Un nuevo reglamento pretende lograr un nivel común de ciberseguridad en todas las entidades de la Unión Europea

El nuevo reglamento,¹ promulgado el 18-12-2023 en el Diario Oficial de la Unión Europea, va destinado a las entidades y organismos de la Unión Europea, que, como todos, han de tratar los riesgos relacionados con la ciberseguridad, dada la amenaza de los ciberataques sobre la continuidad de actividades y los datos que conservan.

Esta nueva norma pretende lograr un elevado nivel común de ciberseguridad en las entidades y organismos de la Unión en relación con:

• un marco interno de gestión, gobernanza y control de riesgos de ciberseguridad en cada entidad de la Unión;
• la gestión, notificación e intercambio de información sobre estos riesgos.

Crea también el Consejo Interinstitucional de Ciberseguridad y el Servicio de Ciberseguridad para las instituciones, los órganos y los organismos de la Unión (CERT-EU, por sus siglas en inglés).

Ámbito de aplicación

Afecta a las entidades de la Unión Europea, es decir: las instituciones, los órganos y los organismos creados o constituidos por el Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea o el Tratado Constitutivo de la Comunidad Europea de la Energía Atómica.

Medidas que promueve

El reglamento prevé que el Consejo Interinstitucional de Ciberseguridad emita, el 8-9-2024, directrices para las entidades de la Unión con el fin de:

• revisar la ciberseguridad,
• definir el «marco interno»,
• evaluar la madurez de la ciberseguridad, y
• definir el  el plan de ciberseguridad.

Plazo para las medidas

El texto recoge fechas máximas para que cada entidad de la Unión dé los siguientes pasos:

• Antes del 8-4-2025: completar un análisis inicial de la ciberseguridad, que puede consistir en una auditoría, y definir el «marco interno de gestión, gobernanza y control de riesgos de ciberseguridad».
• Antes del 8-7-2025: evaluar la madurez de ciberseguridad, que ha de repetir al menos cada dos años.
• Antes del 8-9-2023: tomar las medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad identificados o minimizar los efectos de los incidentes.
• Antes del 8-1-2026: aprobar su plan de ciberseguridad.

Medidas recogidas

Las entidades han de tomar, al menos, las siguientes medidas:

• disposiciones técnicas para permitir y mantener el teletrabajo;
• medidas concretas para avanzar hacia principios de confianza cero;
• uso de la autenticación multifactor en todos los sistemas de redes y de información;
• uso de la criptografía y el cifrado, en particular el cifrado de extremo a extremo y la firma digital segura;
• implantación, en su caso, de comunicaciones de voz, vídeo y texto seguras, y de sistemas de comunicaciones de emergencia seguros;
• medidas proactivas para detectar y retirar programas maliciosos y espía;
• seguridad de la cadena de suministro de software;
• programas de formación sobre ciberseguridad para alcanzar las capacidades previstas para la alta dirección y para asegurar la aplicación efectiva del reglamento por el personal encargado de ello;
• formación periódica en ciberseguridad para el personal;
• participación en el análisis de riesgos de interconexión entre entidades, cuando sea pertinente;
• mejoras en las normas de contratación pública para elevar el nivel común de ciberseguridad mediante:
  • la eliminación de los obstáculos contractuales que limitan la comunicación al CERT-EU por los proveedores de servicios de TIC, sobre incidentes, vulnerabilidades y ciberamenazas, y
  • obligaciones contractuales de notificar estos incidentes, vulnerabilidades y ciberamenazas, y de disponer de mecanismos adecuados de respuesta y seguimiento de ellos.

Consejo Interinstitucional de Ciberseguridad

Como se ha dicho, el reglamento crea el Consejo Interinstitucional de Ciberseguridad, al que le encomienda la responsabilidad de:

• seguir la aplicación del reglamento por las entidades de la Unión,
• apoyar esa aplicación,
• supervisar la aplicación de las prioridades y los objetivos generales por el Servicio de Ciberseguridad, al que proporcionará una dirección estratégica.

Este consejo contará con representación de las instituciones europeas, tendrá su propio reglamento interno y podrá crear un comité ejecutivo que lo asista.