INFORME ESPECIAL SOBRE CIBERSEGURIDAD DE LAS INSTITUCIONES, ÓRGANOS Y ORGANISMOS DE LA UE EN SU CONJUNTO.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com 

Resumen

El número de ciberataques contra instituciones, órganos, oficinas y agencias de la UE (IOAUE) sigue aumentando. Debido a que los IOAUE están fuertemente interconectados, las debilidades de uno pueden exponer a los demás a amenazas de seguridad. El Tribunal examinó si la IOAUE cuenta con mecanismos adecuados para protegerse contra los ataques cibernéticos. Se ha encontrado que, en general, el nivel de preparación de IOAUE no corresponde con las amenazas y que los IOAUE tienen niveles muy variables de madurez en ciberseguridad. El Tribunal recomienda que la Comisión mejore el nivel de preparación de la IOAUE a través de una propuesta para introducir reglas obligatorias de ciberseguridad y aumentar los recursos del Centro de Respuesta a Incidentes de Seguridad Cibernética (CERT-EU). 

Informe especial del Tribunal de Cuentas Europeo en virtud del artículo 287, apartado 4, párrafo segundo, del TFUE.

Informe Especial 05/2022: Ciberseguridad de las instituciones, órganos y organismos de la UE en su conjunto, nivel de preparación no proporcionado a las amenazas. Enlace del Informe integral en Otros idiomas (23)

Si desea mayor información sobre el presente Informe, así como sus implicancias,  consúltenos al correo electrónico:cferreyros@ferreyros-ferreyros.com del Estudio Jurídico Ferreyros-Ferreyros.com

 ______________________________________________________________

RESUMEN DEL INFORME

I    El Reglamento sobre la Cíberseguridad de la UE define la cíberseguridad como «todas las actividades necesarias para la protección de las redes y sistemas de información, de los usuarios de tales sistemas y de otras personas afectadas por las ciberamenazas». Debido a la información delicada que tratan, las instituciones, órganos y organismos de la UE (IOUE) son un blanco atractivo para los posibles atacantes, en particular para los grupos capaces de ejecutar ataques sigilosos muy sofisticados con fines de cíberespionaje, entre otros. Las IOUE están estrechamente interconectadas pese a su independencia institucional y si autonomía administrativa. En consecuencia, los puntos débiles de una IOUE pueden exponer a las demás a amenazas de seguridad.

II  Dado que el número de cíberataques contra ellas está aumentando considerablemente, el objetivo de esta auditoría era determinar si las IOUE, en conjunto, han establecido mecanismos adecuados para protegerse contra las cíberamenazas. Concluimos que el nivel de preparación la comunidad de IOUE no está a la altura de las amenazas.

II    Constatamos que no siempre se aplicaban buenas prácticas esenciales de cíberseguridad, como algunos controles esenciales, y que los gastos en cíberseguridad en varias IOUE son insuficientes. En algunas IOUE tampoco existe una buena gobernanza de la cíberseguridad: en muchos casos, no existen estrategias de seguridad informática, o estas no están respaldadas por la alta dirección, las políticas de seguridad no siempre se formalizan y las evaluaciones de riesgos no abarcan todo el entorno informático. No todas las IOUE disponen de medidas regulares de cíberseguridad sujetas a una garantía independiente.

IV    La formación sobre cíberseguridad no es siempre sistemática. Poco más de la mitad de las IOUE ofrecen formación sobre cíberseguridad para el personal informático y para especialistas en seguridad informática. Pocas IOUE ofrecen formación obligatoria sobre cíberseguridad a los responsables de los sistemas informáticos que contienen información delicada. Los ejercicios de phishing son una herramienta importante para formar y concienciar al personal, pero no todas las IOUE los utilizan sistemáticamente.

V  Aunque las IOUE han establecido estructuras de cooperación e intercambio de información sobre cíberseguridad, hemos observado que no se aprovechan plenamente las posibles sinergias. Las IOUE no comparten sistemáticamente entre sí información sobre proyectos relacionados con la cíberseguridad, evaluaciones de seguridad y contratos de servicios. Además, las herramientas básicas de comunicación, como las soluciones de correo electrónico cifrado y videoconferencia, no son totalmente interoperables. Esto puede dar lugar a intercambios de información menos seguros, a una duplicación de los esfuerzos y a un aumento de los costes.

VI    El Equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la Unión Europea (CERT-UE) y la Agencia de la Unión Europea para la Cíberseguridad (ENISA) son las dos principales entidades encargadas de apoyar a las IOUE en materia de cíberseguridad. Sin embargo, debido a que los recursos son limitados o a que se ha dado prioridad a otras áreas, no han podido proporcionar a las IOUE todo el apoyo que necesitan, sobre todo en relación con el desarrollo de capacidades de aquellas que poseen menor experiencia. Aunque el CERT-UE es muy apreciado por las IOUE, su eficacia queda comprometida por la creciente carga de trabajo, la inestabilidad de la financiación y la dotación de personal, así como la insuficiente cooperación de algunas IOUE, que no siempre comparten información oportuna sobre vulnerabilidades e incidentes significativos de cíberseguridad que les hayan afectado o puedan afectar a otras.

VII    Basándonos en estas conclusiones, recomendamos que:

o      la Comisión mejore la preparación de las IOUE mediante una propuesta legislativa por la que se introduzcan normas comunes vinculantes sobre ciberseguridad para todas las IOUE y un incremento de los recursos del CERT-UE.

 o    la Comisión, en el contexto del Comité interinstitucional para la transformación digital, promueva nuevas sinergias entre las IOUE en determinados ámbitos

 o    el CERT-UE y la ENISA se centren en las IOUE con menor madurez en ciberseguridad.