EU Cybersecurity Act

El 29 de mayo de 2018, el Consejo de la Unión Europea emitió su propuesta para la regulación de la Agencia de la Unión Europea para la Seguridad de las Redes y la Información («ENISA») y la certificación de ciberseguridad de la tecnología de la información y la comunicación (la «Ley de Ciberseguridad de la UE»).

La propuesta tenía dos áreas de enfoque:

  • fortalecer los poderes de ENISA convirtiéndola en una agencia permanente de la UE;
  • establecer un marco europeo de certificación de ciberseguridad para garantizar la aplicación de una certificación de ciberseguridad común para bienes de tecnología de la información y las comunicaciones («TIC»).

La propuesta fue adoptada el 27 de marzo de 2019 y entró en vigor 20 días después de su publicación.

Nuevo mandato para ENISA

La Agencia Europea de Seguridad de la Red y de la Información (ENISA) es una entidad de la UE con sede en Grecia, creada en 2004.

El objetivo principal de ENISA es garantizar un nivel alto y efectivo de seguridad de la red y la información (NIS) dentro de la UE para contribuir al buen funcionamiento del mercado único.

Sus dos funciones principales son:

  • brindar apoyo, asesoramiento y experiencia a las instituciones de la UE y los Estados miembros en todos los aspectos relevantes de los sistemas de ciberseguridad, y
  • facilitar el intercambio de mejores prácticas y la cooperación entre los sectores público y privado.

Anteriormente, el mandato de ENISA era de cinco años, siempre sujeto a debates políticos.

Ahora, además de renovar su mandato por siete años más, el Parlamento Europeo aprobó la modernización de ENISA para permitir que la Agencia desempeñe un papel más importante en el aumento de la confianza entre los principales agentes de seguridad cibernética en toda la UE.

ENISA, la Agencia de la UE para la ciberseguridad, ahora es más fuerte. La Ley de Ciberseguridad de la UE otorga un mandato permanente a la agencia, más recursos y nuevas tareas.

Se le atribuye una función esencial en la elaboración y el mantenimiento del marco europeo de certificación de ciberseguridad. Debe organizar las bases técnicas para esquemas de certificación concretos y comunicar en una web específica los esquemas de certificación y los certificados otorgados.

ENISA también tiene el mandato de aumentar la cooperación operativa a nivel de la UE , ayudando a los Estados miembros de la UE que lo soliciten para manejar incidentes de ciberseguridad y apoyando la coordinación de la UE en caso de ciberataques y crisis transfronterizas a gran escala.

Mayores funciones y mejor gobernanza

La nueva regulación otorga a la agencia un mandato claro para apoyar varias áreas nuevas dentro del dominio de la seguridad cibernética.

Por ejemplo, se espera que ENISA ayude al establecimiento y funcionamiento de un Equipo de Respuesta a Emergencias Informáticas a gran escala de la Unión Europea (CERT de la UE) y una red paneuropea de CERT para contrarrestar los ciberataques a nivel de la UE.

Además, tanto las entidades nacionales como las instituciones de la UE pueden solicitar experiencia y asesoramiento de ENISA en caso de una violación de seguridad o pérdida de integridad con un impacto significativo en el funcionamiento de las redes y servicios.

Entre otras áreas de competencia, ENISA también comenzará a trabajar en el campo de los aspectos de NIS relacionados con la lucha contra el delito cibernético.

Además de la ubicación original de ENISA en Heraklion, Creta, se abrirá una nueva sucursal en Atenas.

La nueva oficina albergará principalmente personal operativo con el objetivo de mejorar la eficiencia de sus actividades de redes.

La estructura de gobierno de ENISA también se modificará. De acuerdo con el reglamento, se establecerá una nueva junta ejecutiva para permitir que esta se centre en cuestiones de importancia estratégica y, por lo tanto, mejore la eficacia de ENISA.

El enfoque de ENISA se presenta en sus actividades en diferentes áreas:

  • Recomendaciones sobre ciberseguridad y asesoramiento independiente.
  • Actividades que apoyan la formulación e implementación de políticas.
  • Trabajo ‘Hands On’, donde ENISA colabora directamente con equipos operativos en toda la UE
  • Reunir a las comunidades de la UE y coordinar la respuesta a incidentes de ciberseguridad transfronterizos a gran escala
  • Elaboración de esquemas de certificación de ciberseguridad

Reformas de seguridad cibernética en la UE

La mejora de la Agencia incluye dar a ENISA las herramientas adecuadas para centrarse más claramente en las prioridades y necesidades de la UE, ya que la UE en su conjunto se enfrenta a un número creciente de desafíos cibernéticos.

La modernización de ENISA incluirá:

  • obtener una capacidad de respuesta más flexible,
  • desarrollar habilidades y competencias europeas y
  • reforzar su eficiencia operativa y su impacto general.

La modernización también irá de la mano con una serie de iniciativas de políticas regulatorias y no regulatorias de la UE en curso en el dominio NIS, lanzadas bajo el programa Agenda Digital para Europa. Según la recientemente propuesta Estrategia de Seguridad Cibernética de la UE y la Directiva NIS, ENISA tendrá un papel clave para garantizar la seguridad cibernética de la UE y establecer estándares NIS para apoyar una industria internacionalmente competitiva.

Con este nuevo mandato, ENISA puede apoyar plenamente la Estrategia de Seguridad Cibernética de la UE que prevé un papel reforzado para ENISA, con la intención de aumentar los recursos para ayudar a proteger la sociedad digital de Europa y economía.

La estrategia también proporciona a ENISA un marco para trabajar más estrechamente y brindar su experiencia a otros organismos de la UE, como Europol, que son responsables operativamente del delito cibernético, y al Servicio Europeo de Acción Exterior, en relación con la seguridad informática a nivel mundial.

Marco europeo de certificación de ciberseguridad

Se establece por primera vez en toda la UE un marco de certificación de ciberseguridad aplicable a servicios, procesos y productos de TIC.

Esto supone importantes beneficios para todas las empresas que realizan actividades dentro de la UE. Solo tendrán que certificar sus productos, procesos y servicios de TIC una vez y esos certificados se admitirán en toda la Unión Europea.

Necesidad de certificación

La intención detrás de la introducción propuesta de este marco voluntario de certificación de seguridad cibernética es tratar de establecer un estándar central para dicho marco, evitando así un enfoque fragmentado por parte de los Estados miembros que adopten sus propios estándares separados.

La Ley de Seguridad Cibernética otorga a la Comisión de la UE la autoridad para adoptar esquemas de certificación de seguridad cibernética que se aplicarán en toda la UE, una vez que se llegue a un acuerdo a nivel de la UE en cuanto a los estándares de seguridad para cada producto o servicio de TIC.

El marco de certificación propuesto incluye una certificación única respaldada por el reconocimiento de productos certificados por diferentes miembros de la UE. La certificación propone ofrecer confirmación y garantía de que los productos y servicios de TIC son ciberseguros.

La Ley de Ciberseguridad de la UE describe algunos de los elementos que serían necesarios para cualquier marco de certificación de ciberseguridad finalizado.

El marco de certificación deberá detallar los requisitos específicos para los organismos de evaluación a nivel nacional para garantizar que sean técnicamente competentes para evaluar los productos. El marco de certificación también necesitaría establecer criterios de evaluación claramente definidos. Así como reglas para monitorear el cumplimiento y otorgar y renovar una certificación de seguridad cibernética.

Funcionamiento

Bajo el marco propuesto, ENISA, en colaboración con un grupo de certificación europeo de seguridad cibernética, será responsable de diseñar esquemas de certificación para productos y servicios que funcionarán dentro de una serie de objetivos predefinidos, como:

  • proteger los datos contra el almacenamiento accidental o no autorizado, procesamiento, acceso, divulgación, destrucción, pérdida o alternancia,
  • garantizar que solo las personas autorizadas, los programas y las máquinas puedan acceder a los datos protegidos,
  • registrar las transacciones relacionadas con los datos protegidos,
  • asegurarse de las transacciones de datos puede inspeccionarse,
  • recuperar datos en caso de incidentes de seguridad de la información, y
  • requerir que se proporcionen productos y servicios de TIC desde aplicaciones de software seguras.

Por ahora, los esquemas son voluntarios, sin embargo, para 2034 se establece la obligatoriedad de certificarse en materia de ciberseguridad.

Certificación de productos y servicios TIC

Una vez que se ha establecido un esquema relevante, los fabricantes de productos de TIC o proveedores de servicios de TIC pueden elegir voluntariamente al organismo de evaluación para buscar la certificación de sus productos o servicios.

Luego, ENISA revisará los esquemas de certificación adoptados cada cinco años para garantizar que continúen cumpliendo con los criterios designados en la Ley. Cualquier esquema nacional existente será reemplazado por los nuevos marcos de la UE. Sin embargo, los sistemas de certificación de toda la UE seguirán siendo supervisados ​​por las autoridades nacionales de supervisión designadas por los Estados miembros.

Los productos y servicios de TIC que cumplan con el marco de certificación serán certificados por organismos de evaluación de la conformidad con uno de los tres niveles de garantía:

  • básico,
  • sustancial y
  • de alto nivel.

La validez máxima de los certificados será de cinco años con posibilidad de renovación.

Las propuestas para un enfoque armonizado para la certificación recibieron apoyo general durante la consulta pública. Pero se han expresado algunas críticas y preocupaciones sobre:

  • gobernanza de ENISA del marco de TI,
  • falta de definiciones de resiliencia y disuasión de la UE e
  • incertidumbre sobre la autoridad legal del marco.

Inevitablemente, también se ha expresado frustración por la aparente evasión de un intento de buscar la armonización de los enfoques de derecho penal para el delito cibernético y buscar un enfoque armonizado para el cifrado.

Desde una perspectiva bancaria, han surgido preocupaciones sobre la posible fragmentación que podría esperarse de tener diferentes reguladores y supervisores. La preocupación apunta a la adopción del NISD, PSD2 y el BCE como evidencia inmediatamente identificable de los problemas causados ​​por las diferentes adopciones de los Estados miembros. También plantearon una preocupación por los problemas de superposición que pueden surgir con el RGPD y NISD.

Relación con otras leyes de la UE

La Ley de Ciberseguridad es parte del ecosistema cibernético general de la Unión Europea con el objetivo de aumentar la seguridad del entorno digital de la Unión Europea.

Este marco legislativo incluye la Directiva sobre seguridad de redes y sistemas de información que establece requisitos de notificación y seguridad para los operadores de servicios esenciales y proveedores de servicios digitales como los proveedores de la nube.

El Reglamento de privacidad electrónico propuesto se esfuerza por proteger los derechos a la privacidad y confidencialidad de las comunicaciones. Y promover aplicaciones confiables y seguras de Internet de las cosas en el mercado único digital.

El RGPD requiere que los controladores y procesadores de todos los sectores industriales implementen medidas de seguridad de datos apropiadas.