Claves de la nueva Ley de Ciberseguridad de la UE propuesta por la Comisión

La Comisión Europea presentó este martes una propuesta de reglamento para una nueva Ley de Ciberseguridad de la UE, que busca mejorar la seguridad de la cadena de suministro de las TIC en territorio comunitario, especialmente cuando proceden de proveedores de terceros países con riesgos en materia de ciberseguridad.

• Esta propuesta crea las bases para limitar la participación de firmas externas como las chinas Huawei o ZTE en el desarrollo de infraestructuras esenciales de este tipo en la UE, según medios como Euractiv.

Contexto. Esta propuesta forma parte de un paquete de medidas para reformar la Ley de Ciberseguridad de 2019. La Comisión Europea considera que, desde la adopción de esta norma, ha habido un “empeoramiento significativo” en materia de ciberamenazas, que “afecta a sectores críticos” de la UE.  

• “Los avances tecnológicos han dado lugar a ciberamenazas cada vez más sofisticadas, y actores como los estatales han desarrollado capacidades para perturbar sectores económicos y funciones sociales críticos en Europa”, señalan.

La propuesta. La reforma propuesta de la Ley de Ciberseguridad de la UE busca aumentar la resiliencia general de la ciberseguridad del bloque al reducir la participación de ciertos agentes de terceros países en las cadenas de suministro en sectores críticos, como las telecomunicaciones, la energía, la nube, el espacio y la atención médica. 

• El texto de la iniciativa no incluye a ningún país concreto o compañía que haya que prohibir de antemano, pero establece un sistema para identificar los riesgos y actores a restringir.

Estos son sus aspectos clave:

Países de “alto riesgo”. La Comisión prevé realizar evaluaciones sectoriales y posteriormente, junto a los Estados miembros de la UE, elaborar una lista conjunta de países extranjeros que representan un riesgo para la seguridad del bloque, por ejemplo, debido a incidentes cibernéticos previos, actividades maliciosas, falta de supervisión judicial o de cooperación con el bloque europeo, etc.

• Después, se designarían proveedores individuales de estos países y los 27 miembros europeos tendrían que implementar medidas para mitigar los riesgos, como excluir a entidades específicas de las cadenas de suministro de TIC.

Sistemas de certificación. La propuesta introduce además mejoras en el mecanismo de certificación de ciberseguridad introducido con la Ley de Ciberseguridad de 2019. Se plantea que estos sistemas se conviertan en “una herramienta práctica y voluntaria para las empresas”, tanto europeas como de terceros países, permitiendo que estas puedan demostrar que cumplen con la legislación de la UE. 

• Las partes involucradas tendrían un plazo de un año para definir, aprobar y publicar un esquema de certificaciones funcional.

Refuerzo de la ENISA. El proyecto de norma presentado por la Comisión también promueve reforzar el papel de la Agencia de la Unión Europea para la Ciberseguridad (Enisa, por sus siglas en inglés), otorgándole la tarea de ayudar a las instituciones europeas y a los Estados miembros a comprender amenazas comunes en el sector, seguir apoyando a las empresas comunitarias y emitir alertas tempranas sobre ataques o incidentes de este tipo. 

• También se propone que este organismo pueda colaborar con Europol y los Equipos de Respuesta a Incidentes de Seguridad Informática para apoyar a las empresas en la respuesta y recuperación ante determinados ataques cibernéticos de especial gravedad.

Próximos pasos. La propuesta para una nueva Ley de Ciberseguridad de la UE deberá ser aprobada por el Parlamento Europeo y el Consejo para entrar en vigor.

Fuentes

• Comisión Europea
• Reglamento sobre la Ciberseguridad de la Unión Europea
• Euractiv