La ciberseguridad y la ciberresiliencia ha sido una prioridad primordial de los responsables políticos de los servicios financieros de la UE y un área que la Comisión Europea ha estado tratando de mejorar para todos los participantes del mercado único de la UE. Este problema ha aumentado en prioridad en línea con el crecimiento exponencial de los incidentes y amenazas cibernéticos, incluso a lo largo de la pandemia COVID-19.
El coste de no hacer lo suficiente se ha destacado como una llamada a la acción, dado el impacto económico del ciberdelito, que se espera que aumente a más de 5 billones de euros para 2021, con el 43% de los incidentes cibernéticos dirigidos a pequeñas empresas que tienen pocos recursos. invertir en ciberseguridad.
En esta área existen varias estructuras nacionales y a nivel de la UE, en particular la Agencia de la Unión Europea para la Seguridad de las Redes y la Información ( ENISA ), la agencia oficial de ciberseguridad de la UE con sede en Grecia, que continuará estableciendo estándares y que está facultada con un mandato más fuerte siguiendo la Ley de Ciberseguridad de la UE (Reglamento 2019/881).
De esta forma, se ha creado el Centro de Competencias y Red de Ciberseguridad (ECCC) que vamos a analizar en esta publicación.
Pero, primero, vamos a ver los objetivos de la UE en materia de ciberseguridad.
Indice
Objetivos de Ciberseguridad
La misión de la propuesta de establecer una red europea de ciberseguridad y un centro de competencia es ayudar a la UE a retener y desarrollar las capacidades tecnológicas e industriales de ciberseguridad necesarias durante la Década Digital. Esto va de la mano con el objetivo clave de aumentar la competitividad de la industria de la ciberseguridad de la UE y convertir la ciberseguridad en una ventaja competitiva de otras industrias europeas.
Al gestionar los fondos de ciberseguridad en el próximo marco financiero plurianual 2021-2027, la iniciativa ayudará a crear un ecosistema industrial y de investigación de ciberseguridad interconectado en toda Europa. Debería fomentar una mejor cooperación entre las partes interesadas pertinentes, incluso entre los sectores civil y de defensa de la ciberseguridad.
Esta cooperación ayudará a las partes interesadas a aprovechar al máximo los recursos y la experiencia en ciberseguridad existentes repartidos por Europa. La iniciativa se basa en la experiencia que ya existe en más de 660 centros de experiencia en ciberseguridad de todos los Estados miembros que respondieron a una encuesta realizada por la Comisión Europea en 2018.
La propuesta debería ayudar a la UE y los Estados miembros a adoptar una perspectiva proactiva, a más largo plazo y estratégica de la política industrial de ciberseguridad que vaya más allá de la investigación y el desarrollo únicamente. Este enfoque debería ayudar no solo a encontrar soluciones innovadoras para los desafíos de ciberseguridad que enfrentan los sectores público y privado, sino también respaldar el despliegue efectivo de estas soluciones.
Permitirá a las comunidades industriales y de investigación pertinentes, así como a las autoridades públicas, acceder a capacidades clave como las instalaciones de ensayo y experimentación, que a menudo están fuera del alcance de los Estados miembros individuales debido a la insuficiencia de recursos humanos y financieros.
Además, la propuesta contribuirá a cerrar la brecha de habilidades y evitar una fuga de cerebros al garantizar el acceso de los mejores talentos a proyectos europeos de investigación e innovación en ciberseguridad a gran escala y, por lo tanto, ofrecerá interesantes desafíos profesionales.
Red de Centros Nacionales de Coordinación
Cada Estado Miembro designará un Centro Nacional de Coordinación.
Estos funcionarán como puntos de contacto a nivel nacional para la Comunidad de Competencia y el Centro de Competencia. Son el «guardián» del apoyo comunitario en su país para llevar a cabo acciones en el marco del presente Reglamento, y pueden traspasar el apoyo financiero a los ecosistemas nacionales / locales.
Comunidad de competencias en ciberseguridad
Esta Comunidad involucrará a un grupo amplio, abierto y diverso de actores involucrados en la tecnología de la ciberseguridad, incluidas en particular entidades de investigación, industrias del lado de la oferta / demanda y el sector público.
Proporcionará información para las actividades y el plan de trabajo del Centro de Competencia y también se beneficiará de las actividades de construcción de comunidad del Centro de Competencia y la Red.
Centro de Competencias y Red de Ciberseguridad de la UE (ECCC)
El Centro de Competencia facilitará y ayudará a coordinar el trabajo de la Red y nutrirá a la Comunidad de Competencia en Ciberseguridad, impulsando la agenda tecnológica de ciberseguridad y facilitando el acceso común a la experiencia de los centros nacionales.
El Centro de Competencia implementará partes relevantes de los programas Europa Digital y Horizonte Europa mediante la asignación de subvenciones y la realización de adquisiciones.
La ubicación del ECCC se ha establecido en Bucarest (Rumanía).
Tareas y objetivos
El Centro de Competencia buscará lograr su misión general realizando las siguientes tareas:
- Establecer y ayudar a coordinar la Red de Centros de Coordinación Nacional y la Comunidad de Competencia en Ciberseguridad.
- Implementar el apoyo financiero relacionado con la ciberseguridad de los programas Horizon Europe y Digital Europe.
Esto alimentará los siguientes objetivos:
- Contribuir al amplio despliegue de la última tecnología en ciberseguridad, en particular mediante la realización o el apoyo a la adquisición de productos y soluciones
- Proporcionar apoyo financiero y asistencia técnica a empresas emergentes y pymes de ciberseguridad para conectarlas con mercados potenciales y atraer inversiones.
- Apoyar la investigación y la innovación sobre la base de una agenda industrial y de investigación integral, que incluye proyectos de investigación y demostración a gran escala en capacidades de ciberseguridad de próxima generación.
- Impulsar altos estándares de ciberseguridad no solo en tecnología y sistemas de ciberseguridad, sino también en el desarrollo de habilidades.
- Facilitar la cooperación entre las esferas civil y de defensa en lo que respecta a las tecnologías y aplicaciones de doble uso, y mejorar las sinergias de la defensa civil en relación con el Fondo Europeo de Defensa.
Estructura
El principal órgano de toma de decisiones del Centro es el Consejo de Administración, en el que participan todos los Estados miembros, pero solo los Estados miembros que participan económicamente tienen derecho a voto.
El mecanismo de votación en la Junta de Gobierno se propone como un principio de doble mayoría que requiere el 75% de la contribución financiera y el 75% de los votos. Dada su responsabilidad en el presupuesto de la Unión, la Comisión Europea tiene el 50% de los votos.
La Junta de Gobierno cuenta con la asistencia de una Junta Consultiva Industrial y Científica para garantizar un diálogo regular con el sector privado, las organizaciones de consumidores y otras partes interesadas relevantes.
Recursos financieros
La Comisión Europea propone que el Centro de Competencia sea financiado conjuntamente por la Unión Europea y los Estados miembros participantes a través de contribuciones financieras.
La Comisión Europea ha colocado la ciberseguridad en un lugar destacado de la agenda del próximo presupuesto de la UE a largo plazo para los años 2021-2027.
En el marco del nuevo programa Europa Digital, la Comisión Europea propuso en 2018 invertir 2000 millones de euros para salvaguardar la economía, la sociedad y las democracias digitales de la UE a través de la experiencia en encuestas, impulsar la industria de la ciberseguridad de la UE y financiar equipos e infraestructuras de ciberseguridad de última generación. La investigación y la innovación en ciberseguridad también recibirán apoyo del programa Horizonte Europa.
El Centro de Competencia y la Red también buscará lograr sinergias con otros programas relevantes de la UE cuando sea apropiado.
Los Estados miembros participantes deberían equiparar la contribución financiera de la UE con inversiones del mismo importe en consonancia con sus prioridades y con la cofinanciación de los costes de funcionamiento del Centro y la Red.
Las prioridades concretas de financiación se establecerán como parte del Plan de Trabajo anual de los Centros de Competencia, que será adoptado por el Consejo de Administración tras haber recibido aportaciones del Grupo Asesor Industrial y Científico.
Se prevé que la mayor parte de la financiación se asigne a través de convocatorias abiertas de propuestas y licitaciones. Las partes interesadas conocen este sistema de los anteriores Programas Marco de Investigación e Innovación.
En estos casos, el Centro de Competencia administrará y eventualmente desembolsará el apoyo financiero a los destinatarios, que normalmente serían entidades académicas y de investigación, empresas industriales o autoridades públicas.
El Centro de Competencia también buscará promover la adquisición conjunta de infraestructuras y herramientas estratégicas de ciberseguridad junto con una o varias otras entidades, generalmente autoridades públicas.
Algunos fondos se pondrán a disposición directamente de los centros nacionales de coordinación para que lleven a cabo las tareas previstas en el presente Reglamento.
Los Centros de Coordinación Nacional también podrán apoyar financieramente a sus respectivos ecosistemas nacionales mediante el uso de las denominadas subvenciones en cascada.
Funcionamiento
La ECCC, que se espera que crezca de una plantilla inicial de 30 a 70 a 80 en un futuro próximo, tendrá una estructura de gobernanza en toda la UE. El principal órgano de toma de decisiones de la ECCC será su Junta de Gobierno, en la que participan todos los Estados miembros de la UE, pero solo aquellos que participan económicamente tienen derecho a voto.
El Consejo de Administración contará con la asistencia de un Consejo Asesor Industrial y Científico ( ISAB ) para garantizar un diálogo regular con el sector privado, las organizaciones de consumidores y otras partes interesadas relevantes.
Las prioridades de la ECCC sobre los proyectos para los que proporcionará financiamiento y las Cyber-NCC se basan en el asesoramiento que la Junta de Gobierno de la ECCC recibe de la ISAB.
La mayor parte de los canales de financiación seguirán los procesos de contratación establecidos en la EU y, por tanto, las solicitudes de propuestas y licitaciones que la ECCC gestionará y desembolsará a los destinatarios, es decir, instituciones académicas y de investigación, participantes del mercado del sector privado y autoridades públicas. Los Cyber-NCC individuales también pueden apoyar financieramente operaciones en sus propios “ecosistemas nacionales” mediante el uso de subvenciones en cascada.
Soberanía tecnológica
En agosto de 2020, el desarrollador de navegadores web Mozilla abandonó su proyecto de motor de navegador de código abierto, Servo, después de que la crisis de COVID-19 golpeara las finanzas de la empresa. Esto dejó a Chrome, el motor del navegador de Google, como el único proyecto que genera el código fuente abierto que ahora sustenta a Google Chrome, Microsoft Edge y otros navegadores.
Servo fue adquirido por la Fundación Linux, el organismo sin fines de lucro detrás del sistema operativo de código abierto Linux. Sin embargo, por un tiempo, Chrome mantuvo el monopolio en el campo.
Esto plantea la cuestión de cómo debería prepararse Europa para tales situaciones. En el verano de 2020, nadie estaba preparado para hacerse cargo del proyecto. Sin embargo, en principio, el centro de competencia de ciberseguridad podría haber monitorizado la situación y, cuando fue necesario, encontrar o activar fondos públicos, permitiendo que otra organización intervenga para financiar un mayor desarrollo de Servo, manteniendo unido el equipo de desarrollo.
Señalar los puntos de presión y actuar para guiar el desarrollo de tecnologías clave podría ser una función clave del nuevo centro. La digitalización tiene una tendencia a la monopolización, con la reducción de los servicios si no se regula.
Visto desde esta perspectiva, el centro podría convertirse en un actor clave en el impulso de Europa por la soberanía tecnológica. Europa tiene una serie de valores y un sistema democrático. Eso es algo que debe preservarse en ciberseguridad, porque tradicionalmente la tecnología de seguridad puede tender fácilmente a estructuras de arriba hacia abajo.
La intervención a nivel de la UE es esencial para garantizar el buen funcionamiento de las infraestructuras digitales de Europa, que son mucho más débiles de lo que nos gusta creer.
Ahora vivimos en la fragilidad digital. Todo el mundo habla de transformación digital, pero poca gente habla de fragilidad digital. Cada vez que construimos una nueva infraestructura digital, la mayoría de las veces las empresas no se dan cuenta de que están construyendo un gigante con un ajuste frágil. Pueden caer fácilmente en peligros cibernéticos.
Al final, no se trata de convertirse en un líder mundial en ciberseguridad, sino de proteger los recursos digitales de Europa. Las autoridades públicas deben intervenir para mejorar las capacidades de ciberseguridad de Europa, y el nuevo centro podría servir como una herramienta para ello.