El Consejo Europeo ha adoptado dos nuevas leyes que forman parte del paquete legislativo sobre ciberseguridad: la denominada Ley de Cibersolidaridad y una modificación específica de la Ley de Ciberseguridad (CSA). Ambos actos legislativos se publicarán en el diario oficial de la UE en las próximas semanas y entrarán en vigor 20 días después de esta publicación.
La nueva Ley de Cibersolidaridad establece capacidades de la UE para hacer que Europa sea más resiliente frente a las ciberamenazas, al tiempo que refuerza los mecanismos de cooperación. Entre otras cosas, establece un sistema de alerta de ciberseguridad y una infraestructura paneuropea compuesta por centros cibernéticos nacionales y transfronterizos en toda la UE. Se trata de entidades encargadas de compartir información y encargadas de detectar y actuar ante las ciberamenazas.
Los centros cibernéticos utilizarán tecnología de vanguardia, como la inteligencia artificial (IA) y el análisis avanzado de datos, para detectar y compartir alertas oportunas sobre ciberamenazas e incidentes transfronterizos. Reforzarán el marco europeo existente y, a su vez, las autoridades y las entidades pertinentes podrán responder de forma más eficiente y eficaz a los incidentes de ciberseguridad. El nuevo reglamento también prevé la creación de un mecanismo de emergencia de ciberseguridad para aumentar la preparación y mejorar las capacidades de respuesta a incidentes en la UE.
Para ello, apoyará acciones de preparación, incluidas las pruebas de vulnerabilidades potenciales en entidades de sectores altamente críticos (asistencia sanitaria, transporte, energía, etc.), basadas en escenarios de riesgo y metodologías comunes; además de una nueva reserva de ciberseguridad de la UE compuesta por servicios de respuesta a incidentes del sector privado listos para intervenir a petición de un estado miembro o de instituciones, organismos y agencias de la UE, así como de terceros países asociados, en caso de un incidente de ciberseguridad significativo o de gran escala; y asistencia técnica mutua.
Por último, la nueva ley establece un mecanismo de revisión de incidentes para evaluar, entre otras cosas, la eficacia de las acciones en el marco del mecanismo de emergencia cibernética y el uso de la reserva de ciberseguridad, así como la contribución de este reglamento al fortalecimiento de la posición competitiva de los sectores industrial y de servicios.
Modificación de la Ley de Ciberseguridad
La Ley de Ciberseguridad de 2019 se ha modificado con el objetivo de mejorar la resiliencia cibernética de la UE al permitir la futura adopción de esquemas de certificación europeos para los denominados servicios de seguridad gestionados.
La nueva ley reconoce la creciente importancia de los servicios de seguridad gestionados en la prevención, detección, respuesta y recuperación de incidentes de ciberseguridad. Estos servicios pueden consistir, por ejemplo, en la gestión de incidentes, pruebas de penetración, auditorías de seguridad y consultoría relacionada con el soporte técnico.
A la espera de los resultados de la evaluación de la Ley de Ciberseguridad, esta modificación específica permitirá el establecimiento de esquemas de certificación europeos para estos servicios de seguridad gestionados. Ayudará a aumentar su calidad y comparabilidad, fomentará la aparición de proveedores de servicios de ciberseguridad de confianza y evitará la fragmentación del mercado interior, dado que algunos Estados miembros ya han comenzado a adoptar esquemas de certificación nacionales para servicios de seguridad gestionados.