Guillem Alsina Gonzàlez
Como otros lugares del mundo, Europa convive con ataques cibernéticos e híbridos diarios contra servicios esenciales e instituciones democráticas, atribuidos tanto a grupos estatales, como a ciberdelincuentes que presentan un alto nivel de sofisticación. En este contexto, la Comisión Europea ha propuesto un nuevo paquete de ciberseguridad orientado a fortalecer la resiliencia y las capacidades de la UE ante estas amenazas.
El núcleo del nuevo paquete es una propuesta de revisión del Reglamento de Ciberseguridad (Cybersecurity Act) cuya intención es doble: por un lado, elevar la seguridad de las cadenas de suministro de las tecnologías de la información y las comunicaciones (TIC), y por el otro, conseguir que los productos y servicios que llegan al mercado europeo incorporen la seguridad desde el diseño. En la práctica, esto se apoya en un proceso de certificación que la Comisión plantea como más simple, además de medidas para facilitar el cumplimiento de normas existentes y un refuerzo del papel de la Agencia de la UE para la Ciberseguridad (ENISA).
La propuesta parte de la constatación de que las vulnerabilidades en la cadena de suministro TIC pueden comprometer el funcionamiento de servicios e infraestructuras críticas, una afirmación que ha ganado peso con incidentes recientes. En el actual panorama geopolítico, la seguridad de la cadena de suministro deja de ser únicamente una cuestión técnica del producto o del servicio y pasa a incorporar riesgos vinculados al propio proveedor, incluidas dependencias y posibles interferencias desde el exterior, una visión que se traduce en un enfoque de gestión del riesgo que no se limita a “si el sistema es seguro”, sino también a “de quién depende” y “qué exposición genera”.
Así, la revisión del Reglamento de Ciberseguridad plantea un marco de seguridad para cadenas de suministro TIC “de confianza”, basado en un enfoque armonizado proporcionado y sustentado en el riesgo. El objetivo es que la UE y los Estados miembros puedan identificar y mitigar riesgos de manera conjunta en dieciocho sectores críticos, incorporando el impacto económico y la disponibilidad de suministro en el mercado. De esta manera, la evaluación no solo mirará el componente tecnológico, sino también la continuidad operativa, el nivel de dependencia y la exposición a posibles injerencias.
Uno de los puntos con mayor impacto potencial para operadores y proveedores es el terreno de las redes móviles. El texto prevé habilitar la reducción obligatoria de riesgos (“derisking”) en redes móviles europeas respecto a proveedores de terceros países considerados de alto riesgo, en línea con el trabajo previo desarrollado en el marco de la “caja de herramientas” de seguridad 5G. En términos prácticos, se trata de trasladar a un marco legal revisado la capacidad de limitar o reorientar dependencias cuando la evaluación de riesgo así lo justifique.
El paquete también busca acelerar y clarificar la certificación de ciberseguridad en la UE. La Comisión propone renovar el Marco Europeo de Certificación de Ciberseguridad (ECCF, por sus siglas en inglés) para que los productos y servicios se prueben de forma más eficiente y con procedimientos más simples. El planteamiento incluye una regla general para que los esquemas de certificación puedan desarrollarse, por defecto, en un plazo de doce meses, con una gobernanza descrita como más ágil y transparente y con mayor participación de las partes interesadas mediante información pública y consultas.
En cuanto al uso en el mercado, el ECCF se presenta como una herramienta voluntaria gestionada por ENISA. La certificación se perfila como un mecanismo práctico para que las empresas demuestren cumplimiento con legislación europea y reduzcan cargas y costes, especialmente cuando el cumplimiento se complica por la coexistencia de obligaciones y marcos sectoriales.
La propuesta amplía el foco más allá de los productos TIC, incluyendo servicios, procesos y servicios de seguridad gestionados, e introduce la posibilidad de certificar la “postura” de ciberseguridad de empresas y organizaciones para atender necesidades del mercado. En términos sencillos, la “postura” es la manera global en la que una organización se protege: políticas, controles, preparación y capacidad de respuesta, no solo un producto aislado.
El tercer vector del paquete es el cumplimiento normativo, incorporando medidas para simplificar el cumplimiento de reglas europeas de ciberseguridad y requisitos de gestión de riesgos, complementando el “punto único de entrada” para el reporte de incidentes propuesto en el Omnibus Digital.
En paralelo, se plantean enmiendas dirigidas a la Directiva NIS2 para incrementar la claridad jurídica y reducir fricciones operativas. Según la propuesta, estas modificaciones facilitarían el cumplimiento a 28.700 compañías, incluidas 6.200 micro y pequeñas empresas, y crearían una nueva categoría de “small mid-cap enterprises” para disminuir costes de cumplimiento en 22.500 empresas.
Más allá de las cifras, el objetivo técnico-regulatorio pasa por simplificar reglas de jurisdicción, agilizar la recopilación de datos sobre ataques de ransomware, y facilitar la supervisión de entidades con actividad transfronteriza, con un papel coordinador reforzado de ENISA, que vería ampliadas sus capacidades para ayudar a la UE y a los estados miembro a entender amenazas comunes y a preparar y responder ante incidentes.
Entre las funciones destacadas aparece el apoyo a empresas y actores del mercado mediante alertas tempranas sobre amenazas e incidentes, así como colaboración con Europol y con los equipos de respuesta a incidentes (CSIRT) para apoyar la respuesta y la recuperación ante ransomware.
El paquete también incorpora un enfoque de gestión de vulnerabilidades a escala de toda la Unión, en la que ENISA desarrollará una aproximación común para ofrecer mejores servicios de gestión de vulnerabilidades a los actores afectados, un ámbito crítico para la reducción del riesgo porque conecta la detección de fallos con su corrección antes de que sean explotados.
Además, ENISA operaría el punto único de entrada para el reporte de incidentes planteado en el Omnibus Digital, con el objetivo de racionalizar la notificación y la coordinación.
Finalmente, y en lo concerniente al talento, ENISA tendrá un rol en la construcción de una fuerza laboral cualificada en ciberseguridad, con el pilotaje de la Cybersecurity Skills Academy y el establecimiento de esquemas de acreditación de competencias a escala de la UE.
En cuanto al calendario, el Reglamento de Ciberseguridad revisado sería aplicable inmediatamente tras su aprobación por el Parlamento Europeo y el Consejo, mientras que las enmiendas a la Directiva NIS2 también se elevarán para aprobación. Una vez adoptada la Directiva modificada, los estados miembro dispondrán de un año para transponerla a sus correspondientes códices de derecho nacional y comunicar a la Comisión los textos pertinentes.
