El día 16 de diciembre de 2020 la Comisión Europea y el Alto Representante para Asuntos Exteriores y Política de Seguridad presentaron públicamente la nueva Estrategia de Ciberseguridad de la Unión Europea (The EU’s Cybersecurity Strategy for the Digital Decade) diseñada con la finalidad de reforzar la resiliencia conjunta frente a las ciberamenazas así como para garantizar que ciudadanos y empresas se beneficien de servicios y herramientas digitales seguros y fiables.

Considerada un componente clave de los diferentes Planes de respuesta a la crisis provocada por la Covid 19, como la Comunicación de la Comisión Europea “Shaping Europe’s Digital Future» de febrero de 2020 o el Plan de Recuperación Next Generation EU, así como de la Estrategia de la Unión de Seguridad de la Unión Europea (COM(2020) 605 final) esta nueva Estrategia tiene como objetivo promover un ciberespacio abierto y global no solo para garantizar la seguridad, sino también para proteger los valores europeos y los derechos fundamentales de todos.

Para alcanzar tales objetivos, en esta nueva versión de la Estrategia, actualización de la publicada en 2013 (Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace), se incluyen propuestas concretas para el despliegue de tres instrumentos, normativos, de inversión y de política, que aborden todas las áreas de acción de la Unión.

Entre ellas destacan algunas que pueden calificarse de novedosas como la revisión del marco regulatorio vigente en Europa, el fortalecimiento de las capacidades de prevención, disuasión y respuesta y la voluntad de asegurar la próxima generación de redes (5G y siguientes).

Revisión del marco normativo

La primera de estas propuestas, revisión del marco normativo, plantea dos modificaciones de Directivas:

  • En primer lugar la revisión de la Directiva NIS, de seguridad de las redes y sistemas de información, adoptada en 2016, relativa a las obligaciones de los “operadores de servicios esenciales” la cual se considera ha quedado obsoleta ante los avances de la transformación digital y la crisis provocada por la Covid19.

En consecuencia, con objeto de adaptarla a las necesidades actuales se propone formular una nueva Directiva (NIS2) que refuerce los requisitos de seguridad de las empresas, regule de forma más precisa el proceso de notificación de incidentes, aborde la seguridad de las cadenas de suministro y las relaciones con los proveedores, introduzca medidas de supervisión para las autoridades nacionales y armonice los regímenes de sanciones en los Estados miembros.

  • Una segunda propuesta se refiere a una Directiva sobre la resiliencia de entidades críticas, o Directiva CER  (COM:2020:829:FIN) como una nueva versión de la antigua Directiva sobre las infraestructuras criticas europeas del año 2008, ampliando su alcance y profundidad a diez sectores de actividad: energía, transporte, servicios bancarios, infraestructuras del mercado financiero, sanidad, agua potable, aguas residuales, infraestructuras digitales, administración pública y espacio.

Esta nueva directiva también prevé que los Estados miembros adopten una estrategia nacional para garantizar la resiliencia de las entidades críticas y lleven a cabo evaluaciones de riesgos periódicas.

Fortalecimiento de las capacidades de prevención, disuasión y respuesta.

La segunda de las propuestas a destacar, el fortalecimiento de las capacidades de prevención, disuasión y respuesta, contempla la creación de una red de centros operativos de operaciones de seguridad (SOC) interconectados, a modo de escudo cibernético europeo, basados en Inteligencia Artificial, destinados a proteger a Europa de los ciberataques mediante una capacidad de detección y alerta temprana que asegure una reacción proactiva para evitar daños.

Asegurar la próxima generación de redes (5G y siguientes).

En cuanto a la tercera propuesta a destacar, asegurar la próxima generación de redes (5G y siguientes), en el ámbito de la Estrategia se anima a los Estados miembro, con el apoyo de la Comisión y de la Agencia Europea de Ciberseguridad (ENISA), a finalizar para el segundo trimestre de 2021 la implementación de la  Caja de herramientas 5G de la Unión Europea, nombre con el que se conoce al conjunto de medidas estratégicas, técnicas y de apoyo para mitigar los riesgos de seguridad de las redes móviles de quinta generación y de las futuras generaciones de redes.

Esta caja de herramientas 5G, consensuada entre todos los Estados miembro, identifica las principales amenazas y sus fuentes, los activos más sensibles, las principales vulnerabilidades y una serie de riesgos estratégicos en el despliegue de redes 5G.

Ciberdiplomacia y Ciberdefensa

Otros aspectos a destacar, en los que la Unión Europea lleva ya algunos años trabajando, son los relativos a la ciberdiplomacia y ciberdefensa encuadradas en el marco de las capacidades operativas de prevención, disuasión y respuesta; en este contexto sorprende que el término disuasión se utilice en el caso de la ciberdiplomacia pero no en el de la ciberdefensa.

De forma específica la Estrategia considera el papel fundamental de la ciberdefensa, al desempeñar una importante tarea como proveedor de seguridad, y por ello se propone la mejora de la cooperación en esta materia recomendando la revisión del documento “Marco Político de Ciberdefensa de la UE (CDPF; 2018)” así como facilitar el desarrollo de una «Visión y estrategia militar sobre el ciberespacio como ámbito de operaciones» de la UE para las misiones y operaciones militares de la PCSD y fortalecer la cooperación en investigación, innovación y desarrollo de capacidades de ciberdefensa.

Dada la importancia de esta Estrategia y con objeto de no alargar este artículo dedicaré el próximo post a exponer las áreas de actuación que, a modo de pilares en los que se fundamenta, definen una serie de iniciativas estratégicas a abordar.