viernes, 29 de septiembre de 2023

DICTAMEN EUROPEO SOBRE SERVICIOS DE SEGURIDAD GESTIONADOS.

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

 

cferreyros@hotmail.com

RESUMEN

El Comité Económico y Social Europeo, CESE, acoge favorablemente la propuesta del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados[1] y sobre la propuesta del Reglamento Europeo y del Consejo por la que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos.

Entre sus principales Conclusiones y Recomendaciones, el CESE considera tambien que la coordinación de la UE es vital para abordar la actual fragmentación del mercado y mejorar la cooperación entre las partes interesadas públicas y privadas de la Unión con vistas a mejorar la prevención, la detección y la capacidad de respuesta en lo que respecta a las ciberamenazas. El CESE recomienda que la propuesta preste mayor atención al respeto de los principios de subsidiariedad y proporcionalidad, de conformidad con el artículo 4, apartado 2, del Tratado de la Unión Europea (TUE).

El Comité reconoce los esfuerzos de la Comisión Europea en el ámbito de la ciberseguridad y hace hincapié en que una respuesta global a los ciberincidentes debe incluir no solo capacidades y procesos, sino también elementos de hardware y software. Es necesaria una estrategia a medio plazo para lograr la autonomía estratégica en tecnologías clave y sectores críticos, apoyando a las empresas con sede en la UE a medida que establecen instalaciones de investigación y producción. El CESE hace hincapié en la importancia crucial de adquirir únicamente tecnología de la UE para equipar los centros de operaciones de seguridad (COS) nacionales con tecnologías de vanguardia.

El CESE expresa su preocupación por el hecho de que, cuatro años después de la adopción de la Ley de Ciberseguridad de la UE, no se haya aprobado ningún esquema de ciberseguridad ni se haya certificado la ciberseguridad de ningún producto. Recomienda la participación de las agencias sectoriales de la UE en el desarrollo de esquemas de ciberseguridad y la adopción de una norma mínima de la UE en colaboración con el CEN, el Cenelec y el ETSI, que regule, entre otros elementos, los dispositivos de «internet de las personas» (IoP) y la internet de las cosas.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

 



[1] Los servicios de seguridad gestionados (MSS) son servicios de ciberseguridad para dispositivos y redes completas, tanto públicas como privadas. Estos servicios los operan proveedores externos, normalmente según un modelo basado en el consumo, e incluyen medidas de seguridad como cortafuegos y detección y análisis de intrusiones en tiempo real.

____________________________________________________


Dictamen del Comité Económico y Social Europeo sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados

[COM(2023) 208 final] — 2023/0108 (COD)

y sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos

[COM(2023) 209 final] — 2023/0109 (COD)

(2023/C 349/25)

Ponente:

Dumitru FORNEA

Coponente:

Alberto MAZZOLA

Consulta

Parlamento Europeo, 1.6.2023

 

Consejo de la Unión Europea, 7.6.2023

Base jurídica

Artículo 114, artículo 173, apartado 3, y artículo 304 del Tratado de Funcionamiento de la Unión Europea

Órgano competente

Comisión Consultiva de las Transformaciones Industriales

Aprobado en el pleno

13.7.2023

Pleno n.o

580

Resultado de la votación

(a favor/en contra/abstenciones)

174/0/1

1. Conclusiones y recomendaciones

1.1. El Comité Económico y Social Europeo (CESE) acoge favorablemente la propuesta de Reglamento (1) y considera que la coordinación de la UE es vital para abordar la actual fragmentación del mercado y mejorar la cooperación entre las partes interesadas públicas y privadas de la Unión con vistas a mejorar la prevención, la detección y la capacidad de respuesta en lo que respecta a las ciberamenazas. El CESE recomienda que la propuesta preste mayor atención al respeto de los principios de subsidiariedad y proporcionalidad, de conformidad con el artículo 4, apartado 2, del Tratado de la Unión Europea (TUE).

1.2. El Comité reconoce los esfuerzos de la Comisión Europea en el ámbito de la ciberseguridad y hace hincapié en que una respuesta global a los ciberincidentes debe incluir no solo capacidades y procesos, sino también elementos de hardware y software. Sin embargo, el CESE se opone a las numerosas competencias de ejecución propuestas por el Reglamento, especialmente porque la ciberseguridad sigue siendo una prerrogativa de los Estados miembros.

1.3. Es necesaria una estrategia a medio plazo para lograr la autonomía estratégica en tecnologías clave y sectores críticos, apoyando a las empresas con sede en la UE a medida que establecen instalaciones de investigación y producción. El CESE hace hincapié en la importancia crucial de adquirir únicamente tecnología de la UE para equipar los centros de operaciones de seguridad (COS) nacionales con tecnologías de vanguardia.

1.4. El CESE expresa su preocupación por el hecho de que, cuatro años después de la adopción de la Ley de Ciberseguridad de la UE (2), no se haya aprobado ningún esquema de ciberseguridad ni se haya certificado la ciberseguridad de ningún producto. Recomienda la participación de las agencias sectoriales de la UE (3) en el desarrollo de esquemas de ciberseguridad y la adopción de una norma mínima de la UE en colaboración con el CEN, el Cenelec y el ETSI, que regule, entre otros elementos, los dispositivos de «internet de las personas» (IoP) y la internet de las cosas (IoT).

1.5. El CESE acoge favorablemente el refuerzo del papel de la ENISA en la propuesta y pide personal designado y una asignación presupuestaria adecuada para todas las actividades adicionales, a fin de que la ENISA pueda desempeñar su importante papel estratégico en consonancia con las ambiciones de la UE en materia de ciberseguridad.

1.6. Los Estados miembros deben alcanzar un consenso sobre la adopción de un enfoque integral en materia de ciberseguridad que incluya personal cualificado, procesos aplicados de manera coherente y tecnologías adecuadas de vanguardia, haciendo especial hincapié en la mejora de la cooperación con el sector privado. Una vinculación y cooperación sólidas entre el sector de la defensa y el sector privado son fundamentales.

1.7. Las especificaciones técnicas de la futura infraestructura informática deben permitir una interoperabilidad sin fisuras entre los sistemas nacionales y el Ciberescudo de la UE. Los COS nacionales también deben estar preparados para llevar a cabo pruebas de resistencia nacionales sobre infraestructuras críticas y compartir los resultados en el marco del Ciberescudo de la UE.

1.8. El Comité propone que el COS que coordine cada consorcio tenga un mandato de un año en el marco de un sistema común de rotación. La financiación de la UE para el consorcio anfitrión debería cubrir el 100 % de los costes de adquisición de las herramientas e infraestructuras, y el 50 % de los costes de funcionamiento (frente a los porcentajes propuestos, del 75 % y el 50 %, respectivamente).

1.9. Dado que la escasez de capacidades en materia de ciberseguridad ha aumentado en los últimos años, el Comité acoge con satisfacción la iniciativa de la Academia de Capacidades en materia de Ciberseguridad y considera que se necesitan indicadores que midan los avances en la reducción de las carencias de capacidades en dicha materia.

1.10. El CESE señala que la Comisión Europea no ha facilitado una estimación precisa de costes para los programas, las tecnologías de análisis de datos y los proyectos de desarrollo de infraestructuras necesarios. Considera que las fuentes de financiación propuestas a nivel de la UE son inadecuadas e insta a que se estudien fuentes adicionales, incluida la puesta en común de recursos financieros privados.

1.11. El procedimiento descrito para solicitar el apoyo de la Reserva de Ciberseguridad de la UE resulta farragoso y carece de plazos claros de respuesta. El Comité subraya la necesidad de una respuesta extremadamente rápida en caso de ciberincidente.

1.12. El CESE pide que la Comisión Europea aclare la definición de «cantidad significativa de datos», mencionada en el artículo 6, apartado 2, letra a), del Reglamento, así como los «objetivos» a que se refiere la letra c) del mismo apartado.

1.13. El Comité considera crucial que la UE participe en los debates a escala mundial sobre el establecimiento de una estrategia internacional de ciberseguridad. Es fundamental investigar rápidamente los ciberataques y exigir responsabilidades a sus autores, también a través de canales diplomáticos en los casos que se produzcan fuera del territorio de la UE.

1.14. El CESE lamenta que los interlocutores sociales y las organizaciones de la sociedad civil no se mencionen ni una sola vez en el documento y hace hincapié en que lograr una mayor cooperación entre las entidades públicas y privadas requiere la plena participación de la sociedad civil organizada de la UE.

1.15. El Comité propone que el informe al Parlamento Europeo y al Consejo se presente dos años después de la fecha de aplicación del Reglamento (y no cuatro como propone la Comisión), junto con la evaluación de impacto que debería acompañar al Reglamento. El CESE insiste en la necesidad de aplicar tanto medidas precisas en materia de rendimiento centradas en la consecución de resultados como indicadores clave de rendimiento que evalúen los resultados.

2. Observaciones preliminares

2.1. El cambio constante, el anonimato y la falta de límites en el ciberespacio presentan tanto oportunidades como riesgos para el funcionamiento de la sociedad de la información a nivel individual, estatal y transnacional.

2.2. Debido al claro potencial de que los ciberincidentes se propaguen rápidamente de un Estado miembro a otro, la UE se enfrenta a riesgos cada vez mayores en materia de ciberseguridad y a un panorama de amenazas complejas. La coordinación de la UE es esencial para superar la fragmentación existente y promover una cooperación más sólida entre los Estados miembros.

2.3. El mercado único de la UE necesita una interpretación y una aplicación homogéneas de las normas en materia de ciberseguridad, aunque deben preverse enfoques diferentes para determinados sectores debido a su modo de funcionamiento.

2.4. Para dar una respuesta rápida y eficaz a cualquier incidente de ciberseguridad, es fundamental disponer de un sistema rápido de intercambio de información entre todas las partes interesadas pertinentes a escala nacional y de la UE. Esto, a su vez, requiere una comprensión clara de las funciones y responsabilidades de cada parte.

2.5. El Comité reconoce los esfuerzos de la Comisión Europea en el ámbito de la ciberseguridad y valora positivamente el gran número de comunicaciones y propuestas que se centran en la construcción de un marco de la UE más sólido, la cooperación reforzada, la resiliencia y el fomento de la disuasión. Europa necesita una cibertecnología puntera, con un fuerte vínculo entre el sector de la defensa y el privado, con el fin de movilizar los presupuestos de defensa y crear productos informáticos para uso tanto militar como civil. El Comité destaca que la respuesta necesaria en caso de ciberincidentes debe abarcar no solo las capacidades y los procesos, sino también los aspectos de hardware y software.

2.6. La propuesta de Reglamento también pone en práctica la Estrategia de Ciberseguridad de la UE, que se adoptó en diciembre de 2020 y anunció la creación de un Ciberescudo Europeo para reforzar las capacidades de detección de amenazas para la ciberseguridad y de intercambio de información en toda la UE.

2.7. A medida que se va desarrollando el Ciberescudo Europeo, la Comisión Europea propone una futura colaboración gradual con las redes y plataformas responsables del intercambio de información en la comunidad de ciberdefensa, en estrecha cooperación con el Alto Representante.

2.8. La agresión militar de Rusia contra Ucrania ha puesto de manifiesto cómo las ciberoperaciones de ataque pueden constituir un elemento crucial de las tácticas híbridas que implican coerción, desestabilización y perturbaciones económicas.

3. Observaciones generales

3.1. El CESE acoge con satisfacción la propuesta de Reglamento, que pretende abordar la actual fragmentación del mercado y acelerar la colaboración entre las partes interesadas europeas de los sectores público y privado con el fin de mejorar la prevención, la detección y la respuesta en lo que respecta a las ciberamenazas. Su aplicación podrá contribuir a aumentar la resiliencia de los sistemas europeos.

3.2. Sin embargo, cabe señalar que los mismos objetivos establecidos en la propuesta se destacaban ya en la propuesta de la unidad informática conjunta (4), a saber, el aumento de la cooperación, la preparación y la resiliencia de los sistemas informáticos de la UE. Aunque se esperaba que la unidad informática conjunta fuera operativa al finalizar 2022, no se menciona ni una sola vez en la propuesta de la Comisión.

3.3. Ninguna tecnología o herramienta puede facilitar por sí sola una protección completa contra las ciberamenazas, por lo que los Estados miembros deben consensuar un enfoque integral en relación con la seguridad que englobe personal cualificado, procesos aplicados de forma coherente y tecnologías adecuadas de vanguardia. Debe hacerse hincapié en mejorar la cooperación con el sector privado.

3.4. El CESE expresa su decepción por el hecho de que los interlocutores sociales y las organizaciones de la sociedad civil no se mencionen ni una sola vez en el documento. La cooperación reforzada entre organizaciones públicas y privadas no puede lograrse sin la plena participación de la sociedad civil organizada de la UE.

3.5. La UE debería adoptar una estrategia a medio plazo para lograr la autonomía estratégica en tecnologías clave y sectores críticos, y el CESE recomienda que se apoye a las empresas con sede en la UE en la creación de instalaciones de investigación y producción para apoyar un ecosistema informático autónomo. El CESE ya ha indicado que «la UE debe reducir su dependencia de gigantes tecnológicos no pertenecientes a la UE redoblando sus esfuerzos para desarrollar una economía digital segura, inclusiva y basada en valores» (5).

3.6. Se acoge con gran satisfacción la propuesta de crear el Ciberescudo Europeo, que estará compuesto por centros de operaciones de seguridad (COS) nacionales y transfronterizos y dotado de tecnologías de vanguardia. Para garantizar la resiliencia de toda la cadena de suministro, las soluciones de los COS no solo deben salvaguardar los recursos organizativos internos, sino también promover intercambios seguros y una cooperación más amplia dentro del ecosistema. Las especificaciones técnicas de la futura infraestructura informática deben permitir una interoperabilidad plena entre los sistemas nacionales y el Ciberescudo de la UE. 

3.7. El CESE hace hincapié en el fundamental aspecto de la adquisición exclusivamente de tecnología basada en Europa para dotar de tecnologías de vanguardia a los miembros que participen en el Ciberescudo de la UE. La UE no puede permitirse el riesgo de adquirir tecnologías informáticas críticas de empresas extranjeras, y «redunda en el interés estratégico de la UE garantizar que esta conserve y desarrolle las capacidades esenciales para garantizar su economía digital, su sociedad y su democracia, y alcanzar la plena soberanía digital como única forma de proteger las tecnologías críticas y prestar servicios clave de ciberseguridad eficaces» (6). 

3.8. El Comité considera que la proporción propuesta para financiar la adquisición de equipos para los COS nacionales (50 % de financiación nacional y 50 % de financiación de la UE), con el mismo equilibrio entre los fondos nacionales y los de la UE, es adecuada. Es necesario un esfuerzo conjunto para garantizar equipos de alta tecnología adecuados y un funcionamiento coordinado de la red de COS.

3.9. Los COS nacionales deben centrarse en el establecimiento de protocolos exhaustivos de evaluación y prueba de la seguridad y llevar a cabo evaluaciones periódicas. También deben estar preparados para llevar a cabo pruebas de resistencia nacionales sobre infraestructuras críticas, a fin de evaluar y mejorar la resiliencia frente a posibles ciberataques. Los resultados deben compartirse en el marco del Ciberescudo Europeo, y son necesarios esfuerzos conjuntos para evaluar los problemas existentes, actualizar las orientaciones sobre problemas de notificación y abordar esos problemas de manera eficaz. 

3.10. El CESE expresa su preocupación por el hecho de que, cuatro años después de la adopción de la Ley de Ciberseguridad de la UE, la Comisión Europea no haya aprobado ningún esquema de ciberseguridad mediante actos de ejecución ni se haya certificado la ciberseguridad de ningún producto. Las agencias sectoriales de la UE deben participar en el proceso de desarrollo de los esquemas de ciberseguridad de la UE y debe adoptarse una norma europea mínima, en cooperación con el CEN, el Cenelec y el ETSI, que englobe también los dispositivos de internet de las personas y la internet de las cosas. 

3.11. La informática y la ciberseguridad deben incluirse en los planes de estudios de enseñanza primaria y secundaria de todos los Estados miembros. Dado que la escasez de capacidades en ciberseguridad ha aumentado en los últimos años, el Comité considera necesario tener en cuenta la posibilidad de introducir incentivos en apoyo de esta iniciativa. El Comité acoge favorablemente la iniciativa de la Academia de Capacidades en materia de Ciberseguridad y considera que se necesitan indicadores que midan los avances en la reducción de las carencias de competencias en dicha materia. 

3.12. La economía digital se enfrenta a una amenaza creciente de ciberataques en todo el mundo, a menos que se refuerce la cooperación internacional entre países, industria y expertos para establecer definiciones y soluciones comunes de ciberseguridad. La cooperación internacional es vital para comprender los riesgos informáticos y la naturaleza cambiante de los ciberataques mundiales, garantizando así la preparación para abordarlos. La UE debe participar en debates de escala mundial sobre el establecimiento de una estrategia internacional de ciberseguridad, con esfuerzos internacionales comunes y una cooperación reforzada. 

3.13. Para establecer una disuasión eficaz, es esencial mejorar la respuesta penal de la UE, concentrándose en la detección, la trazabilidad y el enjuiciamiento de los ciberdelincuentes. Es fundamental investigar los ciberataques con celeridad y llevar a sus autores ante la justicia, utilizando también medios diplomáticos en los casos que se produzcan fuera de la UE.

4. Observaciones particulares 

4.1. El CESE observa que existe una divergencia de visiones en lo que respecta a una actuación más centralizada a escala de la UE y a las competencias y la jurisdicción de los Estados miembros, y cuestiona el acuerdo final sobre la propuesta, especialmente por el hecho de que los Estados miembros dejaron claro en las Conclusiones del Consejo de 2021 (7) que la responsabilidad de responder a los incidentes y crisis importantes de ciberseguridad que afectan a sus países recae en ellos. 

4.2. El CESE valora positivamente el papel reforzado de la ENISA y la propuesta de responsabilidades adicionales que esta asumiría una vez adoptado el Reglamento. No obstante, el Comité señala que cualquier actividad adicional para la ENISA debe contar con personal específico designado para las tareas y tener asignado el presupuesto adecuado. A menos que se resuelva esta cuestión, el papel estratégico clave de la ENISA no puede cumplirse en consonancia con las ambiciones de la UE en el ámbito de la ciberseguridad. 

4.3. El CESE considera que la propuesta de la Comisión no deja claro si un COS nacional puede formar parte de más de un COS transfronterizo. Además, tampoco está claro si el agrupamiento de los COS nacionales se hará con arreglo a criterios geográficos o simplemente basándose en la voluntad libre de los Estados miembros. 

4.4. El CESE pide que se aclare el significado de «cantidad significativa de datos» en el artículo 6, apartado 2, letra a), del Reglamento y cuáles son los «objetivos» a los que hace referencia la Comisión en la letra c) del mismo apartado.

4.5. En caso de que los Estados miembros refrenden la propuesta de COS transfronterizos, y a fin de garantizar la plena participación de los COS nacionales y la gestión compartida con los COS transfronterizos, el COS coordinador de cada consorcio debería tener un mandato de un año, de forma que todos los COS tendrían la oportunidad de coordinar el liderazgo mediante un sistema de rotación. 

4.6. El Comité considera que la financiación de la UE para el consorcio anfitrión debería ascender al 100 % de los costes de adquisición de las herramientas e infraestructuras y al 50 % de los costes de funcionamiento (frente al 75 % y el 50 %, respectivamente, previstos en la propuesta), con el fin de ayudar a crear los consorcios con mayor rapidez. Debe garantizarse la coordinación en materia de contratación pública. 

4.7. El Comité considera que la eficacia del Ciberescudo de la UE a la hora de ayudar a los Estados miembros a prepararse para los ciberincidentes y responder a ellos requiere medidas de rendimiento específicas que se centren en lograr resultados tangibles e indicadores clave de rendimiento que evalúen los resultados. El CESE recomienda que se registren sistemáticamente las vulneraciones de la ciberseguridad y que esa información se ponga a disposición de las partes con un interés legítimo. Esto permitirá la evaluación, la aplicación de medidas preventivas adecuadas y la protección contra posibles pérdidas. 

4.8. El CESE reconoce y respalda la propuesta de permitir a los Estados miembros solicitar la cobertura de los costes asociados al envío de equipos de expertos en el marco de la asistencia mutua. Si bien debe apoyarse el proceso de asistencia mutua, el mecanismo de solidaridad debe probarse de forma adecuada y gradual para demostrar su eficacia antes de su plena aplicación. 

4.9. El Comité expresa su preocupación por el hecho de que cada vez más gurús tecnológicos internacionales especializados en la inteligencia artificial (IA), como Elon Musk o Geoffrey Hinton, entre otros, adviertan de la amenaza existencial que supone el desarrollo de la IA en un entorno no regulado. La regulación de la IA debe alcanzar mayor profundidad que la que representa la Ley de Inteligencia Artificial (8), y el CESE pide un uso responsable de la tecnología de IA en todos los proyectos de la UE, incluida la ciberseguridad. La continuación del debate y de las mejoras en el marco regulador es una necesidad inaplazable. 

4.10. El CESE ha mencionado ya que «la UE debe adoptar una postura firme contra cualquier tipo de sistema de puntuación ciudadana que vaya en contra de los ciudadanos. El CESE deja claro que la verdadera democracia no puede existir sin una protección eficaz de los datos personales» (9). La protección de los derechos humanos y el derecho de la ciudadanía a la intimidad deben seguir siendo normas esenciales en el desarrollo de sistemas de ciberseguridad mejorados en toda la UE. 

4.11. Los europeos tienen un papel importante que desempeñar en el señalamiento de las ciberamenazas a las autoridades competentes. El CESE considera que es fundamental garantizar unos canales de comunicación adecuados con la ciudadanía y las organizaciones de la sociedad civil, y pide una plataforma específica para recibir información pertinente sobre ciberamenazas. Con el fin de crear herramientas para la interacción con la ciudadanía, el Comité pide que se lleven a cabo campañas de información y sensibilización para promover los instrumentos ya disponibles. 

4.12. La UE y la OTAN deben colaborar para armonizar la ciberseguridad y otros estándares técnicos en el sector de la defensa con el fin de minimizar la burocracia y los obstáculos que esta presenta. Además, la UE y la OTAN deben cooperar en cuanto a normas de contratación pública y establecer conjuntamente un marco de contratación pública eficaz y transparente que permita a las empresas, especialmente a las pymes, participar en licitaciones públicas y competir de forma equitativa. 

4.13. El CESE considera que las fuentes de financiación disponibles a nivel de la UE que se han incluido en la propuesta son insuficientes y pide que se busquen fuentes adicionales, entre ellas la puesta en común de recursos financieros privados. Observa que la Comisión no ha ofrecido una estimación específica de los costes de los programas de IA, tecnologías de análisis de datos y proyectos de desarrollo de infraestructuras en todos los Estados miembros y a escala de la UE que serán necesarios para aplicar las acciones establecidas en el Reglamento. 

4.14. La Comisión propone que se le confieran competencias de ejecución para establecer condiciones uniformes de cara a la aplicación del Reglamento, incluida la especificación de las condiciones de interoperabilidad entre los COS transfronterizos, el establecimiento de disposiciones de procedimiento para el intercambio de información durante los incidentes de ciberseguridad, y la definición de los requisitos técnicos para la seguridad del Ciberescudo Europeo, etc. El CESE considera que todas estas cuestiones deberían haberse aclarado antes y haberse presentado en la propuesta de Reglamento, ya que la ciberseguridad sigue siendo una prerrogativa de los Estados miembros, y la concentración en manos de la Comisión de un poder excesivo para ejercer cambios podría generar tensiones innecesarias al eludir los mecanismos democráticos de la UE. 

4.15. La Ley de Ciberseguridad incluye un componente industrial cuyo objetivo es establecer un mercado unificado de soluciones de ciberseguridad mediante la creación de la Reserva de Ciberseguridad. Sin embargo, el procedimiento para solicitar el apoyo de la Reserva de Ciberseguridad de la UE parece muy lento, sin plazos claros para dar una respuesta. El Comité destaca que la respuesta necesaria en caso de ciberincidente debe ser extremadamente rápida, lo que obviamente no puede conseguirse con ese procedimiento tan prolongado. 

4.16. La Comisión Europea ha explicado que no se llevó a cabo una evaluación de impacto debido al carácter apremiante de la propuesta. También ha propuesto presentar un informe exhaustivo al Parlamento Europeo y al Consejo cuatro años después de la fecha de aplicación del Reglamento. Habida cuenta de la rápida evolución en el ámbito de la ciberseguridad, el CESE considera que el informe debe presentarse dos años después de la fecha de aplicación del Reglamento, junto con la evaluación de impacto que no se ha llevado a cabo en este Reglamento. Además, el CESE recomienda encarecidamente que la propuesta preste mayor atención al respeto de los principios de subsidiariedad y proporcionalidad, de conformidad con el artículo 4, apartado 2, del TUE, lo que resulta importante para evitar tensiones entre la actuación centralizada de la UE y las competencias y la jurisdicción de los Estados miembros. 

4.17. Por último, el CESE hace hincapié en la importancia de integrar las consideraciones relativas a la ciberseguridad en todas las políticas de la UE.

Bruselas, 13 de julio de 2023.

El Presidente del Comité Económico y Social Europeo

Oliver RÖPKE


(1) Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos.

(2) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(3) AESA, AFE, EMA, etc.

(4) La Comisión propone la creación de una unidad informática conjunta para intensificar la respuesta a los incidentes de seguridad a gran escala.

(5) Dictamen del Comité Económico y Social Europeo sobre «Soberanía digital: un pilar fundamental para la digitalización y crecimiento de la UE» (Dictamen de iniciativa) (DO C 75 de 28.2.2023, p. 8).

(6) Dictamen del Comité Económico y Social Europeo sobre la Comunicación Conjunta al Parlamento Europeo y al Consejo: «Política de ciberdefensa de la UE» (Dictamen de iniciativa) (DO C 293 de 18.8.2023, p. 21).

(7) Conclusiones del Consejo de 19 de octubre de 2021 sobre la exploración del potencial de la iniciativa relativa a una Unidad Cibernética Conjunta.

(8) Ley de Inteligencia Artificial de la UE.

(9) Dictamen del Comité Económico y Social Europeo sobre la Comunicación Conjunta al Parlamento Europeo y al Consejo: «Política de ciberdefensa de la UE» (Dictamen de iniciativa) (DO C 293 de 18.8.2023, p. 21).



No hay comentarios:

Publicar un comentario