ómnibus Digital.
Las modificaciones específicas de la Directiva NIS2 buscan aumentar la claridad jurídica. Simplificarán las normas jurisdiccionales, agilizarán la recopilación de datos sobre ataques de ransomware y facilitarán la supervisión de las entidades transfronterizas gracias al papel de coordinación reforzado de ENISA.
La Ley de Ciberseguridad revisada también refuerza el apoyo de la Agencia Europea de Ciberseguridad (ENISA) a la UE y sus Estados miembros a comprender las amenazas comunes, y a prepararse y responder ante incidentes cibernéticos. ENISA seguirá apoyando a las empresas y partes interesadas que operan en la UE mediante la emisión de alertas tempranas sobre ciberamenazas e incidentes. Y desarrollará un enfoque de la Unión Europea para ofrecer mejores servicios de gestión de vulnerabilidades a las partes interesadas. Entre otras cuestiones, gestionará el punto de acceso único para la notificación de incidentes propuesto en el Ómnibus Digital.