Durante las últimas décadas, los servicios electrónicos, las nuevas tecnologías, los sistemas de información y las redes se han incorporado a nuestra vida cotidiana.
Es de conocimiento común que los incidentes deliberados que causan la interrupción de los servicios de TI y las infraestructuras críticas constituyen una grave amenaza para su funcionamiento y, en consecuencia, para el funcionamiento del mercado interior y la Unión Europea.
Este riesgo, combinado con el hecho de que las contramedidas existentes en términos de herramientas y procedimientos de seguridad no están suficientemente desarrolladas en la UE, y ciertamente no son comunes en todos los Estados miembros, hizo necesario un enfoque integral a nivel de la Unión, con respecto a la seguridad de redes y sistemas de información.
Asegurar la red y los sistemas de información en la Unión Europea es esencial para mantener en funcionamiento la economía en línea y garantizar la prosperidad. La Unión Europea trabaja en varios frentes para promover la resiliencia cibernética.
Analizamos aquí las distintas normativas en materia de ciberseguridad existentes en la UE.
Indice
Marco normativo de ciberseguridad en la UE
Directiva NIS
La principal norma aprobada por la UE sobre ciberseguridad es la Directiva 2016/1148 1 sobre seguridad de redes y sistemas de información (Directiva NIS).
Ley de Ciberseguridad (EU Cybersecurity Act)
Esta ley de Ciberseguridad se aprobó por la UE en marzo de 2019. Con ella se pretende renovar y fortalecer la Agencia de Seguridad Cibernética de la UE (ENISA) y establecer un marco de certificación de ciberseguridad en toda la UE para productos, servicios y procesos digitales.
RGPD
El Reglamento General de Protección de Datos de la UE (RGPD) es un marco regulatorio para la protección de datos y la privacidad que entró en vigor el 25 de mayo de 2018.
Para los profesionales de seguridad cibernética, el impulso para la protección de datos y la gestión de la información no es nuevo. Aunque el nivel de detalle, los requisitos sobre notificación de violación de datos y las multas en el RGPD imponen mucho más enfoque.
Ley de Resiliencia Operacional Digital (DORA)
DORA, como reglamento de la UE, tiene como objetivo establecer un marco de resiliencia operativa digital integral e intersectorial con reglas para todas las instituciones financieras reguladas.
Es un paso importante en la creación de un marco regulatorio armonizado para la resiliencia operativa de los servicios financieros en la legislación de la UE. Por primera vez, reunirá las normas que abordan el riesgo de las TIC en las finanzas en una sola pieza legislativa. Las reglas están destinadas a cubrir una amplia gama de entidades de servicios financieros y los requisitos se aplican proporcionalmente según el tamaño y el perfil comercial de la empresa.
Otras normas
Aparte de las leyes anteriores en materia de ciberseguridad, debemos tener en cuenta otras normas dentro de la UE que hacen referencia también a este tema.
Anteproyecto para una respuesta de emergencia rápida
El anteproyecto de la Comisión para una respuesta de emergencia rápida proporciona un plan en caso de un ciberincidente o crisis transfronteriza a gran escala.
Establece los objetivos y modos de cooperación entre los Estados miembros y las instituciones de la UE para responder a tales incidentes y crisis. Y explica cómo los mecanismos existentes de gestión de crisis pueden hacer un uso completo de las entidades de ciberseguridad existentes a nivel de la UE.
Medidas para garantizar el proceso electoral
En septiembre de 2018, la Comisión emitió un paquete de medidas para apoyar elecciones europeas libres y justas, que incluye una recomendación sobre redes de cooperación electoral, transparencia en línea, protección contra incidentes de ciberseguridad y lucha contra campañas de desinformación.
En abril de 2019, antes de las elecciones europeas, el Parlamento Europeo, los Estados miembros de la UE, la Comisión y ENISA llevaron a cabo una prueba en vivo de su preparación.
Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad
En 2018, basándose en la Ley de Seguridad Cibernética, la Comisión Europea propuso la creación de una Red de Centros de Competencia en Seguridad Cibernética y un nuevo Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad para invertir en una capacidad de seguridad cibernética más fuerte y pionera en la UE.
Medidas sobre ciberseguridad de redes 5G
La Comisión Europea ha recomendado un conjunto de medidas y pasos operativos para garantizar un alto nivel de ciberseguridad de las redes 5G en toda la UE.
Ciberdefensa
El marco para una respuesta diplomática conjunta de la UE a las actividades cibernéticas maliciosas (la «caja de herramientas de la diplomacia cibernética») establece las medidas en virtud de la Política Exterior y de Seguridad Común, incluidas las medidas restrictivas que pueden utilizarse para fortalecer la respuesta de la UE a las actividades que perjudican sus intereses políticos, de seguridad y económicos.