Luchar contra el ciberdelito no solo requiere de políticas estatales y de estrategias sólidas y a largo plazo, con la tecnología como eje principal. La cada vez mayor “exposición” de los organismos públicos a los ciberdelincuentes e, incluso, la utilización de estos delitos cibernéticos para atacar las instituciones de un país en concreto hacen que sea necesario un frente y unas herramientas comunes.
Así al menos lo cree la Comisión Europea que ha propuesto nuevas normas para establecer medidas comunes de ciberseguridad y seguridad de la información en todas las instituciones, órganos y organismos de la UE, como sería el caso del Centro Criptológico Nacional español.
Unas medidas que no buscan sino “reforzar su resistencia y capacidad de respuesta frente a las amenazas e incidentes cibernéticos, así como garantizar una administración pública de la UE resistente y segura, en medio del aumento de las actividades cibernéticas maliciosas en el panorama mundial”.
El objetivo es «garantizar una administración pública de la Unión Europea resistente y segura, en medio del aumento de las actividades cibernéticas maliciosas en el panorama mundial»
Así lo explicaba el Comisario de Presupuesto y Administración, Johannes Hahn: “En un entorno conectado, un solo incidente de ciberseguridad puede afectar a toda una organización. Por eso es fundamental construir un sólido escudo contra las ciberamenazas y los incidentes que puedan perturbar nuestra capacidad de actuación”.
Según Hahn, “los reglamentos que proponemos hoy son un hito en el panorama de la ciberseguridad y la seguridad de la información de la UE. Se basan en el refuerzo de la cooperación y el apoyo mutuo entre las instituciones, organismos, oficinas y agencias de la UE, y en una preparación y respuesta coordinadas. Se trata de un verdadero esfuerzo colectivo de la UE».
Una estrategia de ciberseguridad europea
Y es que los crecientes desafíos geopolíticos, como la reciente invasión de las fuerzas militares rusas a Ucrania, hacen, según la Comisión Europea, imprescindible un enfoque conjunto de la ciberseguridad y la seguridad de la información.
Así el organismo ha propuesto un Reglamento de Ciberseguridad y un Reglamento de Seguridad de la Información específicos.
La propuesta de Reglamento sobre Ciberseguridad establecerá un marco para la gobernanza, la gestión y el control de riesgos en el ámbito de la ciberseguridad.
Pero, además, dará lugar a la creación de un nuevo Consejo Interinstitucional de Ciberseguridad, potenciará las capacidades de ciberseguridad y estimulará la realización de evaluaciones periódicas de madurez y una mejor higiene cibernética.
El Reglamento de Ciberseguridad ampliará así mismo el mandato del Equipo de Respuesta a Emergencias Informáticas para las instituciones, órganos, organismos y agencias de la UE (CERT-UE) como centro de información sobre amenazas e intercambio de información y coordinación de la respuesta a incidentes, órgano consultivo central y proveedor de servicios.
En detalle, la Comisión propone en el Reglamento sobre ciberseguridad:
- Reforzar el mandato del CERT-UE y proporcionarle los recursos que necesita para ejercerlo;
- Requerir a todas las instituciones, órganos, organismos y agencias de la UE que:
- Se doten de un marco para la gobernanza, la gestión y el control de riesgos en el ámbito de la ciberseguridad;
- Defina un código básico de medidas de seguridad para hacer frente a los errores detectados;
- Lleven a cabo evaluaciones periódicas de madurez;
- Pongan en marcha un plan de mejora de su ciberseguridad aprobado por los gestores de la entidad;
- Compartir sin demora indebida la información relacionada con los incidentes con el CERT-UE.
- Crear un nuevo Consejo interinstitucional de ciberseguridad para impulsar y supervisar la aplicación del Reglamento y dirigir la actividad del CERT-UE.
- Cambiar el nombre del CERT-UE de “Equipo de Respuesta a Emergencias Informáticas” a “Centro de ciberseguridad”, en consonancia con la evolución de la situación en los Estados miembros ya escala mundial, manteniendo no obstante la abreviatura CERT-UE para facilitar su reconocimiento.
Intercambio seguro de datos
Por su parte, la propuesta de Reglamento sobre Seguridad de la Información de la Comisión Europea creará un conjunto mínimo de reglas y normas de seguridad de la información para todas las instituciones, órganos, organismos y agencias de la UE, con el fin de asegurar una protección reforzada y sistemática contra unas amenazas a la seguridad de su información que están en constante evolución.
Estas nuevas normas configurarán una base estable para el intercambio seguro de información entre las instituciones, órganos, organismos y agencias de la UE, y entre estos y los Estados miembros, con arreglo a prácticas y medidas normalizadas de protección de los flujos de información.
En resumen, la Comisión articula el nuevo Reglamento en medidas como establecer un sistema de gobernanza eficaz para fomentar la cooperación entre todas las instituciones, órganos, organismos y agencias de la UE, a saber, un grupo interinstitucional de coordinación de la seguridad de la información.
También plantea determinar un enfoque común para la categorización de la información basada en el nivel de confidencialidad así como modernizar las políticas de seguridad de la información, incluyendo plenamente en su ámbito de aplicación la transformación digital y el trabajo a distancia;
Y por último, la propuesta de la Comisión Europea señala la necesidad de racionalizar las prácticas actuales y lograr una mayor compatibilidad entre los sistemas y dispositivos pertinentes.
Una estrategia común, unificada y coordinada en definitiva que actúe como marco global para garantizar la ciberseguridad de todos los países miembros de la Unión Europea.
