La columna vertebral digital de Europa está sometida a una presión cada vez mayor a medida que el cibersabotaje, el ransomware y la interferencia extranjera se convierten en realidades cotidianas.
En respuesta, la Comisión Europea anunció una revisión amplia de la ley de ciberseguridad y estableció una nueva estrategia para proteger las cadenas de suministro de tecnología, reducir la exposición a proveedores de alto riesgo y fortalecer la capacidad colectiva de la UE para prevenir y responder a las crisis cibernéticas.
La propuesta marca un cambio de defensas fragmentadas a un enfoque de seguridad por diseño más coordinado destinado a proteger servicios críticos, empresas y ciudadanos en todo el bloque.
Las reformas propuestas tienen como objetivo preparar el ecosistema digital de la UE para el futuro fortaleciendo la seguridad de la cadena de suministro, simplificando las reglas comerciales y ampliando significativamente el papel de la Agencia de Seguridad Cibernética de la UE (ENISA).
Este nuevo paquete de ciberseguridad está diseñado para fortalecer la resiliencia de Europa en un momento en que los riesgos cibernéticos ya no son puramente técnicos sino estratégicos.
Respuesta estratégica al cambiante panorama de amenazas
Los recientes incidentes cibernéticos han revelado hasta qué punto las economías y sociedades europeas dependen de tecnologías seguras de la información y la comunicación (TIC).
Las vulnerabilidades en el software, el hardware y los servicios gestionados pueden traspasar fronteras y alterar la infraestructura crítica, desde la energía y el transporte hasta la atención sanitaria y las finanzas.
La Ley de Ciberseguridad revisada reconoce que la seguridad de la cadena de suministro se extiende más allá de los defectos de los productos hasta las dependencias de los proveedores, la interferencia extranjera y los riesgos geopolíticos.
En respuesta, la Comisión Europea propone un marco confiable de seguridad de la cadena de suministro de TIC basado en un enfoque armonizado y basado en el riesgo que pueda aplicarse de manera consistente en los 18 sectores clave de la UE.
Este marco permitirá a la UE y a los Estados miembros identificar y reducir conjuntamente los riesgos, equilibrando las necesidades de seguridad con el impacto económico y las consideraciones de suministro del mercado.
Eliminar el riesgo de proveedores de alto riesgo de redes críticas
Uno de los elementos más importantes de la Ley de Ciberseguridad es su enfoque en reducir el contacto con proveedores de terceros países de alto riesgo, particularmente en comunicaciones móviles.
Basándose en las iniciativas existentes en el marco de la caja de herramientas de seguridad 5G de la UE, las enmiendas propuestas permitirán medidas obligatorias de aversión al riesgo si los proveedores tienen preocupaciones importantes en materia de ciberseguridad.
Esto refleja un reconocimiento cada vez mayor de que las dependencias estratégicas en las infraestructuras de TIC pueden generar vulnerabilidades de seguridad en todo el sistema y marca un cambio de la coordinación voluntaria a la acción obligatoria.
La certificación de ciberseguridad para Europa es más rápida y sencilla
Para garantizar que los productos y servicios proporcionados a los ciudadanos de la UE sean seguros desde el diseño, la Ley de Ciberseguridad modificada revisará el Marco Europeo de Certificación de Ciberseguridad (ECCF).
Los esquemas de autenticación se desarrollan en un plazo de 12 meses de forma predeterminada, reemplazando procesos más largos y complejos.
Con una mayor participación de las partes interesadas y consultas públicas, la gobernanza del marco será más transparente e inclusiva.
Gestionada por ENISA, esta certificación es voluntaria pero práctica y permite a las empresas demostrar el cumplimiento de la legislación de ciberseguridad de la UE al tiempo que reduce los costes administrativos.
Es importante destacar que la certificación va más allá de los productos y servicios tradicionales de TIC. También permite a las organizaciones certificar su postura cibernética general, ayudándolas a cumplir con las expectativas del mercado y generar confianza en cadenas de suministro complejas.
Para las empresas de la UE, el ECCF se posiciona como una ventaja competitiva. La seguridad y la fiabilidad están garantizadas para los consumidores y las autoridades públicas.
Elimine procedimientos complicados y aclare el cumplimiento
Paralelamente a la Ley de Ciberseguridad, la Comisión Europea ha propuesto modificaciones específicas a la Directiva NIS2 para reducir la carga de cumplimiento. Se espera que estos cambios beneficien a aproximadamente 28.700 empresas, incluidas más de 6.000 pequeñas y medianas empresas.
Una nueva categoría de pequeñas y medianas empresas reducirá los costos de cumplimiento para 22.500 empresas adicionales. Las enmiendas propuestas también tienen como objetivo aclarar las reglas jurisdiccionales, agilizar la recopilación de datos sobre ransomware y mejorar la supervisión de las organizaciones transfronterizas al otorgar a ENISA un papel de coordinación más fuerte.
En conjunto, estas medidas complementan el punto de entrada único propuesto para la notificación de incidentes en el marco del Ómnibus Digital.
El creciente papel de ENISA como centro de la ciberdefensa de la UE
Desde la promulgación de la primera ley de ciberseguridad en 2019, ENISA se ha convertido en la piedra angular de la arquitectura de ciberdefensa de Europa.
La ley revisada amplía significativamente los poderes, permitiendo a las autoridades emitir alertas tempranas sobre amenazas emergentes, apoyar respuestas a ataques de ransomware y mejorar la gestión de vulnerabilidades en toda la Unión.
ENISA trabaja con Europol y los equipos nacionales de respuesta a incidentes de seguridad informática para ayudar a las organizaciones a recuperarse de incidentes importantes.
Además de responder a la crisis, la agencia invertirá en resiliencia a largo plazo poniendo a prueba una academia de habilidades en ciberseguridad y poniendo en marcha un esquema de certificación de habilidades en toda la UE para abordar la creciente escasez de talento.
Reforzar la ciberseguridad de la UE
Una vez aprobadas por el Parlamento Europeo y el Consejo Europeo, las leyes de ciberseguridad se aplicarán de inmediato. Los Estados miembros tendrán entonces un año para transponer las enmiendas NIS2 que la acompañan a su legislación nacional.
Dado que las ciberamenazas siguen evolucionando cada día, la Ley de Ciberseguridad modificada representa el esfuerzo más ambicioso de la UE hasta la fecha para asegurar nuestro futuro digital, convirtiendo la resiliencia, la confianza y la colaboración en activos estratégicos de Europa.
Source link
