El pleno de la Eurocámara, durante las votaciones de este jueves en Estrasburgo

El pleno de la Eurocámara, durante las votaciones de este jueves en Estrasburgo Parlamento Europeo

Europa

Un "ciberescudo europeo" para proteger la región frente a los ciberataques: la ley de cibersolidaridad toma forma

Esta norma busca convertir a la región en un actor más resiliente ante las ciberamenazas, al tiempo que refuerza la cooperación.

27 marzo, 2024 02:07

La presidencia española del Consejo de la Unión Europea fue bastante prolífica en el terreno digital, impulsando distintas normas que cambiarán el terreno de juego de los próximos años. En este período, hubo una que brilló más que el resto por la importancia de la tecnología que regula y por lo esperado de la misma: el Reglamento Europeo de Inteligencia Artificial (la llamada AI Act). 

No obstante, lo cierto es que los seis meses en los que España dirigió este organismo dieron para impulsar muchas leyes más y, entre las que pasaron desapercibidas, hay legislaciones verdaderamente pioneras que tendrán un gran impacto en este sector. Una de ellas es la Ley de Cibersolidaridad (o Cyber solidarity Act). 

Esta ley busca reforzar la solidaridad y las capacidades de detección, preparación y respuesta frente a amenazas e incidentes de ciberseguridad mediante la consolidación de un escudo europeo compuesto por los centros de operaciones de seguridad nacionales y transfronterizos. Y, aunque por sus preceptos pueda parecer que se trata de una norma reciente, la verdad es que la primera vez que esta legislación apareció en la palestra regulatoria europea fue hace cuatro años. 

Ciberescudo europeo

Como en Europa parece que reina el mantra de que "las cosas de palacio van despacio", hay remontarse a 2020 para conocer el origen de esta normativa. A finales de ese año se adoptó la Estrategia de Ciberseguridad de la UE, donde ya se mencionaba la creación de un "ciberescudo europeo" que reforzase las capacidades de detección de ciberamenazas y de intercambio de información en la región. 

Dos años después, a mediados de 2022, la Comisión, a petición del Consejo (que, a su vez, recogía las demandas de los ministros de telecomunicaciones de los estados miembros), presentó una propuesta en la que precisó la necesidad de subsanar las lagunas en materia de ciberseguridad y de respuesta a los ciberataques para el territorio. Fue entonces cuando se empezó a hablar propiamente de la Ley de Cibersolidaridad. 

[España cierra la presidencia del Consejo de la Unión Europea con los deberes hechos en el ámbito digital]

El contexto, además, urgía a la consolidación de la norma, ya que, en ese lapso de tiempo desde su concepción, había estallado la guerra en Ucrania y, entre sus múltiples consecuencias, se había disparado el número de incidentes cibernéticos en lo que ha terminado por definirse como la "ciberguerra". 

El siguiente hito respecto a esta normativa se logró ya durante la presidencia española del Consejo de la UE, que se extendió desde junio a diciembre de 2023. La propia Carme Artigas, que fue secretaria de Estado de Digitalización e Inteligencia Artificial durante este período, destacó en su momento el trabajo realizado por España en relación a esta ley. Según contó, emitieron recomendaciones para impulsar esta legislación y que se terminase de consolidar durante la siguiente presidencia del Consejo de la UE. 

Así, a finales de diciembre de 2023, rozando el final del turno español, los representantes de los Estados miembros (Coreper) acordaron un mandato de negociación con el Parlamento Europeo (PE). "(El acuerdo alcanzado) reforzará las capacidades de la UE y de los Estados miembros para prepararse contra las ciberamenazas y los ataques a gran escala, prevenirlos, responder a ellos y recuperarse de ellos de una manera más eficiente y efectiva", afirmó tras el pacto José Luis Escrivá, que en ese momento era solo ministro de Transformación Digital de España y, posteriormente, sumó la cartera de Función Pública. 

[Europa alcanza un acuerdo sobre la identidad digital y presenta la futura cartera virtual de la región]

Tras la consolidación de la posición del Consejo, se dio comienzo a las negociaciones con el Parlamento en los llamados trílogos, cuyo primer encuentro se produjo el pasado 13 de febrero de 2024.  Poco después, en el trílogo celebrado el 5 de marzo, los legisladores alcanzaron un acuerdo provisional sobre este reglamento. 

"Crear la posibilidad de certificar los servicios de seguridad gestionados ayudará a garantizar un elevado nivel común de estos servicios de ciberseguridad en toda la UE, al permitir su prestación transfronteriza en beneficio de nuestros ciudadanos y empresas", afirmó Mathieu Michel, secretario de Estado de Digitalización y representante de la presidencia belga del Consejo de la UE, durante la comunicación del pacto provisional.  

Ahora, tanto el Parlamento como el Consejo (que ahora se encuentra bajo la presidencia belga) deben aprobar de forma individual ambos textos. Una vez refrendados, los proyectos de actos legislativos se someterán a la formalización jurídico-lingüística antes de su adopción formal, tras lo que se publicará en el Diario Oficial de la UE (el BOE europeo) y entrará en vigor 20 días después. 

Ley de Ciberseguridad 

Cabe mencionar que, junto a la Ley de Cibersolidaridad, los legisladores también acordaron modificar el Reglamento de Ciberseguridad de 2019. Con esta enmienda pretenden mejorar la ciberresiliencia de la UE al permitir la futura adopción de esquemas europeos de certificación para los servicios de seguridad gestionados (prestados por empresas especializadas), que son cruciales para prevenir y detectar incidentes de ciberseguridad. 

Esta modificación permitirá establecer esquemas europeos de certificación para tales servicios, aumentará su calidad, fomentará la aparición de proveedores de servicios de ciberseguridad de confianza y evitará la fragmentación del mercado interior. La revisión periódica de esta norma tendrá lugar el próximo 28 de junio. 

¿Qué es la Ley de Cibersolidaridad?

La Ley de Cibersolidaridad de la Unión Europea busca convertir a la región en un actor más resiliente ante las ciberamenazas, al tiempo que refuerza los mecanismos de cooperación. Entre sus principales objetivos se encuentra apoyar la detección de incidentes de ciberseguridad importantes; impulsar la protección y preparación de entidades críticas (como hospitales y servicios públicos); reforzar la solidaridad a escala de la UE, la gestión concertada de crisis y las capacidades de respuesta en todos los estados miembros; y garantizar un entorno digital seguro para ciudadanos y empresas. 

Con estas metas en mente, el reglamento establece "un sistema de alerta de ciberseguridad", es decir, una infraestructura paneuropea integrada por centros cibernéticos nacionales y transfronterizos de toda la UE con los que se pueda compartir información, detectar amenazas y actuar frente a ellas para poder responder de manera más eficiente y eficaz. 

A la par, la norma prevé la creación de un mecanismo de emergencia de ciberseguridad para aumentar la preparación y mejorar las capacidades de respuesta a incidentes que incluye medidas de preparación (entre ellas, pruebas a entidades críticas para detectar vulnerabilidades), una reserva de ciberseguridad (servicios de respuesta a incidentes prestados por proveedores del sector privado cuando un estado o institución lo solicite) y asistencia mutua en términos financieros.

También, contempla un mecanismo de evaluación y revisión para valorar la eficacia de las medidas tomadas y el uso de la reserva de ciberseguridad.