Derecho y NBIC: REFUERZO DE LA RESILIENCIA DE LAS INFRAESTRUCTURAS CRITICAS: ENERGIA, DIGITAL, TRANSPORTE, ESPACIO

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

Resumen

Esta Recomendación establece una serie de acciones específicas a nivel nacional y de la Unión cuyo objeto es garantizar el funcionamiento del mercado interior a través de la identificación y protección de las infraestructuras criticas pertinentes que prestan servicios esenciales de ese mercado, especialmente en sectores claves como energía, infraestructura digital, transporte y espacio, así como infraestructuras criticas con relevancia transfronteriza significativa. Esas acciones específicas consisten en una mejor preparación, una mejor respuesta y cooperación internacional.

La información confidencial compartida para cumplir los objetivos de la presente Recomendación debe ser conforme con las normas nacionales y de la Unión, así como con las normas sobre confidencialidad comercial, la misma que debe intercambiarse con la Comisión y otras autoridades competentes sólo cuando dicho intercambio sea necesario para la buena aplicación. de esta Recomendación.

Esta Recomendación no afecta a la protección de los intereses esenciales de la seguridad nacional, la seguridad pública o la defensa de los Estados miembros.

A fin de acceder a similares normas y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com

________________________________________________________

RECOMENDACIÓN DEL CONSEJO

del 8 de diciembre de 2022

sobre un enfoque coordinado a escala de la Unión para reforzar la resiliencia de las infraestructuras críticas

(Texto pertinente a efectos del EEE)

(2023/C 20/01)

EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114 y su artículo 292, frases primera y segunda,

Vista la propuesta de la Comisión Europea,

Mientras que:

(1) Con el objetivo de garantizar el funcionamiento del mercado interior, redunda en interés de todos los Estados miembros y de la Unión en su conjunto identificar y proteger claramente las infraestructuras críticas pertinentes que prestan servicios esenciales dentro de ese mercado, especialmente en sectores clave como el de la energía , infraestructura digital, transporte y espacio, así como infraestructuras críticas con una relevancia transfronteriza significativa ( ¹ ) , cuya perturbación podría afectar significativamente a otros Estados miembros.

(2) Esta Recomendación, que es un acto no vinculante, demuestra la voluntad política de los Estados miembros de cooperar juntos y su compromiso con las medidas recomendadas, destacadas en un plan de cinco puntos emitido por el Presidente de la Comisión Europea, respetando plenamente los Estados miembros Competencias de los Estados. Esta Recomendación no afecta a la protección de los intereses esenciales de la seguridad nacional, la seguridad pública o la defensa de los Estados miembros, y no debe esperarse que ningún Estado miembro comparta información que vaya en detrimento de dichos intereses.

(3) Si bien la responsabilidad principal de garantizar la seguridad y la prestación de los servicios esenciales por parte de las infraestructuras críticas recae en los Estados miembros y sus operadores de infraestructuras críticas, es adecuada una mayor coordinación a nivel de la Unión, especialmente a la luz de las amenazas en evolución que pueden afectar a varios Estados miembros simultáneamente, tales como la guerra de agresión de Rusia contra Ucrania y las campañas híbridas contra los Estados miembros, o afectar a la resiliencia y el buen funcionamiento de la economía, el mercado interior y la sociedad de la Unión en su conjunto. Debe prestarse especial atención a las infraestructuras críticas fuera del territorio de los Estados miembros, como las infraestructuras críticas submarinas o las infraestructuras energéticas en alta mar.

(4) El Consejo Europeo, en sus conclusiones de 20 y 21 de octubre de 2022, condenó enérgicamente los actos de sabotaje contra infraestructuras críticas, como los cometidos contra los oleoductos Nord Stream, indicando la voluntad de la Unión de hacer frente a cualquier interrupción deliberada de infraestructuras críticas u otras acciones híbridas. con una respuesta unida y decidida.

(5) En vista del panorama de amenazas en rápida evolución, las medidas de mejora de la resiliencia deben tomarse como una cuestión prioritaria en sectores clave como la energía, la infraestructura digital, el transporte y el espacio, y en otros sectores relevantes identificados por los Estados miembros. Dichas medidas deben centrarse en mejorar la resiliencia de la infraestructura crítica teniendo en cuenta los riesgos relevantes, especialmente los efectos en cascada, la interrupción de la cadena de suministro, la dependencia, los impactos del cambio climático, los proveedores y socios poco confiables y las amenazas y campañas híbridas que incluyen la manipulación e interferencia de información extranjera. En lo que se refiere a la infraestructura crítica nacional, en vista de las posibles consecuencias, se debe dar prioridad a la infraestructura crítica con una relevancia transfronteriza significativa. Se alienta a los Estados miembros a que proporcionen tales medidas de mejora de la resiliencia,

(6) La protección de las infraestructuras críticas europeas en los sectores de la energía y el transporte está regulada actualmente por la Directiva 2008/114/CE del Consejo ( ² ) , y la seguridad de las redes y los sistemas de información en toda la Unión centrados en las ciberamenazas está garantizada por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo ( ³ ). Con vistas a garantizar un mayor nivel común de resiliencia y la protección de las infraestructuras críticas, la ciberseguridad y el mercado financiero, el marco legal existente se está modificando y complementando con la adopción de nuevas reglas aplicables a las entidades críticas (la 'Directiva CER') , normas reforzadas para un elevado nivel común de ciberseguridad en toda la Unión (la «Directiva NIS2») y nuevas normas aplicables a la resiliencia operativa digital del sector financiero («DORA»).

(7) Los Estados miembros deben, de conformidad con la legislación nacional y de la Unión, utilizar todas las herramientas disponibles para avanzar y ayudar a fortalecer la resiliencia física y cibernética. A este respecto, debe entenderse por infraestructura crítica la infraestructura crítica pertinente identificada por un Estado miembro a nivel nacional o designada como infraestructura crítica europea en virtud de la Directiva 2008/114/CE, así como las entidades críticas que se identificarán en virtud de la Directiva CER o, en su caso, entidades bajo la Directiva NIS2. El concepto de resiliencia debe entenderse como una referencia a la capacidad de una infraestructura crítica para prevenir, proteger, responder, resistir, mitigar, absorber, acomodar o recuperarse de eventos que interrumpen significativamente o tienen el potencial de interrumpir significativamente la provisión de servicios esenciales en el mercado interior,

(8) Se debe convocar a expertos nacionales a fin de coordinar el trabajo para lograr un mayor nivel común de resiliencia y protección para la infraestructura crítica que introducirán las nuevas normas aplicables a las entidades críticas. Ese trabajo coordinado permitiría la cooperación entre los Estados miembros y el intercambio de información sobre actividades como la elaboración de metodologías para identificar los servicios esenciales proporcionados por la infraestructura crítica. La Comisión ya ha comenzado a convocar a esos expertos y facilitar su trabajo, y tiene la intención de continuar con este trabajo. Una vez que la Directiva CER haya entrado en vigor y se haya establecido un Grupo de Resiliencia de Entidades Críticas en virtud de esa Directiva, dicho grupo debe continuar con ese trabajo anticipatorio de acuerdo con sus tareas.

(9) Reconociendo el cambio en el panorama de amenazas, el potencial de realizar pruebas de estrés de infraestructura crítica a nivel nacional debe desarrollarse aún más, ya que tales pruebas podrían ser útiles para mejorar la resiliencia de la infraestructura crítica. Con respecto a la importancia específica del sector de la energía y las consecuencias a escala de la Unión derivadas de su posible perturbación, ese sector podría beneficiarse más de la realización de pruebas de resistencia basadas en principios acordados de común acuerdo. Dichas pruebas son competencia de los Estados miembros, quienes deben alentar y apoyar a los operadores de infraestructuras críticas para que realicen dichas pruebas cuando se consideren beneficiosas y de conformidad con sus marcos jurídicos nacionales.

(10) Para garantizar una respuesta coordinada y eficaz a las amenazas actuales y previstas, se anima a la Comisión a que preste apoyo adicional a los Estados miembros, en particular proporcionando información pertinente en forma de informes, manuales no vinculantes y directrices. Debería proporcionar evaluaciones de amenazas. También se invita a la Comisión, en cooperación con los Estados miembros, a promover la adopción de proyectos de investigación e innovación financiados por la Unión.

(11) Con la creciente interdependencia de la infraestructura física y digital, es posible que las actividades cibernéticas maliciosas dirigidas a áreas críticas provoquen interrupciones o daños en la infraestructura física, o el sabotaje de la infraestructura física para hacer que los servicios digitales sean inaccesibles. Se invita a los Estados miembros a acelerar el trabajo preparatorio para la transposición y aplicación del nuevo marco legal aplicable a las entidades críticas y del marco legal reforzado para la ciberseguridad, basándose en la experiencia adquirida dentro del Grupo de Cooperación establecido por la Directiva (UE) 2016/1148 ( el «Grupo de Cooperación NIS»), lo antes posible, teniendo en cuenta los plazos de transposición y que dichos trabajos preparatorios deben avanzar en paralelo y de forma coherente.

(12) Además de mejorar la preparación, también es importante reforzar las capacidades para responder de manera rápida y eficaz a una interrupción de los servicios esenciales proporcionados por la infraestructura crítica. Por tanto, la presente Recomendación contiene medidas tanto a nivel de la Unión como nacional, entre otras cosas destacando el papel de apoyo y el valor añadido que puede obtenerse mediante la introducción de una cooperación reforzada y el intercambio de información en el contexto del Mecanismo de Protección Civil de la Unión (UCPM) establecido por la Decisión n. 1313/2013/UE del Parlamento Europeo y del Consejo ( ⁴ ) y utilizando los activos pertinentes del Programa Espacial de la Unión establecido en virtud del Reglamento (UE) 2021/696 del Parlamento Europeo y del Consejo ( ⁵ ) .

(13) La Comisión, el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad (el «Alto Representante») y el Grupo de Cooperación NIS en cooperación con organismos y agencias civiles y militares pertinentes y redes establecidas, incluida la red europea de organizaciones de enlace de cibercrisis ( EU-CYCLONe), son para realizar una evaluación de riesgos y construir escenarios de riesgo. Además, en seguimiento de la Convocatoria Ministerial Conjunta de Nevers, el Grupo de Cooperación NIS está realizando actualmente una evaluación de riesgos, con el apoyo de la Comisión y la Agencia Europea de Ciberseguridad (ENISA), y en cooperación con el Organismo de Reguladores Europeos de Electrónica. Comunicaciones (ORECE). Esos dos ejercicios serán consistentes y estarán coordinados con el ejercicio de construcción de escenarios bajo el UCPM, incluidos los eventos de ciberseguridad y su impacto en la vida real, actualmente en desarrollo por parte de la Comisión y los Estados miembros. En aras de la eficiencia, la eficacia y la coherencia, y para la buena aplicación de esta Recomendación, se supone que los resultados de esos ejercicios deben reflejarse a nivel nacional.

(14) Con el fin de reforzar inmediatamente la preparación y la capacidad de respuesta ante un incidente de ciberseguridad a gran escala, la Comisión ha establecido un programa a corto plazo para apoyar a los Estados miembros mediante financiación adicional asignada a ENISA. Los servicios propuestos incluyen, entre otros, acciones de preparación, como pruebas de penetración de entidades para identificar vulnerabilidades. El programa también puede fortalecer las posibilidades de ayudar a los Estados miembros en caso de un incidente de ciberseguridad a gran escala que afecte a entidades críticas. Este es un primer paso en línea con las Conclusiones del Consejo del 23 de mayo de 2022 sobre el desarrollo de la postura cibernética de la Unión Europea (las "Conclusiones del Consejo sobre la postura cibernética de la UE") que solicitan a la Comisión que presente una propuesta para un Fondo de Emergencia Cibernética. . Los Estados miembros deben aprovechar plenamente esas oportunidades, de conformidad con los requisitos aplicables, y se les anima a seguir trabajando en el ámbito de la gestión de cibercrisis de la Unión, en particular mediante el seguimiento y el balance periódicos de los progresos realizados en la aplicación de la cibercrisis. Hoja de ruta de gestión desarrollada recientemente en el Consejo. Esa hoja de ruta es un documento vivo y debe revisarse y actualizarse cuando sea necesario.

(15) Los cables de comunicaciones submarinos globales son esenciales para la conectividad global e intra-UE. Debido a la considerable longitud de estos cables y su instalación en el fondo del mar, la supervisión visual subacuática de la mayoría de las secciones del cable es extremadamente complicada. La jurisdicción compartida y otras cuestiones jurisdiccionales relacionadas con dichos cables representan un caso específico para la cooperación europea e internacional en materia de protección y recuperación de infraestructuras. Por lo tanto, es necesario complementar las evaluaciones de riesgos en curso y planificadas con respecto a la infraestructura digital y física que sustenta los servicios digitales con evaluaciones de riesgos específicas y opciones para medidas de mitigación relacionadas con los cables de comunicaciones submarinos. Los Estados miembros invitan a la Comisión a realizar estudios con ese fin y compartir sus conclusiones con los Estados miembros.

(dieciséis) Los sectores de la energía y el transporte también pueden verse afectados por amenazas relacionadas con la infraestructura digital, por ejemplo, en relación con las tecnologías energéticas que incorporan componentes digitales. La seguridad de las cadenas de suministro asociadas es importante para la continuidad de la prestación de servicios esenciales y para el control estratégico de la infraestructura crítica en el sector energético. Esas circunstancias deben tenerse en cuenta al tomar medidas para mejorar la resiliencia de la infraestructura crítica de acuerdo con esta Recomendación.

(17) La creciente importancia de la infraestructura espacial, los activos terrestres relacionados con el espacio, incluidas las instalaciones de producción, y los servicios basados en el espacio para actividades relacionadas con la seguridad hace que sea esencial garantizar la resiliencia y la protección del espacio de la Unión y sus activos y servicios relacionados con el suelo dentro de la Unión. Por las mismas razones, también es esencial, en el marco de esta Recomendación, hacer un uso más estructurado de los datos y servicios basados en el espacio, que son proporcionados por los sistemas y programas espaciales para la vigilancia y el seguimiento y para la protección de la infraestructura crítica en otros sectores La próxima Estrategia Espacial de la UE para la Seguridad y la Defensa propondrá acciones apropiadas a este respecto, que deben tenerse en cuenta al implementar esta Recomendación.

(18) También se necesita cooperación a nivel internacional para abordar de manera efectiva los riesgos para la infraestructura crítica, entre otros, en aguas internacionales. Por lo tanto, se invita a los Estados miembros a cooperar con la Comisión y el Alto Representante para tomar ciertas medidas para lograr dicha cooperación, teniendo en cuenta que dichas medidas solo deben tomarse de conformidad con sus respectivas funciones y responsabilidades en virtud del Derecho de la Unión, en particular las disposiciones de los Tratados relativas a las relaciones exteriores.

(19) Tal y como establece su Comunicación de 15 de febrero de 2022 titulada 'Contribución de la Comisión a la defensa europea', en apoyo de la Brújula Estratégica para la Seguridad y la Defensa - Por una Unión Europea que proteja a sus ciudadanos, valores e intereses, y contribuya a la paz y la seguridad internacionales, la Comisión evaluará las líneas de base sectoriales de resiliencia híbrida en cooperación con el Alto Representante y los Estados miembros, mediante la identificación de lagunas y necesidades, así como los pasos para abordarlas para 2023. Esa iniciativa debería informar el trabajo en el marco de esta Recomendación, ayudando a fortalecer el intercambio de información. y la coordinación de acciones para un mayor fortalecimiento de la resiliencia, incluida la de la infraestructura crítica.

(20) La Estrategia de Seguridad Marítima de la UE de 2014 y su Plan de Acción Revisado pedían una mayor protección de las infraestructuras marítimas críticas, incluidas las infraestructuras submarinas y, en particular, el transporte marítimo, la energía y las comunicaciones, entre otras cosas, mejorando la conciencia marítima a través de una mejor interoperabilidad y un intercambio de información simplificado (obligatorio y voluntario). Esa estrategia y ese plan de acción se están actualizando actualmente e incluirán acciones mejoradas que tienen como objetivo proteger la infraestructura marítima crítica. Esas acciones deben complementar esta recomendación.

(21) El fortalecimiento de la resiliencia de las infraestructuras críticas contribuye a esfuerzos más amplios para contrarrestar las amenazas híbridas y las campañas contra la Unión y sus Estados miembros. Esta Recomendación se basa en la Comunicación conjunta al Parlamento Europeo y al Consejo titulada 'Marco conjunto para contrarrestar las amenazas híbridas: una respuesta de la Unión Europea'. La Acción 1 del Marco Conjunto, a saber, la Encuesta de Riesgo Híbrido, desempeña un papel clave en la identificación de vulnerabilidades que pueden afectar a las estructuras y redes nacionales y paneuropeas. Además, la implementación de las Conclusiones del Consejo del 21 de junio de 2022 sobre un Marco para una respuesta coordinada de la UE a las campañas híbridas proporcionará una acción coordinada más fuerte a través de la aplicación de la Caja de herramientas híbrida de la UE en todos los dominios afectados.

HA ADOPTADO ESTA RECOMENDACIÓN:

CAPÍTULO I: OBJETIVO, ALCANCE Y PRIORIZACIÓN

(1) Esta Recomendación establece una serie de acciones específicas a nivel nacional y de la Unión para apoyar y mejorar la resiliencia de las infraestructuras críticas, de forma voluntaria, centrándose en las infraestructuras críticas con una relevancia transfronteriza significativa y en sectores clave identificados, como la energía , infraestructura digital, transporte y espacio. Esas acciones específicas consisten en una mejor preparación, una mejor respuesta y la cooperación internacional.

(2) La información compartida para cumplir los objetivos de la presente Recomendación, que sea confidencial de conformidad con las normas nacionales y de la Unión, así como con las normas sobre confidencialidad comercial, debe intercambiarse con la Comisión y otras autoridades competentes solo cuando dicho intercambio sea necesario para la buena aplicación. de esta Recomendación. Esta Recomendación no afecta a la protección de los intereses esenciales de la seguridad nacional, la seguridad pública o la defensa de los Estados miembros, y no debe esperarse que ningún Estado miembro comparta información que vaya en contra de estos intereses.

CAPÍTULO II: PREPARACIÓN MEJORADA

Acciones a nivel de los Estados miembros

(3) Los Estados miembros deben considerar un enfoque que abarque todos los peligros al actualizar sus evaluaciones de riesgos o sus análisis equivalentes existentes, de acuerdo con la naturaleza evolutiva de las amenazas actuales a su infraestructura crítica, especialmente en sectores clave identificados y, cuando sea posible, en todos los sectores cubiertos por próximo nuevo marco legal aplicable a las entidades críticas.

(4) Se invita a los Estados miembros a acelerar el trabajo preparatorio y adoptar medidas de mejora de la resiliencia, cuando sea posible, según lo dispuesto por el próximo marco jurídico aplicable a las entidades críticas, centrándose especialmente en la cooperación y el intercambio de información pertinente entre los Estados miembros y con la Comisión, sobre la identificación entidades críticas con una relevancia transfronteriza significativa y sobre la mejora del apoyo a las entidades críticas identificadas con el fin de mejorar su resiliencia.

(5) Los Estados miembros deben apoyar la formación y los ejercicios de expertos y el intercambio entre expertos de las mejores prácticas y lecciones aprendidas. Los Estados miembros deben alentar a los expertos a participar en las plataformas de formación existentes, tanto nacionales como internacionales, por ejemplo, en el marco de la UCPM.

(6) Los Estados miembros deben alentar y apoyar a los operadores de infraestructuras críticas, al menos en el sector de la energía, para que realicen pruebas de resistencia, siguiendo los principios comúnmente acordados a nivel de la Unión cuando resulte beneficioso. Las pruebas de estrés deben evaluar la resiliencia de la infraestructura crítica frente a las amenazas antagónicas creadas por el hombre. Por lo tanto, los Estados miembros deben tratar de identificar la infraestructura crítica relevante para probar y consultar con los operadores de infraestructura crítica relevantes lo antes posible, y a más tardar a fines del primer trimestre de 2023. Además, los Estados miembros deben apoyar la infraestructura crítica operadores para que realicen esas pruebas lo antes posible y pretendan completarlas para finales de 2023, de conformidad con la legislación nacional. El Consejo tiene la intención de evaluar la situación de las pruebas de resistencia para finales de abril de 2023.

(7) Debido a la rápida evolución de las amenazas a la infraestructura crítica, mantener su alto nivel de protección es de vital importancia. Se alienta a los Estados miembros a que asignen suficientes recursos financieros para fortalecer las capacidades de sus autoridades nacionales pertinentes y apoyarlas, a fin de poder mejorar la resiliencia de la infraestructura crítica. También se alienta a los Estados miembros a que asignen suficientes recursos financieros a las autoridades responsables de la gestión de incidentes de ciberseguridad a gran escala para apoyarlos, y a garantizar que sus equipos de respuesta a incidentes de seguridad informática (CSIRT) y las autoridades competentes estén completamente movilizados en la Red de CSIRT y EU-CYCLONe, respectivamente.

(8) Se invita a los Estados miembros, de conformidad con los requisitos aplicables, a hacer uso de las posibles oportunidades de financiación a nivel nacional y de la Unión para mejorar ellos mismos la resiliencia de las infraestructuras críticas en la Unión, y también a animar a los operadores de infraestructuras críticas a hacer uso de tales oportunidades de financiación, incluidas, por ejemplo, las redes transeuropeas, contra toda la gama de amenazas significativas, en particular en el marco de los programas financiados por el Fondo de Seguridad Interior establecido por el Reglamento (UE) 2021/1149 del Parlamento Europeo y del Consejo ( ⁶ ) , el Fondo Europeo de Desarrollo Regional establecido por el Reglamento (UE) n.º 1301/2013 del Parlamento Europeo y del Consejo ( ⁷ ), la UCPM y el Plan REPowerEU de la Comisión. También se anima a los Estados miembros a aprovechar al máximo los resultados de los proyectos pertinentes en el marco de programas de investigación, como Horizonte Europa establecido por el Reglamento (UE) 2021/695 del Parlamento Europeo y del Consejo ( ⁸ ) .

(9) En lo que respecta a la infraestructura de redes y comunicaciones en la Unión, se invita al Grupo de Cooperación NIS, actuando de conformidad con el artículo 11 de la Directiva (UE) 2016/1148, a acelerar su trabajo en curso basado en la Llamada Ministerial Conjunta de Nevers sobre un objetivo específico evaluación de riesgos y debe presentar las primeras recomendaciones lo antes posible. Esa evaluación de riesgos debe proporcionar información para la evaluación intersectorial de riesgos cibernéticos en curso y los escenarios solicitados por las conclusiones del Consejo sobre la postura cibernética de la UE. Además, ese trabajo debe llevarse a cabo asegurando la coherencia y la complementariedad con el trabajo realizado por el flujo de trabajo del Grupo de Cooperación NIS sobre seguridad de la cadena de suministro de tecnología de la información y la comunicación, así como por otros grupos relevantes.

(10) También se invita al Grupo de Cooperación NIS, con el apoyo de la Comisión y ENISA, a continuar su trabajo sobre la seguridad de la infraestructura digital, incluso en relación con la infraestructura submarina, a saber, los cables de comunicaciones submarinos. También se le invita a comenzar su trabajo en el sector espacial, incluso preparando, cuando sea necesario, orientación sobre políticas y metodologías de gestión de riesgos de ciberseguridad basadas en un enfoque de todos los peligros y un enfoque basado en el riesgo para los operadores del sector espacial con el objetivo de aumentar la resiliencia. de infraestructura terrestre que apoya la prestación de servicios basados en el espacio.

(11) Los Estados miembros deben hacer un uso completo de los servicios de preparación para la ciberseguridad que se ofrecen en el programa de apoyo a corto plazo de la Comisión implementado con ENISA, por ejemplo, pruebas de penetración para identificar vulnerabilidades y, en este contexto, se les anima a dar prioridad a las entidades que operan infraestructura crítica en la energía, infraestructura digital y sectores del transporte.

(12) Los Estados miembros deben hacer pleno uso del Centro Europeo de Competencia en Ciberseguridad (ECCC). Los Estados miembros deben alentar a sus Centros Nacionales de Coordinación a involucrarse de manera proactiva con los miembros de la comunidad de ciberseguridad para desarrollar capacidades a nivel nacional y de la Unión para apoyar mejor a los operadores de servicios esenciales.

(13) Es importante que los Estados miembros logren la implementación de las medidas recomendadas en la Caja de herramientas de la UE sobre ciberseguridad 5G y, en particular, que los Estados miembros promulguen restricciones a los proveedores de alto riesgo, considerando que una pérdida de tiempo puede aumentar la vulnerabilidad de las redes en la Unión. , y también reforzar la protección física y no física de partes críticas y sensibles de las redes 5G, incluso a través de estrictos controles de acceso. Además, los Estados miembros, en cooperación con la Comisión, deben evaluar la necesidad de una acción complementaria para garantizar un nivel constante de seguridad y resiliencia de las redes 5G.

(14) Los Estados miembros, junto con la Comisión y ENISA, deben centrarse en la aplicación de las Conclusiones del Consejo de 17 de octubre de 2022 sobre la seguridad de la cadena de suministro de las TIC.

(15) Los Estados miembros deben tener en cuenta el próximo código de red para los aspectos de ciberseguridad de los flujos de electricidad transfronterizos, basándose en la experiencia adquirida con la implementación de la Directiva (UE) 2016/1148 y la orientación relevante producida por el Grupo de Cooperación NIS, especialmente su Documento de referencia sobre medidas de seguridad para Operadores de Servicios Esenciales.

(dieciséis) Los Estados miembros deben desarrollar el uso de Copernicus, Galileo y el Servicio Europeo de Superposición de Navegación Geoestacionaria (EGNOS) para la vigilancia con el fin de compartir información relevante con los expertos convocados de conformidad con el punto 15. Debe hacerse un buen uso de las capacidades que ofrece la Unión Comunicaciones Gubernamentales por Satélite (GOVSATCOM) del Programa Espacial de la Unión para el monitoreo de infraestructura crítica y apoyo a la predicción y respuesta a crisis.

Acciones a nivel de la Unión

(17) Debe reforzarse el diálogo y la cooperación entre los expertos designados de los Estados miembros y con la Comisión, con vistas a mejorar la resiliencia física de las infraestructuras críticas, en particular mediante:

(a) contribuir a la preparación, desarrollo y promoción de herramientas voluntarias comunes para ayudar a los Estados miembros a mejorar dicha resiliencia, incluidas metodologías y escenarios de riesgo;

(b) apoyar a los Estados miembros en la aplicación del nuevo marco jurídico aplicable a las entidades críticas, incluso animando a la Comisión a adoptar el acto delegado de manera oportuna;

(C) respaldar la realización de las pruebas de resistencia a que se refiere el punto 6, sobre la base de principios comunes, comenzando por dichas pruebas centrándose en las amenazas antagónicas provocadas por el hombre en el sector de la energía y, posteriormente, en otros sectores clave, así como apoyando y asesorando en la realización de dichas pruebas de resistencia, previa solicitud de un Estado miembro;

(d) haciendo uso de cualquier plataforma segura, una vez establecida por la Comisión, para recopilar, evaluar y compartir, de forma voluntaria, las mejores prácticas, las lecciones aprendidas de las experiencias nacionales y otra información relacionada con dicha resiliencia.

El trabajo de esos expertos designados debe prestar especial atención a las dependencias intersectoriales y la infraestructura crítica con una relevancia transfronteriza significativa, y debe ser objeto de seguimiento en el Consejo y la Comisión, cuando proceda.

(18) Se anima a los Estados miembros a hacer uso de cualquier apoyo ofrecido por la Comisión, por ejemplo, mediante la preparación de manuales y directrices, como un Manual sobre la protección de infraestructuras críticas y espacios públicos contra sistemas de aeronaves no tripuladas, y herramientas para la evaluación de riesgos. Se invita al SEAE, en particular a través del Centro de Inteligencia y Situación de la UE y su Célula de Fusión Híbrida, con el apoyo de la Dirección de Inteligencia de EUMS en el marco del SIAC, a realizar sesiones informativas sobre las amenazas a la infraestructura crítica en la Unión para mejorar la situación. conciencia.

(19) Los Estados miembros deben apoyar las acciones emprendidas por la Comisión para aprovechar los resultados de los proyectos sobre la resiliencia de las infraestructuras críticas financiados en el marco de los programas de investigación e innovación de la Unión. El Consejo toma nota de la intención de la Comisión de aumentar, dentro del presupuesto asignado a Horizonte Europa en el marco financiero plurianual 2021-2027, la financiación de dicha resiliencia, sin perjuicio de la financiación de otros proyectos de investigación e innovación relacionados con la seguridad civil en el marco de Horizonte Europa .

(20) Debido a la tarea estipulada en las Conclusiones del Consejo sobre la postura cibernética de la UE, se invita a la Comisión, el Alto Representante y el Grupo de Cooperación NIS a intensificar, de conformidad con sus respectivas tareas y responsabilidades en virtud del Derecho de la Unión, el trabajo con las redes pertinentes y los organismos civiles y cuerpos y agencias militares en la realización de evaluaciones de riesgos y la construcción de escenarios de riesgo de ciberseguridad, teniendo en cuenta en particular la importancia de la energía, la infraestructura digital, el transporte y la infraestructura espacial y las interdependencias entre sectores y Estados miembros. Ese ejercicio debe tener en cuenta los riesgos relacionados con la infraestructura de la que dependen esos sectores. Cuando sea beneficioso, la evaluación de riesgos y los escenarios podrían llevarse a cabo de forma regular y deberían complementar,

(21) Se invita a la Comisión a acelerar sus actividades, de conformidad con sus respectivas tareas en el marco de la gestión de crisis cibernéticas, para apoyar la preparación y respuesta de los Estados miembros a los incidentes de ciberseguridad a gran escala y, en particular, para:

(a) llevar a cabo, a fin de complementar las evaluaciones de riesgos pertinentes en el contexto de la seguridad de las redes y de la información, un estudio completo ( ⁹ ) en el que se haga un balance de la infraestructura submarina, a saber, los cables de comunicaciones submarinos, que conectan a los Estados miembros y a Europa en todo el mundo, cuyos resultados debe compartirse con los Estados miembros;

(b) apoyar la preparación y respuesta de los Estados miembros y las instituciones, organismos y agencias de la Unión ante incidentes de ciberseguridad a gran escala o incidentes graves, de conformidad con el marco jurídico reforzado en materia de ciberseguridad y otras normas pertinentes aplicables ( ¹⁰ ) ;

(C) acelerar el concepto principal del Fondo de Emergencia Cibernética con una discusión adecuada con los Estados miembros.

(22) Se anima a la Comisión a: intensificar el trabajo sobre acciones anticipatorias con visión de futuro, incluida la colaboración con los Estados miembros en virtud de los artículos 6 y 10 de la Decisión 1313/2013/UE, y en forma de planificación de contingencia para apoyar el Centro de Coordinación de la Respuesta a Emergencias (ERCC) preparación operativa y respuesta a las interrupciones de la infraestructura crítica; aumentar las inversiones en enfoques preventivos y preparación de la población; y aumentar el apoyo relacionado con el desarrollo de capacidades en el marco de la Red de conocimientos sobre protección civil de la Unión.

(23) La Comisión debe fomentar el uso de los medios de vigilancia de la Unión (Copernicus, Galileo y EGNOS) para ayudar a los Estados miembros a supervisar infraestructuras críticas y sus alrededores inmediatos, cuando proceda, y apoyar otras opciones de vigilancia previstas en el Programa Espacial de la Unión, como como la conciencia de la situación espacial y los marcos de seguimiento y vigilancia espacial de la UE.

(24) Cuando proceda y de conformidad con sus respectivos mandatos, se invita a las agencias de la Unión y otros organismos pertinentes a prestar apoyo en asuntos relacionados con la resiliencia de las infraestructuras críticas, en particular de la siguiente manera:

(a) la Agencia de la Unión Europea para la Cooperación Policial (EUROPOL) sobre recopilación de información, análisis criminal y apoyo a la investigación en acciones policiales transfronterizas y, cuando sea relevante y apropiado, compartir los resultados con los Estados miembros;

(b) la Agencia Europea de Seguridad Marítima (EMSA) en asuntos relacionados con la protección y la seguridad del sector marítimo en la Unión, incluidos los servicios de vigilancia marítima para asuntos relacionados con la protección y la protección marítimas;

(C) la Agencia de la Unión Europea para el Programa Espacial (EUSPA) y el Centro de Satélites de la UE (SatCen) pueden ayudar a través de operaciones dentro del Programa Espacial de la Unión;

(d) el ECCC en lo que respecta a las actividades relacionadas con la ciberseguridad, también en cooperación con ENISA, podría apoyar la innovación y la política industrial en ciberseguridad.

CAPÍTULO III: RESPUESTA MEJORADA

Acciones a nivel de los Estados miembros

(25) Se invita a los Estados miembros a:

(a) continuar la coordinación de su respuesta, cuando corresponda, y mantener la visión general de la respuesta intersectorial a las interrupciones agudas de los servicios esenciales proporcionados por la infraestructura crítica. Esto podría hacerse en el marco de: un Plan futuro sobre una respuesta coordinada a las interrupciones de la infraestructura crítica con una relevancia transfronteriza significativa; los arreglos existentes de Respuesta Política Integrada a las Crisis (IPCR) para la coordinación de la respuesta política cuando se trata de infraestructura crítica con relevancia transfronteriza; el Plan sobre incidentes y crisis de ciberseguridad a gran escala en virtud de la Recomendación (UE) 2017/1584 de la Comisión ( ¹¹ ); EU-CYCLON; en el Marco para una respuesta coordinada de la UE a las campañas híbridas y la Caja de herramientas híbrida de la UE en el caso de amenazas y campañas híbridas; y en el Sistema de Alerta Rápida en caso de desinformación;

(b) aumentar el intercambio de información a nivel operativo con el ERCC en el contexto del UCPM con el fin de mejorar la alerta temprana y coordinar su respuesta en el marco del UCPM en caso de interrupciones de infraestructura crítica con una relevancia transfronteriza significativa, garantizando así una Unión- reacción facilitada cuando sea necesario;

(C) aumentar su preparación para responder, en su caso, a través de herramientas existentes o por desarrollar a tales interrupciones significativas mencionadas en el punto (a);

(d) participar en el desarrollo de capacidades de respuesta relevantes en el Fondo Europeo de Protección Civil (ECPP) y rescEU;

(mi) alentar a los operadores de infraestructuras críticas y a las autoridades nacionales pertinentes a que mejoren sus capacidades para poder restaurar rápidamente un rendimiento básico de los servicios esenciales proporcionados por dichos operadores de infraestructuras críticas;

(F) alentar a los operadores de infraestructuras críticas, cuando reconstruyan su infraestructura crítica, a construirla para que sea lo más resistente posible, teniendo en cuenta la proporcionalidad de las medidas con respecto a las evaluaciones de riesgo y los costos, a la gama completa de riesgos significativos que pueden aplicarse, incluidos en escenarios climáticos adversos.

(26) Se invita a los Estados miembros a acelerar el trabajo preparatorio, cuando sea posible, según lo dispuesto por el marco legal reforzado sobre ciberseguridad, con el objetivo de mejorar las capacidades de los CSIRT nacionales, en vista de las nuevas tareas de los CSIRT, así como del mayor número de entidades de nuevos sectores. , revisando y actualizando sus estrategias de ciberseguridad de manera oportuna y adoptando lo antes posible planes nacionales de respuesta a incidentes y crisis de ciberseguridad, si aún no existen.

(27) Se invita a los Estados miembros a considerar, a nivel nacional, los medios más relevantes para garantizar que las partes interesadas relevantes sean conscientes de la necesidad de promover la resiliencia de la infraestructura crítica mediante la cooperación con proveedores y socios de confianza. Es importante invertir en capacidad adicional, especialmente en los sectores donde la infraestructura actual está al final de su vida útil, por ejemplo, la infraestructura de cables de comunicaciones submarinos, para poder garantizar la continuidad de la provisión de servicios esenciales en caso de interrupciones. y para reducir las dependencias no deseadas.

(28) Se alienta a los Estados miembros a que presten atención a la comunicación estratégica proactiva a nivel nacional en el contexto de contrarrestar amenazas y campañas híbridas, y dada la posibilidad de que los adversarios intenten involucrarse en la manipulación e interferencia de información extranjera dando forma a las narrativas en torno a incidentes dirigidos a infraestructuras críticas.

Acciones a nivel de la Unión

(29) Se invita a la Comisión a trabajar en estrecha colaboración con los Estados miembros para seguir desarrollando los organismos, los instrumentos y las capacidades de respuesta pertinentes, con vistas a mejorar la preparación operativa para hacer frente a los efectos inmediatos e indirectos de las interrupciones significativas de los servicios esenciales pertinentes prestados por infraestructuras críticas, en particular expertos y recursos disponibles a través del ECPP y rescEU bajo el UCPM o futuros Equipos Híbridos de Respuesta Rápida.

(30) Teniendo en cuenta la evolución del panorama de las amenazas y en cooperación con los Estados miembros, se invita a la Comisión en el contexto del MPUC a:

(a) analizar y probar continuamente la adecuación y la preparación operativa de las capacidades de respuesta existentes;

(b) monitorear regularmente e identificar brechas de capacidad de respuesta potencialmente significativas en las capacidades del ECPP y rescEU;

(C) intensificar aún más la colaboración intersectorial para garantizar una respuesta adecuada a nivel de la Unión y organizar formaciones o ejercicios regulares para poner a prueba dicha colaboración en cooperación con uno o más Estados miembros;

(d) desarrollar aún más el ERCC como el centro de emergencia intersectorial a nivel de la Unión para la coordinación del apoyo a los Estados miembros afectados.

(31) El Consejo se compromete a iniciar los trabajos con miras a aprobar un Plan de respuesta coordinada a las interrupciones de infraestructuras críticas con una relevancia transfronteriza significativa, que describa y establezca los objetivos y modos de cooperación entre los Estados miembros y las instituciones y órganos de la Unión. , oficinas y agencias para responder a incidentes contra dicha infraestructura crítica. El Consejo espera con interés el borrador de la Comisión para dicho Plan, basándose en el apoyo y las contribuciones de las agencias pertinentes de la Unión. El Plan será totalmente coherente e interoperable con el protocolo operativo revisado de la Unión para contrarrestar las amenazas híbridas («Libro de estrategias de la UE») y tendrá en cuenta el Plan actual sobre la respuesta coordinada a incidentes de ciberseguridad transfronterizos a gran escala ( ¹²) y crisis y mandato EU-CYCLONe estipulado en la Directiva NIS2 y evitar la duplicación de estructuras y actividades. Ese Plan debe respetar plenamente los arreglos IPCR existentes para la coordinación de la respuesta.

(32) Se invita a la Comisión a consultar con las partes interesadas y los expertos pertinentes sobre las medidas apropiadas en relación con posibles incidentes significativos relacionados con la infraestructura submarina, que se presentarán junto con el estudio de balance al que se hace referencia en el punto 20, letra a), así como para seguir elaborando planificación de contingencia, escenarios de riesgo y objetivos de resiliencia ante catástrofes de la Unión establecidos en la Decisión n.º 1313/2013/UE.

CAPÍTULO IV: COOPERACIÓN INTERNACIONAL

Acciones a nivel de los Estados miembros

(33) Los Estados miembros deben cooperar, cuando proceda y de conformidad con el Derecho de la Unión, con los terceros países pertinentes en lo que respecta a la resiliencia de las infraestructuras críticas con una relevancia transfronteriza significativa.

(34) Se alienta a los Estados miembros a cooperar con la Comisión y el Alto Representante para abordar de manera efectiva los riesgos para las infraestructuras críticas en aguas internacionales.

(35) Se invita a los Estados miembros a contribuir, en cooperación con la Comisión y el Alto Representante, al desarrollo y la implementación acelerados de la caja de herramientas híbrida de la UE y las directrices de implementación mencionadas en las conclusiones del Consejo de 21 de junio de 2022 sobre un marco para una respuesta coordinada de la UE. a las campañas híbridas y utilizarlas posteriormente, con el fin de dar pleno efecto al Marco para una respuesta coordinada de la UE a las campañas híbridas, en particular al considerar y preparar respuestas de la Unión globales y coordinadas a las campañas híbridas y las amenazas híbridas, incluidas las dirigidas contra los operadores de infraestructuras críticas.

Acciones a nivel de la Unión

(36) Se invita a la Comisión y al Alto Representante a apoyar, cuando proceda y de conformidad con sus funciones y responsabilidades respectivas en virtud del Derecho de la Unión, a los terceros países pertinentes para mejorar la resiliencia de las infraestructuras críticas en su territorio y, en particular, las infraestructuras críticas que están conectadas físicamente a sus territorios. territorio y el de un Estado miembro.

(37) La Comisión y el Alto Representante, en consonancia con sus respectivas funciones y responsabilidades con arreglo al Derecho de la Unión, reforzarán la coordinación con la OTAN sobre la resiliencia de las infraestructuras críticas de interés común a través del diálogo estructurado UE-OTAN sobre resiliencia, respetando plenamente los derechos de la Unión y los Estados miembros. Competencias de los Estados de conformidad con los Tratados y los principios clave que guían la cooperación UE-OTAN según lo acordado por el Consejo Europeo, en particular la reciprocidad, la inclusión y la autonomía en la toma de decisiones. En este contexto, esa cooperación se impulsará dentro del Diálogo Estructurado UE-OTAN sobre Resiliencia, integrado en el mecanismo existente de personal a personal para la implementación de las Declaraciones Conjuntas, al tiempo que se garantiza la total transparencia y la participación de todos los Estados miembros.

(38) Se invita a la Comisión a considerar la participación de representantes de los terceros países pertinentes, cuando sea necesario y apropiado, en el marco de la cooperación y el intercambio de información entre los Estados miembros en el ámbito de la resiliencia de las infraestructuras críticas conectadas físicamente al territorio de un miembro Estado y el de un tercer país.

Hecho en Bruselas, el 8 de diciembre de 2022.

para el Consejo

El presidente

V. RAKUŠAN

( ¹ ) Los Estados miembros deben evaluar dicha pertinencia de acuerdo con sus prácticas nacionales y pueden hacerlo sobre la base, entre otros factores, de una evaluación del riesgo y del impacto y la naturaleza del evento.

( ² ) Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección ( DO L 345 de 23.12.2008, p . 75 ).

( ³ ) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, sobre medidas para un alto nivel común de seguridad de las redes y los sistemas de información en toda la Unión ( DO L 194 de 19.7.2016, p. 1 ).

( ⁴ ) Decisión no 1313/2013/UE del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, relativa a un Mecanismo de Protección Civil de la Unión ( DO L 347 de 20.12.2013, p. 924 ).

( ⁵ ) Reglamento (UE) 2021/696 del Parlamento Europeo y del Consejo, de 28 de abril de 2021, por el que se crea el Programa Espacial de la Unión y la Agencia de la Unión Europea para el Programa Espacial y se deroga el Reglamento (UE) n.º 912/2010, (UE) n.º 1285/2013 y (UE) n.º 377/2014 y Decisión n.º 541/2014/UE ( DO L 170 de 12.5.2021, p. 69 ).

( ⁶ ) Reglamento (UE) 2021/1149 del Parlamento Europeo y del Consejo, de 7 de julio de 2021, por el que se crea el Fondo de Seguridad Interior ( DO L 251 de 15.7.2021, p. 94 ).

( ⁷ ) Reglamento (UE) n.º 1301/2013 del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, por el que se establece el Fondo Europeo de Desarrollo Regional y disposiciones específicas relativas al objetivo de inversión para el crecimiento y el empleo y por el que se deroga el Reglamento (CE) n.º 1080/ 2006 ( DO L 347 de 20.12.2013, p. 289 ).

( ⁸ ) Reglamento (UE) 2021/695 del Parlamento Europeo y del Consejo, de 28 de abril de 2021, por el que se establece Horizonte Europa - Programa Marco de Investigación e Innovación, se establecen sus normas de participación y difusión y se derogan los Reglamentos (UE) n. 1290/2013 y (UE) n.º 1291/2013 ( DO L 170 de 12.5.2021, p. 1 ).

( ⁹ ) Este estudio debe incluir el mapeo de sus capacidades y redundancias, vulnerabilidades, amenazas y riesgos para la disponibilidad del servicio, el impacto del tiempo de inactividad de los cables submarinos (transatlánticos) para los Estados miembros y la Unión en su conjunto y la mitigación del riesgo, teniendo en cuenta en cuenta la sensibilidad de dicha información y la necesidad de protegerla.

( ¹⁰ ) También debe prestarse especial atención a todas las actividades de preparación para una respuesta coordinada eficaz a nivel de la Unión en caso de un ciberincidente transfronterizo importante o una amenaza conexa que pueda tener un impacto sistémico en el sector financiero de la Unión, según lo dispuesto por el nuevo marco legal sobre resiliencia operativa digital.

( ¹¹ ) Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a incidentes y crisis de ciberseguridad a gran escala ( DO L 239 de 19.9.2017, p. 36 ).

( ¹² ) Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a incidentes y crisis de ciberseguridad a gran escala.

Derecho y NBIC

viernes, 20 de enero de 2023

REFUERZO DE LA RESILIENCIA DE LAS INFRAESTRUCTURAS CRITICAS: ENERGIA, DIGITAL, TRANSPORTE, ESPACIO - RECOMENDACION DEL CONSEJO EUROPEO

________________________________________________________

No hay comentarios:

Publicar un comentario