La Comisión Europea ha oficializado la entrada en vigor del nuevo Reglamento sobre Ciberseguridad el pasado 7 de enero, marcando un hito transcendental en la protección de las instituciones, órganos, oficinas y agencias de la Unión Europea. Este reglamento, meticulosamente diseñado, no solo tiene como propósito establecer medidas concretas, sino que también busca erigirse como un pilar fundamental en la construcción de un entorno digital robusto y seguro. Abordando de manera exhaustiva los desafíos actuales en materia de ciberseguridad, este marco normativo se erige como un faro que guía hacia la consecución de un elevado estándar común, garantizando no solo la integridad de las entidades europeas, sino también la confianza en la gestión y transmisión de información crítica.

En consonancia con los objetivos estratégicos de la Comisión Europea en seguridad y ciberseguridad, así como con otras iniciativas afines, este reglamento no solo es un documento legal, sino un compendio de medidas que reflejan el compromiso de la UE con la defensa proactiva y la resiliencia ante las amenazas digitales en constante evolución. Su alcance abarca la promoción de prácticas seguras, el fomento del intercambio eficiente de información y la instauración de estándares mínimos, todo ello con el fin de consolidar una base sólida para la ciberseguridad en toda la Unión Europea.

Objetivos y Alcance

Este reglamento se presenta como un conjunto de medidas destinadas a asegurar un elevado nivel común de ciberseguridad en las instituciones y organismos de la Unión Europea. Su objetivo principal es lograr un alto nivel de ciberseguridad, ciberresiliencia y confianza en la UE. Para alcanzar esto, se establecen metas, tareas y estructuras organizativas específicas, destacando la creación de una Agencia de la Unión Europea para la Ciberseguridad (ENISA) con un mandato renovado y fortalecido.

El camino que condujo a la implementación de este Reglamento se inició en marzo de 2022, cuando la Comisión presentó la propuesta del Reglamento de Ciberseguridad. Para junio de 2023, tanto el Parlamento Europeo como el Consejo lograron un acuerdo político sin precedentes sobre esta propuesta. No obstante, es crucial subrayar que la certificación de ciberseguridad sigue siendo de carácter voluntario, a menos que se establezca lo contrario en la legislación de la Unión o de los Estados miembros.

En noviembre de 2023, se logró un acuerdo de modificación del Reglamento sobre Ciberseguridad de la UE de 2019, allanando el camino para la futura adaptación de esquemas de certificación europeos destinados a los servicios de seguridad gestionados.

Consejo Interinstitucional de Ciberseguridad (IICB)

Una de las piedras angulares de esta nueva regulación es la creación del Consejo Interinstitucional de Ciberseguridad (IICB), que se erige como el guardián de un marco común de gobernanza y control de riesgos. Este consejo supervisa la implementación de medidas de ciberseguridad en todas las entidades de la UE.

CERT-EU y consolidación:

El Equipo de Respuesta a Emergencias Informáticas (CERT-EU), ahora conocido como Servicio de Seguridad para las instituciones, órganos, oficinas y agencias de la Unión, asume un papel central, consolidándose como el epicentro de la coordinación de inteligencia sobre amenazas, intercambio de información y respuesta a incidentes.

Reglas y estándares mínimos

El nuevo reglamento establece reglas y estándares mínimos para todas las entidades de la UE, regulando cuidadosamente los flujos de información y el control de riesgos, con el objetivo de crear un marco homogéneo que fortalezca la ciberseguridad en toda la Unión.

Automóviles conectados:

En el centro de esta normativa se encuentra la exigencia a todos los fabricantes de automóviles de integrar un Sistema de Gestión de Ciberseguridad (CSMS) en sus vehículos. Este sistema, esencial para la seguridad de los automóviles conectados, va más allá al incluir un sistema de actualización de software para mantener la seguridad y funcionalidad.

Objetivos políticos y coherencia legislativa:

El reglamento se alinea con los objetivos políticos de la Comisión y estrategias clave de la UE en seguridad y ciberseguridad, destacando su coherencia con otras iniciativas legislativas, como la Ley de Ciberseguridad y la Directiva sobre medidas para un alto nivel común de ciberseguridad en la UE.

Certificación voluntaria y acuerdo político:

La certificación de ciberseguridad es voluntaria, salvo disposición contraria en el Derecho de la Unión o de los Estados miembros. El acuerdo político de junio de 2023 destaca la adaptación de esquemas europeos para servicios de seguridad gestionados.

Desafíos y futuro cibernético:

En un mundo digital en evolución, la UE fortalece su ciberseguridad. Con el nuevo Reglamento de Ciberseguridad, se promueve la seguridad, eficiencia y resiliencia en toda la Unión. La adaptación continua y la colaboración entre Estados miembros marcan un hito hacia un futuro cibernético más seguro, abordando desafíos emergentes y avanzando hacia la innovación sostenible en seguridad digital.

Esperamos que la implementación de estas medidas mejore significativamente el control de seguridad en las redes informáticas y reduzca de manera notable los ciberataques que últimamente amenazan con frecuencia nuestras entidades públicas