domingo, 30 de julio de 2023

Ciberseguridad: cómo combate la UE las amenazas cibernéticas

Respuesta de la UE a los retos en materia de ciberseguridad

Ciertos sectores vitales, como el transporte, la energía, la sanidad y las finanzas, dependen cada vez más de las tecnologías digitales para sus actividades esenciales. La digitalización, que brinda enormes oportunidades y ofrece soluciones para muchos de los retos a los que se enfrenta Europa, como se ha demostrado en particular durante la crisis de la COVID-19, también expone a la economía y a la sociedad a ciberamenazas.

Los ciberataques y la ciberdelincuencia están aumentando en toda Europa, y cada vez son más sofisticados. Esta tendencia seguirá agravándose en el futuro, ya que se espera que 41 000 millones de dispositivos en todo el mundo estén conectados a la internet de las cosas de aquí a 2025.

Con una respuesta más firme en materia de ciberseguridad que permita crear un ciberespacio abierto y seguro se podrá generar entre los ciudadanos una mayor confianza en las herramientas y servicios digitales.

En octubre de 2020, los dirigentes de la UE pidieron que se mejorara la capacidad de la UE para:protegerse contra las ciberamenazas;
proporcionar un entorno de comunicación seguro, especialmente mediante la encriptación cuántica;
garantizar el acceso a los datos a efectos judiciales y policiales.Reunión extraordinaria del Consejo Europeo, 1-2.10.2020
Un futuro digital para Europa (información de referencia)
 
 

 
 
 
Una Europa ciberresiliente
 
Estrategia de Ciberseguridad de la UE

En diciembre de 2020, la Comisión Europea y el Servicio Europeo de Acción Exterior (SEAE) presentaron una nueva Estrategia de Ciberseguridad de la UE. El objetivo de esta estrategia es reforzar la resiliencia de Europa frente a las ciberamenazas y garantizar que todos los ciudadanos y empresas puedan beneficiarse plenamente de servicios y herramientas digitales seguros y fiables. La nueva estrategia contiene propuestas concretas para la implantación de instrumentos normativos, de actuación y de inversión.Estrategia de Ciberseguridad de la UE (Comisión Europea)
Estrategia de Ciberseguridad de la UE (Servicio Europeo de Acción Exterior)

El 22 de marzo de 2021, el Consejo adoptó unas Conclusiones sobre la Estrategia de Ciberseguridad en las que destacó que la ciberseguridad es esencial para construir una Europa resiliente, ecológica y digital. Los ministros de la UE fijaron como objetivo clave lograr la autonomía estratégica preservando al mismo tiempo una economía abierta, para lo cual es necesario aumentar la capacidad de adoptar decisiones autónomas en el ámbito de la ciberseguridad con el fin de reforzar el liderazgo digital y las capacidades estratégicas de la UE.El Consejo adopta unas Conclusiones sobre la Estrategia de Ciberseguridad de la UE (comunicado de prensa, 22.3.2021)


Reglamento sobre la Ciberseguridad de la UE

El Reglamento sobre la Ciberseguridad de la UE, que entró en vigor en junio de 2019, estableció:un sistema de certificación para toda la UE, un mandato nuevo y reforzado de la Agencia de la UE para la Ciberseguridad.Reglamento sobre la Ciberseguridad de la UE (Comisión Europea)
 
Sistema de certificación de la ciberseguridad a escala de la UE

La certificación es fundamental a la hora de garantizar unas normas rigurosas en materia de ciberseguridad para los productos, servicios y procesos de TIC. El hecho de que diferentes países de la Unión recurran actualmente a diferentes sistemas de certificación de la seguridad provoca una fragmentación del mercado y genera barreras reglamentarias.

Gracias al Reglamento sobre la Ciberseguridad, la UE ha implantado un marco único de certificación a escala de la UE que:genera confianza,
aumenta el crecimiento del mercado de la ciberseguridad,
facilita el comercio en toda la UE.

El marco proporciona un conjunto completo de reglas, requisitos técnicos, normas y procedimientos.Sistema europeo de certificación de la ciberseguridad (Comisión Europea)
 
Agencia de la Unión Europea para la Ciberseguridad

La nueva Agencia de la Unión Europea para la Ciberseguridad se basa en las estructuras de su predecesora, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea, aunque con un cometido reforzado y un mandato permanente. Ha mantenido el mismo acrónimo, ENISA.

Proporciona apoyo a los Estados miembros, las instituciones de la Unión y otras partes interesadas para hacer frente a los ciberataques.Agencia de la Unión Europea para la Ciberseguridad (sitio web)
 
Directiva sobre las redes y sistemas de información

La Directiva sobre la seguridad de las redes y sistemas de información (SRI), adoptada en 2016, fue la primera medida legislativa a escala de la Unión destinada a estrechar la cooperación entre los Estados miembros en lo relativo a la cuestión crucial de la ciberseguridad. En ella se establecieron obligaciones de seguridad para los operadores de servicios esenciales (en sectores vitales como la energía, el transporte, la sanidad y las finanzas) y los proveedores de servicios digitales (mercados en línea, motores de búsqueda y servicios en la nube).

En 2022, la UE adoptó una revisión de la Directiva SRI (SRI 2) para sustituir a la Directiva de 2016. Las nuevas normas garantizan un elevado nivel común de ciberseguridad en toda la Unión, respondiendo a la evolución del panorama de las amenazas y teniendo en cuenta la transformación digital, que se ha visto acelerada por la pandemia de COVID-19.

La nueva legislación de la UE:define nuevas normas mínimas relativas a un marco regulador; establece mecanismos para una cooperación eficaz entre las autoridades competentes de cada Estado miembro; actualiza la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad.

La Directiva SRI 2 entró en vigor el 16 de enero de 2023.La UE decide reforzar la ciberseguridad y la resiliencia en toda la Unión con la nueva legislación adoptada por el Consejo (28.11.2022)
Propuesta de revisión de la Directiva sobre la seguridad de las redes y sistemas de información (Comisión Europea)
 
Reglamento de Ciberresiliencia

La UE desea establecer requisitos de ciberseguridad obligatorios para los productos consistentes en equipos informáticos (hardware) y en programas informáticos (software) con elementos digitales conectados (como televisores inteligentes u otros electrodomésticos, vigilabebés o juguetes).

La propuesta de Reglamento garantiza que las empresas y los consumidores estén protegidos contra las ciberamenazas de forma eficaz.Reglamento de Ciberresiliencia: los Estados miembros acuerdan una posición común sobre los requisitos de seguridad para los productos digitales (comunicado de prensa, 19.7.2023)
Nuestra vida en línea: ¿cómo hace la UE que sea más sencilla y más segura?

La UE está trabajando activamente en mejorar el entorno digital en beneficio de todos los europeos. Nuestra vida digital debe ser segura y sencilla y respetar las libertades fundamentales.

Lea nuestro reportaje y descubra cómo protege la UE a los usuarios en línea, garantiza la ciberseguridad y facilita el intercambio de información entre los sistemas de justicia electrónica de los Estados miembros de la UE.


Lucha de la UE contra la ciberdelincuencia

La ciberdelincuencia adopta diversas formas y el ámbito cibernético facilita numerosos delitos comunes. Por ejemplo, los delincuentes pueden:hacerse con el control de dispositivos personales usando programas maliciosos; robar o poner en peligro datos personales y derechos de propiedad intelectual para cometer fraudes en línea; utilizar internet y las plataformas de redes sociales para distribuir contenidos ilícitos; usar la «red oscura» para vender bienes ilícitos y servicios de piratería informática.

Algunas formas de ciberdelincuencia, como la explotación sexual de menores en línea, causan graves daños a sus víctimas.
 
5,5 billones € coste anual mundial de la ciberdelincuencia

Se ha creado en Europol un Centro Europeo de Ciberdelincuencia para ayudar a los países de la Unión a investigar los delitos en línea y desmantelar las redes delictivas.Centro Europeo de Ciberdelincuencia (Europol)

La plataforma multidisciplinar europea contra las amenazas delictivas (EMPACT) es una iniciativa de seguridad impulsada por los Estados miembros de la UE para detectar, priorizar y atajar las amenazas que plantea la delincuencia internacional organizada. La lucha contra los ciberataques es una de sus prioridades.Lucha de la UE contra la delincuencia organizada (información de referencia)
Directiva de la UE relativa a los ataques contra los sistemas de información (Diario Oficial de la UE)
 
Atajar el fraude en los pagos sin efectivo

El fraude en los pagos sin efectivo y la falsificación de medios de pago distintos del efectivo suponen una grave amenaza para la seguridad de la UE y proporcionan importantes ingresos a la delincuencia organizada. Además, este tipo de fraude afecta a la confianza de los consumidores en la seguridad de las tecnologías digitales.

En abril de 2019, la Unión adoptó nuevas normas para luchar contra el fraude en los medios de pago distintos del efectivo. Los Estados miembros deben aplicar las nuevas normas en 2021.La UE endurece las normas para luchar contra el fraude con medios de pago distintos del efectivo (comunicado de prensa, 9.4.2019)
 
Mejorar la seguridad de los menores en internet

En mayo de 2022, la Comisión Europea propuso una nueva legislación para luchar contra el abuso sexual y la explotación sexual de menores en internet. Las nuevas normas se están debatiendo actualmente en el Consejo.

Entretanto, la UE ha adoptado normas temporales, como excepción al artículo 5, apartado 1, y al artículo 6, apartado 1, de la Directiva sobre la privacidad y las comunicaciones electrónicas, para permitir que los proveedores de servicios de correo electrónico y mensajería web sigan detectando los abusos sexuales de menores en internet.

En mayo de 2021, los negociadores del Consejo y del Parlamento Europeo alcanzaron un acuerdo provisional sobre las medidas temporales que permiten que los proveedores de servicios de comunicaciones electrónicas, como el correo electrónico y la mensajería web, sigan detectando, retirando y denunciando los abusos sexuales de menores en internet, también por lo que respecta a la lucha contra la captación de menores, hasta que esté en vigor la legislación permanente. Las medidas entraron en vigor en agosto de 2021 y expirarán en 2024.
 
Justicia y acción policial

Las normas y políticas de la Unión también abordan otros aspectos relativos a la justicia y la aplicación de la ley en la lucha contra la ciberdelincuencia y la delincuencia en general, como el acceso a las pruebas electrónicas, el cifrado y la conservación de datos.
 
Acceso a las pruebas electrónicas

Los delincuentes aprovechan la tecnología digital para cometer delitos y ocultar actividades ilícitas. Por lo tanto, las autoridades judiciales y los cuerpos de seguridad se valen cada vez más de pruebas electrónicas, como mensajes de texto, correos electrónicos o aplicaciones de mensajería, para sus investigaciones penales y el enjuiciamiento de los delitos.

Esta es la razón por la que la UE está elaborando nuevas normas que facilitarán y agilizarán el acceso transfronterizo a las pruebas electrónicas.
 
Mejor acceso a las pruebas electrónicas para combatir la delincuencia (información de referencia)

Con el fin de seguir facilitando el acceso transfronterizo a las pruebas electrónicas para los procesos penales, la Unión:está negociando un acuerdo con los Estados Unidos, el país en el que se encuentran la mayoría de los proveedores de servicios;  participa en las negociaciones del segundo protocolo adicional del Convenio de Budapest.
 
Cifrado

La UE está haciendo cuanto está en su mano para entablar un debate activo con el sector tecnológico a fin de encontrar el equilibrio adecuado entre la utilización continuada de tecnologías de cifrado fuerte y la necesidad de que las fuerzas o cuerpos de seguridad y el poder judicial puedan ejercer sus facultades en las mismas condiciones que en el mundo fuera de línea.

En diciembre de 2020, el Consejo adoptó una Resolución sobre el cifrado en la que destaca la necesidad de que se garantice la seguridad tanto mediante el cifrado como a pesar del cifrado.El Consejo adopta una Resolución sobre el cifrado (comunicado de prensa, 14.12.2020)
Conservación de datos

Hoy en día, para luchar eficazmente contra la delincuencia es importante que los proveedores de servicios conserven determinados datos que puedan ser divulgados, con arreglo a unas condiciones estrictas, con fines de lucha contra la delincuencia. Ahora bien, la conservación de datos puede vulnerar derechos fundamentales individuales, concretamente el derecho a la intimidad y el derecho a la protección de los datos personales.

El Consejo adoptó en su día unas Conclusiones sobre la conservación de datos procedentes de comunicaciones electrónicas a efectos de lucha contra la delincuencia. En ellas, el Consejo pidió a la Comisión que recopilase más información y organizase consultas específicas como parte de un estudio exhaustivo sobre posibles soluciones para la conservación de datos, y que reflexionase sobre una futura iniciativa legislativa.Conservación de datos en la lucha contra la delincuencia: el Consejo adopta unas Conclusiones (comunicado de prensa, 6.6.2019)
 
Impulsar la ciberdiplomacia

La Unión Europea y sus Estados miembros promueven resueltamente un ciberespacio abierto, libre, estable y seguro en el que se respeten plenamente los derechos humanos, las libertades fundamentales y el Estado de Derecho en aras de la estabilidad social, el crecimiento económico, la prosperidad y la integridad de unas sociedades libres y democráticas.

La Unión está poniendo un gran empeño en protegerse contra las ciberamenazas procedentes de terceros países, especialmente a través de una respuesta diplomática conjunta denominada «conjunto de instrumentos de ciberdiplomacia». Esta respuesta incluye la cooperación y el diálogo diplomáticos, medidas preventivas contra los ciberataques y sanciones.

La Estrategia de Ciberseguridad de la UE, adoptada en diciembre de 2020 por la Comisión Europea y el SEAE, refuerza la respuesta diplomática de la UE a los ciberataques. 
 
Sanciones contra los ciberataques

En mayo de 2019, el Consejo estableció un marco que permite a la UE imponer sanciones específicas para impedir los ciberataques que constituyen una amenaza externa para la UE o sus Estados miembros y responder a ellos.

Más concretamente, este marco permite por primera vez a la UE imponer sanciones a las personas o entidades responsables de ciberataques o tentativas de ciberataques, o que prestan para ello apoyo financiero, técnico o material o están implicadas de algún otro modo, así como a otras personas y entidades asociadas con ellas.

Las medidas restrictivas consisten en:la prohibición de entrada en la Unión en el caso de las personas,
la inmovilización de bienes en el caso de las personas y las entidades.

Las primeras sanciones por ciberataques se impusieron el 30 de julio de 2020.Ciberataques: el Consejo ya puede imponer sanciones (comunicado de prensa, 17.5.2019)
Sanciones: cómo y cuándo adopta la UE medidas restrictivas (información de referencia)
 
Cooperación en materia de ciberdefensa

El ciberespacio se considera el quinto ámbito bélico, tan vital para las operaciones militares como la tierra, el mar, el aire y el espacio. Se trata de una esfera que abarca desde las redes de información y telecomunicaciones, las infraestructuras y los datos que contienen hasta los sistemas informáticos, los procesadores y los dispositivos de control.

La Unión coopera en materia de defensa en el ciberespacio gracias a las actividades de la Agencia Europea de Defensa (AED), en colaboración con la Agencia de la UE para la Ciberseguridad y Europol. La AED apoya a los Estados miembros en la creación de unidades de personal militar especializado en ciberdefensa y garantiza la disponibilidad de tecnología de ciberdefensa proactiva y reactiva.

La Estrategia de Ciberseguridad de la UE, adoptada en diciembre de 2020 por la Comisión y el SEAE, refuerza:la coordinación en materia de ciberdefensa,
la cooperación y la creación de capacidades de ciberdefensa.

La política de ciberdefensa de la UE, adoptada en noviembre de 2022 por la Comisión y el SEAE, tiene por objeto impulsar las capacidades de ciberdefensa de la UE y reforzar la coordinación y la cooperación entre las cibercomunidades militares y civiles.

El 23 de mayo de 2023, el Consejo adoptó unas Conclusiones sobre la política de ciberdefensa de la UE, en las que destaca la importancia de seguir reforzando la resiliencia de la UE frente a las ciberamenazas. 
 
 
Financiación e investigación
 
Plan de Recuperación

La ciberseguridad es una de las prioridades de la Unión en la respuesta a la pandemia de COVID-19, durante la cual se han incrementado los ciberataques. El plan incluye inversiones adicionales en este ámbito.Un plan de recuperación para Europa (información de referencia)
 
Horizonte Europa

Es fundamental encontrar soluciones innovadoras que puedan protegernos de las ciberamenazas más recientes y más avanzadas. Por este motivo, la ciberseguridad es un componente importante de los programas marco de financiación de la investigación y la innovación de la Unión (Horizonte 2020 y su sucesor, Horizonte Europa). En mayo de 2020, la UE destinó 49 millones de euros a impulsar la innovación en los sistemas de ciberseguridad y privacidad.Horizonte Europa (Comisión Europea)
La Unión concede casi 49 millones de euros para impulsar la innovación en sistemas de ciberseguridad y privacidad (comunicado de prensa de la Comisión Europea, 20.5.2020)
 
Europa Digital

En el marco del programa Europa Digital para el periodo 2021-2027, la UE se ha comprometido a invertir 1 600 millones de euros en capacidades de ciberseguridad y la implantación general de infraestructuras y herramientas de ciberseguridad en toda la UE, tanto para las administraciones públicas como para las empresas y los particulares.Programa Europa Digital: acuerdo informal con el Parlamento Europeo (comunicado de prensa, 14.12.2020)
Europa invierte en el ámbito digital: el programa Europa Digital (Comisión Europea)
 
Centro de Competencia en Ciberseguridad

En diciembre de 2020, el Consejo y el Parlamento Europeo alcanzaron un acuerdo informal sobre una propuesta para crear el Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad respaldado por una Red de Centros Nacionales de Coordinación.

En abril de 2021, el Consejo adoptó el Reglamento por el que se establecen el Centro y la Red.El Consejo da luz verde al Centro de Competencia en Ciberseguridad con sede en Bucarest (comunicado de prensa, 20.4.2021)

Sus objetivos son:seguir mejorando la ciberresiliencia; contribuir a la implantación de la tecnología de última generación en materia de ciberseguridad; proporcionar apoyo a las empresas emergentes y las pymes del sector de la ciberseguridad; reforzar la investigación y la innovación en materia de ciberseguridad; contribuir a colmar el déficit de capacidades en materia de ciberseguridad.

Los Estados miembros de la UE eligieron Bucarest como sede del nuevo centro. 
 
 
Ciberseguridad de las infraestructuras críticas
 
Dispositivos conectados seguros

Los dispositivos conectados —las máquinas, los sensores y las redes que componen la internet de las cosas (IdC)— y su seguridad desempeñarán un papel fundamental en la configuración del futuro digital de Europa.

En diciembre de 2020, el Consejo adoptó unas Conclusiones en las que señalaba que el mayor uso de productos de consumo y dispositivos industriales conectados a internet plantearía nuevos riesgos para la privacidad, la seguridad de la información y la ciberseguridad. En las Conclusiones se fijaban prioridades para abordar esta cuestión crucial y fomentar la competitividad mundial de la industria de la IdC de la Unión, garantizando para ello el máximo nivel de resiliencia, seguridad y protección.Ciberseguridad de los dispositivos conectados: el Consejo adopta unas Conclusiones (comunicado de prensa, 2.12.2020)
 
Proteger las redes 5G

Las redes 5G son cruciales no solo para la comunicación digital, sino también para sectores vitales como la energía, el transporte, la banca y la sanidad. Por lo tanto, garantizar la resiliencia de las redes 5G es esencial para nuestra sociedad.

Las redes 5G —que generarán en 2025 unos ingresos mundiales estimados en 225 000 millones de euros— constituyen un recurso clave para la competitividad de Europa en el mercado mundial, y su ciberseguridad es fundamental para garantizar la autonomía estratégica de la Unión.

En enero de 2020, la Unión acordó un conjunto de instrumentos para determinar un posible grupo de medidas comunes que mitiguen los principales riesgos de ciberseguridad de las redes 5G y para proporcionar orientación. 
 

Publicado por en
Etiquetas:

1 comentario:

Suscribirse a: Enviar comentarios (Atom)