Por: Carlos A. FERREYROS SOTO
Doctor
en Derecho
Universidad de Montpellier I Francia.
Resumen
Esta Recomendación establece una
serie de acciones específicas a nivel nacional y de la Unión cuyo objeto es
garantizar el funcionamiento del mercado interior a través de la identificación y protección de las infraestructuras criticas
pertinentes que prestan servicios esenciales de ese mercado, especialmente en
sectores claves como energía, infraestructura digital, transporte y espacio, así
como infraestructuras criticas con relevancia transfronteriza significativa. Esas
acciones específicas consisten en una mejor preparación, una mejor respuesta y cooperación internacional.
La información confidencial compartida para cumplir los objetivos de la
presente Recomendación debe ser conforme con las normas nacionales y de la
Unión, así como con las normas sobre confidencialidad comercial, la misma que
debe intercambiarse con la Comisión y otras autoridades competentes sólo cuando
dicho intercambio sea necesario para la buena aplicación. de esta
Recomendación.
Esta Recomendación no afecta a la
protección de los intereses esenciales de la seguridad nacional, la seguridad
pública o la defensa de los Estados miembros.
A fin de acceder a similares normas y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com
________________________________________________________
RECOMENDACIÓN DEL CONSEJO
del 8 de diciembre de 2022
sobre un enfoque coordinado a escala de la Unión para
reforzar la resiliencia de las infraestructuras críticas
(Texto pertinente a efectos del EEE)
(2023/C 20/01)
EL
CONSEJO DE LA UNIÓN EUROPEA,
Visto
el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo
114 y su artículo 292, frases primera y segunda,
Vista
la propuesta de la Comisión Europea,
Mientras
que:
(1) Con el
objetivo de garantizar el funcionamiento del mercado interior, redunda en
interés de todos los Estados miembros y de la Unión en su conjunto identificar
y proteger claramente las infraestructuras críticas pertinentes que prestan
servicios esenciales dentro de ese mercado, especialmente en sectores clave
como el de la energía , infraestructura digital, transporte y espacio, así como
infraestructuras críticas con una relevancia transfronteriza significativa ( 1 ) ,
cuya perturbación podría afectar significativamente a otros Estados miembros.
(2) Esta
Recomendación, que es un acto no vinculante, demuestra la voluntad política de
los Estados miembros de cooperar juntos y su compromiso con las medidas
recomendadas, destacadas en un plan de cinco puntos emitido por el Presidente
de la Comisión Europea, respetando plenamente los Estados miembros Competencias
de los Estados. Esta Recomendación no afecta a la protección de los intereses
esenciales de la seguridad nacional, la seguridad pública o la defensa de los
Estados miembros, y no debe esperarse que ningún Estado miembro comparta
información que vaya en detrimento de dichos intereses.
(3) Si bien
la responsabilidad principal de garantizar la seguridad y la prestación de los
servicios esenciales por parte de las infraestructuras críticas recae en los
Estados miembros y sus operadores de infraestructuras críticas, es adecuada una
mayor coordinación a nivel de la Unión, especialmente a la luz de las amenazas
en evolución que pueden afectar a varios Estados miembros simultáneamente,
tales como la guerra de agresión de Rusia contra Ucrania y las campañas
híbridas contra los Estados miembros, o afectar a la resiliencia y el buen
funcionamiento de la economía, el mercado interior y la sociedad de la Unión en
su conjunto. Debe prestarse especial atención a las infraestructuras críticas
fuera del territorio de los Estados miembros, como las infraestructuras
críticas submarinas o las infraestructuras energéticas en alta mar.
(4) El
Consejo Europeo, en sus conclusiones de 20 y 21 de octubre de 2022, condenó
enérgicamente los actos de sabotaje contra infraestructuras críticas, como los
cometidos contra los oleoductos Nord Stream, indicando la voluntad de la Unión
de hacer frente a cualquier interrupción deliberada de infraestructuras
críticas u otras acciones híbridas. con una respuesta unida y decidida.
(5) En vista
del panorama de amenazas en rápida evolución, las medidas de mejora de la
resiliencia deben tomarse como una cuestión prioritaria en sectores clave como
la energía, la infraestructura digital, el transporte y el espacio, y en otros
sectores relevantes identificados por los Estados miembros. Dichas medidas
deben centrarse en mejorar la resiliencia de la infraestructura crítica
teniendo en cuenta los riesgos relevantes, especialmente los efectos en
cascada, la interrupción de la cadena de suministro, la dependencia, los
impactos del cambio climático, los proveedores y socios poco confiables y las
amenazas y campañas híbridas que incluyen la manipulación e interferencia de
información extranjera. En lo que se refiere a la infraestructura crítica
nacional, en vista de las posibles consecuencias, se debe dar prioridad a la
infraestructura crítica con una relevancia transfronteriza significativa. Se
alienta a los Estados miembros a que proporcionen tales medidas de mejora de la
resiliencia,
(6) La
protección de las infraestructuras críticas europeas en los sectores de la
energía y el transporte está regulada actualmente por la Directiva 2008/114/CE del Consejo ( 2 ) , y
la seguridad de las redes y los sistemas de información en toda la Unión
centrados en las ciberamenazas está garantizada por la Directiva (UE) 2016/1148
del Parlamento Europeo y del Consejo ( 3 ). Con vistas a
garantizar un mayor nivel común de resiliencia y la protección de las
infraestructuras críticas, la ciberseguridad y el mercado financiero, el marco
legal existente se está modificando y complementando con la adopción de nuevas
reglas aplicables a las entidades críticas (la 'Directiva CER') , normas
reforzadas para un elevado nivel común de ciberseguridad en toda la Unión (la
«Directiva NIS2») y nuevas normas aplicables a la resiliencia operativa digital
del sector financiero («DORA»).
(7) Los
Estados miembros deben, de conformidad con la legislación nacional y de la
Unión, utilizar todas las herramientas disponibles para avanzar y ayudar a
fortalecer la resiliencia física y cibernética. A este respecto, debe
entenderse por infraestructura crítica la infraestructura crítica pertinente
identificada por un Estado miembro a nivel nacional o designada como
infraestructura crítica europea en virtud de la Directiva 2008/114/CE, así como
las entidades críticas que se identificarán en virtud de la Directiva CER o, en
su caso, entidades bajo la Directiva NIS2. El concepto de resiliencia debe
entenderse como una referencia a la capacidad de una infraestructura crítica
para prevenir, proteger, responder, resistir, mitigar, absorber, acomodar o
recuperarse de eventos que interrumpen significativamente o tienen el potencial
de interrumpir significativamente la provisión de servicios esenciales en el
mercado interior,
(8) Se debe
convocar a expertos nacionales a fin de coordinar el trabajo para lograr un
mayor nivel común de resiliencia y protección para la infraestructura crítica
que introducirán las nuevas normas aplicables a las entidades críticas. Ese
trabajo coordinado permitiría la cooperación entre los Estados miembros y el
intercambio de información sobre actividades como la elaboración de
metodologías para identificar los servicios esenciales proporcionados por la
infraestructura crítica. La Comisión ya ha comenzado a convocar a esos expertos
y facilitar su trabajo, y tiene la intención de continuar con este trabajo. Una
vez que la Directiva CER haya entrado en vigor y se haya establecido un Grupo
de Resiliencia de Entidades Críticas en virtud de esa Directiva, dicho grupo
debe continuar con ese trabajo anticipatorio de acuerdo con sus tareas.
(9) Reconociendo
el cambio en el panorama de amenazas, el potencial de realizar pruebas de
estrés de infraestructura crítica a nivel nacional debe desarrollarse aún más,
ya que tales pruebas podrían ser útiles para mejorar la resiliencia de la
infraestructura crítica. Con respecto a la importancia específica del sector de
la energía y las consecuencias a escala de la Unión derivadas de su posible
perturbación, ese sector podría beneficiarse más de la realización de pruebas
de resistencia basadas en principios acordados de común acuerdo. Dichas pruebas
son competencia de los Estados miembros, quienes deben alentar y apoyar a los
operadores de infraestructuras críticas para que realicen dichas pruebas cuando
se consideren beneficiosas y de conformidad con sus marcos jurídicos
nacionales.
(10) Para
garantizar una respuesta coordinada y eficaz a las amenazas actuales y
previstas, se anima a la Comisión a que preste apoyo adicional a los Estados
miembros, en particular proporcionando información pertinente en forma de
informes, manuales no vinculantes y directrices. Debería proporcionar
evaluaciones de amenazas. También se invita a la Comisión, en cooperación con
los Estados miembros, a promover la adopción de proyectos de investigación e
innovación financiados por la Unión.
(11) Con la
creciente interdependencia de la infraestructura física y digital, es posible
que las actividades cibernéticas maliciosas dirigidas a áreas críticas
provoquen interrupciones o daños en la infraestructura física, o el sabotaje de
la infraestructura física para hacer que los servicios digitales sean
inaccesibles. Se invita a los Estados miembros a acelerar el trabajo
preparatorio para la transposición y aplicación del nuevo marco legal aplicable
a las entidades críticas y del marco legal reforzado para la ciberseguridad,
basándose en la experiencia adquirida dentro del Grupo de Cooperación
establecido por la Directiva (UE) 2016/1148 ( el «Grupo de Cooperación NIS»),
lo antes posible, teniendo en cuenta los plazos de transposición y que dichos
trabajos preparatorios deben avanzar en paralelo y de forma coherente.
(12) Además de
mejorar la preparación, también es importante reforzar las capacidades para
responder de manera rápida y eficaz a una interrupción de los servicios
esenciales proporcionados por la infraestructura crítica. Por tanto, la
presente Recomendación contiene medidas tanto a nivel de la Unión como
nacional, entre otras cosas destacando el papel de apoyo y el valor añadido que
puede obtenerse mediante la introducción de una cooperación reforzada y el
intercambio de información en el contexto del Mecanismo de Protección Civil de
la Unión (UCPM) establecido por la Decisión n. 1313/2013/UE del Parlamento
Europeo y del Consejo ( 4 ) y
utilizando los activos pertinentes del Programa Espacial de la Unión
establecido en virtud del Reglamento (UE) 2021/696 del Parlamento Europeo y del
Consejo ( 5 ) .
(13) La
Comisión, el Alto Representante de la Unión para Asuntos Exteriores y Política
de Seguridad (el «Alto Representante») y el Grupo de Cooperación NIS en
cooperación con organismos y agencias civiles y militares pertinentes y redes
establecidas, incluida la red europea de organizaciones de enlace de
cibercrisis ( EU-CYCLONe), son para realizar una evaluación de riesgos y
construir escenarios de riesgo. Además, en seguimiento de la Convocatoria
Ministerial Conjunta de Nevers, el Grupo de Cooperación NIS está realizando
actualmente una evaluación de riesgos, con el apoyo de la Comisión y la Agencia
Europea de Ciberseguridad (ENISA), y en cooperación con el Organismo de
Reguladores Europeos de Electrónica. Comunicaciones (ORECE). Esos dos
ejercicios serán consistentes y estarán coordinados con el ejercicio de
construcción de escenarios bajo el UCPM, incluidos los eventos de
ciberseguridad y su impacto en la vida real, actualmente en desarrollo por
parte de la Comisión y los Estados miembros. En aras de la eficiencia, la
eficacia y la coherencia, y para la buena aplicación de esta Recomendación, se
supone que los resultados de esos ejercicios deben reflejarse a nivel nacional.
(14) Con el fin
de reforzar inmediatamente la preparación y la capacidad de respuesta ante un
incidente de ciberseguridad a gran escala, la Comisión ha establecido un
programa a corto plazo para apoyar a los Estados miembros mediante financiación
adicional asignada a ENISA. Los servicios propuestos incluyen, entre otros,
acciones de preparación, como pruebas de penetración de entidades para
identificar vulnerabilidades. El programa también puede fortalecer las
posibilidades de ayudar a los Estados miembros en caso de un incidente de
ciberseguridad a gran escala que afecte a entidades críticas. Este es un primer
paso en línea con las Conclusiones del Consejo del 23 de mayo de 2022 sobre el
desarrollo de la postura cibernética de la Unión Europea (las
"Conclusiones del Consejo sobre la postura cibernética de la UE") que
solicitan a la Comisión que presente una propuesta para un Fondo de Emergencia
Cibernética. . Los Estados miembros deben aprovechar plenamente esas
oportunidades, de conformidad con los requisitos aplicables, y se les anima a
seguir trabajando en el ámbito de la gestión de cibercrisis de la Unión, en
particular mediante el seguimiento y el balance periódicos de los progresos
realizados en la aplicación de la cibercrisis. Hoja de ruta de gestión desarrollada
recientemente en el Consejo. Esa hoja de ruta es un documento vivo y debe
revisarse y actualizarse cuando sea necesario.
(15) Los cables
de comunicaciones submarinos globales son esenciales para la conectividad
global e intra-UE. Debido a la considerable longitud de estos cables y su
instalación en el fondo del mar, la supervisión visual subacuática de la
mayoría de las secciones del cable es extremadamente complicada. La
jurisdicción compartida y otras cuestiones jurisdiccionales relacionadas con
dichos cables representan un caso específico para la cooperación europea e
internacional en materia de protección y recuperación de infraestructuras. Por
lo tanto, es necesario complementar las evaluaciones de riesgos en curso y
planificadas con respecto a la infraestructura digital y física que sustenta
los servicios digitales con evaluaciones de riesgos específicas y opciones para
medidas de mitigación relacionadas con los cables de comunicaciones submarinos.
Los Estados miembros invitan a la Comisión a realizar estudios con ese fin y
compartir sus conclusiones con los Estados miembros.
(dieciséis) Los
sectores de la energía y el transporte también pueden verse afectados por
amenazas relacionadas con la infraestructura digital, por ejemplo, en relación
con las tecnologías energéticas que incorporan componentes digitales. La
seguridad de las cadenas de suministro asociadas es importante para la
continuidad de la prestación de servicios esenciales y para el control
estratégico de la infraestructura crítica en el sector energético. Esas
circunstancias deben tenerse en cuenta al tomar medidas para mejorar la
resiliencia de la infraestructura crítica de acuerdo con esta Recomendación.
(17) La
creciente importancia de la infraestructura espacial, los activos terrestres
relacionados con el espacio, incluidas las instalaciones de producción, y los
servicios basados en el espacio para actividades relacionadas con la
seguridad hace que sea esencial garantizar la resiliencia y la protección del
espacio de la Unión y sus activos y servicios relacionados con el suelo dentro
de la Unión. Por las mismas razones, también es esencial, en el marco de esta
Recomendación, hacer un uso más estructurado de los datos y servicios basados
en el espacio, que son proporcionados por los sistemas y programas espaciales
para la vigilancia y el seguimiento y para la protección de la infraestructura
crítica en otros sectores La próxima Estrategia Espacial de la UE para la
Seguridad y la Defensa propondrá acciones apropiadas a este respecto, que deben
tenerse en cuenta al implementar esta Recomendación.
(18) También se
necesita cooperación a nivel internacional para abordar de manera efectiva los
riesgos para la infraestructura crítica, entre otros, en aguas internacionales.
Por lo tanto, se invita a los Estados miembros a cooperar con la Comisión y el
Alto Representante para tomar ciertas medidas para lograr dicha cooperación,
teniendo en cuenta que dichas medidas solo deben tomarse de conformidad con sus
respectivas funciones y responsabilidades en virtud del Derecho de la Unión, en
particular las disposiciones de los Tratados relativas a las relaciones
exteriores.
(19) Tal y como
establece su Comunicación de 15 de febrero de 2022 titulada 'Contribución de la
Comisión a la defensa europea', en apoyo de la Brújula Estratégica para la
Seguridad y la Defensa - Por una Unión Europea que proteja a sus ciudadanos,
valores e intereses, y contribuya a la paz y la seguridad internacionales, la
Comisión evaluará las líneas de base sectoriales de resiliencia híbrida en
cooperación con el Alto Representante y los Estados miembros, mediante la
identificación de lagunas y necesidades, así como los pasos para abordarlas
para 2023. Esa iniciativa debería informar el trabajo en el marco de esta
Recomendación, ayudando a fortalecer el intercambio de información. y la
coordinación de acciones para un mayor fortalecimiento de la resiliencia, incluida
la de la infraestructura crítica.
(20) La
Estrategia de Seguridad Marítima de la UE de 2014 y su Plan de Acción Revisado
pedían una mayor protección de las infraestructuras marítimas críticas,
incluidas las infraestructuras submarinas y, en particular, el transporte
marítimo, la energía y las comunicaciones, entre otras cosas, mejorando la
conciencia marítima a través de una mejor interoperabilidad y un intercambio de
información simplificado (obligatorio y voluntario). Esa estrategia y ese plan
de acción se están actualizando actualmente e incluirán acciones mejoradas que
tienen como objetivo proteger la infraestructura marítima crítica. Esas
acciones deben complementar esta recomendación.
(21) El
fortalecimiento de la resiliencia de las infraestructuras críticas contribuye a
esfuerzos más amplios para contrarrestar las amenazas híbridas y las campañas
contra la Unión y sus Estados miembros. Esta Recomendación se basa en la
Comunicación conjunta al Parlamento Europeo y al Consejo titulada 'Marco
conjunto para contrarrestar las amenazas híbridas: una respuesta de la Unión
Europea'. La Acción 1 del Marco Conjunto, a saber, la Encuesta de Riesgo
Híbrido, desempeña un papel clave en la identificación de vulnerabilidades que
pueden afectar a las estructuras y redes nacionales y paneuropeas. Además, la
implementación de las Conclusiones del Consejo del 21 de junio de 2022 sobre un
Marco para una respuesta coordinada de la UE a las campañas híbridas
proporcionará una acción coordinada más fuerte a través de la aplicación de la
Caja de herramientas híbrida de la UE en todos los dominios afectados.
HA
ADOPTADO ESTA RECOMENDACIÓN:
CAPÍTULO I: OBJETIVO, ALCANCE Y PRIORIZACIÓN
(1) Esta
Recomendación establece una serie de acciones específicas a nivel nacional y de
la Unión para apoyar y mejorar la resiliencia de las infraestructuras críticas,
de forma voluntaria, centrándose en las infraestructuras críticas con una
relevancia transfronteriza significativa y en sectores clave identificados,
como la energía , infraestructura digital, transporte y espacio. Esas acciones
específicas consisten en una mejor preparación, una mejor respuesta y la
cooperación internacional.
(2) La
información compartida para cumplir los objetivos de la presente Recomendación,
que sea confidencial de conformidad con las normas nacionales y de la Unión,
así como con las normas sobre confidencialidad comercial, debe intercambiarse
con la Comisión y otras autoridades competentes solo cuando dicho intercambio
sea necesario para la buena aplicación. de esta Recomendación. Esta
Recomendación no afecta a la protección de los intereses esenciales de la
seguridad nacional, la seguridad pública o la defensa de los Estados miembros,
y no debe esperarse que ningún Estado miembro comparta información que vaya en
contra de estos intereses.
CAPÍTULO II: PREPARACIÓN MEJORADA
Acciones a nivel de los Estados miembros
(3) Los
Estados miembros deben considerar un enfoque que abarque todos los peligros al
actualizar sus evaluaciones de riesgos o sus análisis equivalentes existentes,
de acuerdo con la naturaleza evolutiva de las amenazas actuales a su
infraestructura crítica, especialmente en sectores clave identificados y,
cuando sea posible, en todos los sectores cubiertos por próximo nuevo marco
legal aplicable a las entidades críticas.
(4) Se
invita a los Estados miembros a acelerar el trabajo preparatorio y adoptar
medidas de mejora de la resiliencia, cuando sea posible, según lo dispuesto por
el próximo marco jurídico aplicable a las entidades críticas, centrándose
especialmente en la cooperación y el intercambio de información pertinente
entre los Estados miembros y con la Comisión, sobre la identificación entidades
críticas con una relevancia transfronteriza significativa y sobre la mejora del
apoyo a las entidades críticas identificadas con el fin de mejorar su
resiliencia.
(5) Los
Estados miembros deben apoyar la formación y los ejercicios de expertos y el
intercambio entre expertos de las mejores prácticas y lecciones aprendidas. Los
Estados miembros deben alentar a los expertos a participar en las plataformas
de formación existentes, tanto nacionales como internacionales, por ejemplo, en
el marco de la UCPM.
(6) Los
Estados miembros deben alentar y apoyar a los operadores de infraestructuras
críticas, al menos en el sector de la energía, para que realicen pruebas de
resistencia, siguiendo los principios comúnmente acordados a nivel de la Unión
cuando resulte beneficioso. Las pruebas de estrés deben evaluar la resiliencia
de la infraestructura crítica frente a las amenazas antagónicas creadas por el
hombre. Por lo tanto, los Estados miembros deben tratar de identificar la
infraestructura crítica relevante para probar y consultar con los operadores de
infraestructura crítica relevantes lo antes posible, y a más tardar a fines del
primer trimestre de 2023. Además, los Estados miembros deben apoyar la
infraestructura crítica operadores para que realicen esas pruebas lo antes
posible y pretendan completarlas para finales de 2023, de conformidad con la
legislación nacional. El Consejo tiene la intención de evaluar la situación de
las pruebas de resistencia para finales de abril de 2023.
(7) Debido
a la rápida evolución de las amenazas a la infraestructura crítica, mantener su
alto nivel de protección es de vital importancia. Se alienta a los Estados
miembros a que asignen suficientes recursos financieros para fortalecer las
capacidades de sus autoridades nacionales pertinentes y apoyarlas, a fin de
poder mejorar la resiliencia de la infraestructura crítica. También se alienta
a los Estados miembros a que asignen suficientes recursos financieros a las
autoridades responsables de la gestión de incidentes de ciberseguridad a gran
escala para apoyarlos, y a garantizar que sus equipos de respuesta a incidentes
de seguridad informática (CSIRT) y las autoridades competentes estén
completamente movilizados en la Red de CSIRT y EU-CYCLONe, respectivamente.
(8) Se
invita a los Estados miembros, de conformidad con los requisitos aplicables, a
hacer uso de las posibles oportunidades de financiación a nivel nacional y de
la Unión para mejorar ellos mismos la resiliencia de las infraestructuras críticas
en la Unión, y también a animar a los operadores de infraestructuras críticas a
hacer uso de tales oportunidades de financiación, incluidas, por ejemplo, las
redes transeuropeas, contra toda la gama de amenazas significativas, en
particular en el marco de los programas financiados por el Fondo de Seguridad
Interior establecido por el Reglamento (UE) 2021/1149 del Parlamento Europeo y
del Consejo ( 6 ) , el
Fondo Europeo de Desarrollo Regional establecido por el Reglamento (UE) n.º
1301/2013 del Parlamento Europeo y del Consejo
( 7 ), la UCPM y el Plan
REPowerEU de la Comisión. También se anima a los Estados miembros a aprovechar
al máximo los resultados de los proyectos pertinentes en el marco de programas
de investigación, como Horizonte Europa establecido por el Reglamento (UE)
2021/695 del Parlamento Europeo y del Consejo
( 8 ) .
(9) En
lo que respecta a la infraestructura de redes y comunicaciones en la Unión, se
invita al Grupo de Cooperación NIS, actuando de conformidad con el artículo 11
de la Directiva (UE) 2016/1148, a acelerar su trabajo en curso basado en la
Llamada Ministerial Conjunta de Nevers sobre un objetivo específico evaluación
de riesgos y debe presentar las primeras recomendaciones lo antes posible. Esa
evaluación de riesgos debe proporcionar información para la evaluación
intersectorial de riesgos cibernéticos en curso y los escenarios solicitados
por las conclusiones del Consejo sobre la postura cibernética de la UE. Además,
ese trabajo debe llevarse a cabo asegurando la coherencia y la
complementariedad con el trabajo realizado por el flujo de trabajo del Grupo de
Cooperación NIS sobre seguridad de la cadena de suministro de tecnología de la
información y la comunicación, así como por otros grupos relevantes.
(10) También
se invita al Grupo de Cooperación NIS, con el apoyo de la Comisión y ENISA, a
continuar su trabajo sobre la seguridad de la infraestructura digital, incluso
en relación con la infraestructura submarina, a saber, los cables de
comunicaciones submarinos. También se le invita a comenzar su trabajo en el
sector espacial, incluso preparando, cuando sea necesario, orientación sobre
políticas y metodologías de gestión de riesgos de ciberseguridad basadas en un
enfoque de todos los peligros y un enfoque basado en el riesgo para los
operadores del sector espacial con el objetivo de aumentar la resiliencia. de
infraestructura terrestre que apoya la prestación de servicios basados en el
espacio.
(11) Los
Estados miembros deben hacer un uso completo de los servicios de preparación
para la ciberseguridad que se ofrecen en el programa de apoyo a corto plazo de
la Comisión implementado con ENISA, por ejemplo, pruebas de penetración para
identificar vulnerabilidades y, en este contexto, se les anima a dar prioridad
a las entidades que operan infraestructura crítica en la energía,
infraestructura digital y sectores del transporte.
(12) Los
Estados miembros deben hacer pleno uso del Centro Europeo de Competencia en
Ciberseguridad (ECCC). Los Estados miembros deben alentar a sus Centros
Nacionales de Coordinación a involucrarse de manera proactiva con los miembros
de la comunidad de ciberseguridad para desarrollar capacidades a nivel nacional
y de la Unión para apoyar mejor a los operadores de servicios esenciales.
(13) Es
importante que los Estados miembros logren la implementación de las medidas
recomendadas en la Caja de herramientas de la UE sobre ciberseguridad 5G y, en
particular, que los Estados miembros promulguen restricciones a los proveedores
de alto riesgo, considerando que una pérdida de tiempo puede aumentar la
vulnerabilidad de las redes en la Unión. , y también reforzar la protección
física y no física de partes críticas y sensibles de las redes 5G, incluso a
través de estrictos controles de acceso. Además, los Estados miembros, en
cooperación con la Comisión, deben evaluar la necesidad de una acción
complementaria para garantizar un nivel constante de seguridad y resiliencia de
las redes 5G.
(14) Los
Estados miembros, junto con la Comisión y ENISA, deben centrarse en la
aplicación de las Conclusiones del Consejo de 17 de octubre de 2022 sobre la
seguridad de la cadena de suministro de las TIC.
(15) Los
Estados miembros deben tener en cuenta el próximo código de red para los
aspectos de ciberseguridad de los flujos de electricidad transfronterizos,
basándose en la experiencia adquirida con la implementación de la Directiva
(UE) 2016/1148 y la orientación relevante producida por el Grupo de Cooperación
NIS, especialmente su Documento de referencia sobre medidas de seguridad para
Operadores de Servicios Esenciales.
(dieciséis) Los Estados miembros deben desarrollar
el uso de Copernicus, Galileo y el Servicio Europeo de Superposición de
Navegación Geoestacionaria (EGNOS) para la vigilancia con el fin de compartir
información relevante con los expertos convocados de conformidad con el punto
15. Debe hacerse un buen uso de las capacidades que ofrece la Unión
Comunicaciones Gubernamentales por Satélite (GOVSATCOM) del Programa Espacial
de la Unión para el monitoreo de infraestructura crítica y apoyo a la
predicción y respuesta a crisis.
Acciones a nivel de la Unión
(17) Debe reforzarse el diálogo y la cooperación
entre los expertos designados de los Estados miembros y con la Comisión, con
vistas a mejorar la resiliencia física de las infraestructuras críticas, en
particular mediante:
(a) contribuir
a la preparación, desarrollo y promoción de herramientas voluntarias comunes
para ayudar a los Estados miembros a mejorar dicha resiliencia, incluidas
metodologías y escenarios de riesgo;
(b) apoyar
a los Estados miembros en la aplicación del nuevo marco jurídico aplicable a
las entidades críticas, incluso animando a la Comisión a adoptar el acto
delegado de manera oportuna;
(C) respaldar
la realización de las pruebas de resistencia a que se refiere el punto 6, sobre
la base de principios comunes, comenzando por dichas pruebas centrándose en las
amenazas antagónicas provocadas por el hombre en el sector de la energía y,
posteriormente, en otros sectores clave, así como apoyando y asesorando en la
realización de dichas pruebas de resistencia, previa solicitud de un Estado
miembro;
(d) haciendo
uso de cualquier plataforma segura, una vez establecida por la Comisión, para
recopilar, evaluar y compartir, de forma voluntaria, las mejores prácticas, las
lecciones aprendidas de las experiencias nacionales y otra información
relacionada con dicha resiliencia.
El trabajo de esos expertos designados debe prestar
especial atención a las dependencias intersectoriales y la infraestructura
crítica con una relevancia transfronteriza significativa, y debe ser objeto de
seguimiento en el Consejo y la Comisión, cuando proceda.
(18) Se
anima a los Estados miembros a hacer uso de cualquier apoyo ofrecido por la
Comisión, por ejemplo, mediante la preparación de manuales y directrices, como
un Manual sobre la protección de infraestructuras críticas y espacios públicos
contra sistemas de aeronaves no tripuladas, y herramientas para la evaluación
de riesgos. Se invita al SEAE, en particular a través del Centro de
Inteligencia y Situación de la UE y su Célula de Fusión Híbrida, con el apoyo
de la Dirección de Inteligencia de EUMS en el marco del SIAC, a realizar
sesiones informativas sobre las amenazas a la infraestructura crítica en la
Unión para mejorar la situación. conciencia.
(19) Los
Estados miembros deben apoyar las acciones emprendidas por la Comisión para
aprovechar los resultados de los proyectos sobre la resiliencia de las
infraestructuras críticas financiados en el marco de los programas de
investigación e innovación de la Unión. El Consejo toma nota de la intención de
la Comisión de aumentar, dentro del presupuesto asignado a Horizonte Europa en
el marco financiero plurianual 2021-2027, la financiación de dicha resiliencia,
sin perjuicio de la financiación de otros proyectos de investigación e
innovación relacionados con la seguridad civil en el marco de Horizonte Europa
.
(20) Debido
a la tarea estipulada en las Conclusiones del Consejo sobre la postura
cibernética de la UE, se invita a la Comisión, el Alto Representante y el Grupo
de Cooperación NIS a intensificar, de conformidad con sus respectivas tareas y
responsabilidades en virtud del Derecho de la Unión, el trabajo con las redes
pertinentes y los organismos civiles y cuerpos y agencias militares en la
realización de evaluaciones de riesgos y la construcción de escenarios de
riesgo de ciberseguridad, teniendo en cuenta en particular la importancia de la
energía, la infraestructura digital, el transporte y la infraestructura
espacial y las interdependencias entre sectores y Estados miembros. Ese
ejercicio debe tener en cuenta los riesgos relacionados con la infraestructura
de la que dependen esos sectores. Cuando sea beneficioso, la evaluación de
riesgos y los escenarios podrían llevarse a cabo de forma regular y deberían
complementar,
(21) Se invita a la Comisión a acelerar sus
actividades, de conformidad con sus respectivas tareas en el marco de la
gestión de crisis cibernéticas, para apoyar la preparación y respuesta de los
Estados miembros a los incidentes de ciberseguridad a gran escala y, en
particular, para:
(a) llevar
a cabo, a fin de complementar las evaluaciones de riesgos pertinentes en el
contexto de la seguridad de las redes y de la información, un estudio completo ( 9 ) en el que se haga un balance de la infraestructura
submarina, a saber, los cables de comunicaciones submarinos, que conectan a los
Estados miembros y a Europa en todo el mundo, cuyos resultados debe compartirse
con los Estados miembros;
(b) apoyar
la preparación y respuesta de los Estados miembros y las instituciones,
organismos y agencias de la Unión ante incidentes de ciberseguridad a gran
escala o incidentes graves, de conformidad con el marco jurídico reforzado en
materia de ciberseguridad y otras normas pertinentes aplicables ( 10 ) ;
(C) acelerar
el concepto principal del Fondo de Emergencia Cibernética con una discusión
adecuada con los Estados miembros.
(22) Se
anima a la Comisión a: intensificar el trabajo sobre acciones anticipatorias
con visión de futuro, incluida la colaboración con los Estados miembros en
virtud de los artículos 6 y 10 de la Decisión 1313/2013/UE, y en forma de
planificación de contingencia para apoyar el Centro de Coordinación de la
Respuesta a Emergencias (ERCC) preparación operativa y respuesta a las
interrupciones de la infraestructura crítica; aumentar las inversiones en
enfoques preventivos y preparación de la población; y aumentar el apoyo
relacionado con el desarrollo de capacidades en el marco de la Red de
conocimientos sobre protección civil de la Unión.
(23) La
Comisión debe fomentar el uso de los medios de vigilancia de la Unión
(Copernicus, Galileo y EGNOS) para ayudar a los Estados miembros a supervisar
infraestructuras críticas y sus alrededores inmediatos, cuando proceda, y
apoyar otras opciones de vigilancia previstas en el Programa Espacial de la
Unión, como como la conciencia de la situación espacial y los marcos de
seguimiento y vigilancia espacial de la UE.
(24) Cuando proceda y de conformidad con sus
respectivos mandatos, se invita a las agencias de la Unión y otros organismos
pertinentes a prestar apoyo en asuntos relacionados con la resiliencia de las
infraestructuras críticas, en particular de la siguiente manera:
(a) la
Agencia de la Unión Europea para la Cooperación Policial (EUROPOL) sobre
recopilación de información, análisis criminal y apoyo a la investigación en
acciones policiales transfronterizas y, cuando sea relevante y apropiado,
compartir los resultados con los Estados miembros;
(b) la
Agencia Europea de Seguridad Marítima (EMSA) en asuntos relacionados con la
protección y la seguridad del sector marítimo en la Unión, incluidos los
servicios de vigilancia marítima para asuntos relacionados con la protección y
la protección marítimas;
(C) la
Agencia de la Unión Europea para el Programa Espacial (EUSPA) y el Centro de
Satélites de la UE (SatCen) pueden ayudar a través de operaciones dentro del
Programa Espacial de la Unión;
(d) el
ECCC en lo que respecta a las actividades relacionadas con la ciberseguridad,
también en cooperación con ENISA, podría apoyar la innovación y la política
industrial en ciberseguridad.
CAPÍTULO III: RESPUESTA MEJORADA
Acciones a nivel de los Estados miembros
(25) Se invita a los Estados miembros a:
(a) continuar
la coordinación de su respuesta, cuando corresponda, y mantener la visión
general de la respuesta intersectorial a las interrupciones agudas de los
servicios esenciales proporcionados por la infraestructura crítica. Esto podría
hacerse en el marco de: un Plan futuro sobre una respuesta coordinada a las
interrupciones de la infraestructura crítica con una relevancia transfronteriza
significativa; los arreglos existentes de Respuesta Política Integrada a las
Crisis (IPCR) para la coordinación de la respuesta política cuando se trata de
infraestructura crítica con relevancia transfronteriza; el Plan sobre
incidentes y crisis de ciberseguridad a gran escala en virtud de la
Recomendación (UE) 2017/1584 de la
Comisión ( 11 ); EU-CYCLON; en el Marco para una respuesta
coordinada de la UE a las campañas híbridas y la Caja de herramientas híbrida
de la UE en el caso de amenazas y campañas híbridas; y en el Sistema de Alerta
Rápida en caso de desinformación;
(b) aumentar
el intercambio de información a nivel operativo con el ERCC en el contexto del
UCPM con el fin de mejorar la alerta temprana y coordinar su respuesta en el
marco del UCPM en caso de interrupciones de infraestructura crítica con una
relevancia transfronteriza significativa, garantizando así una Unión- reacción
facilitada cuando sea necesario;
(C) aumentar
su preparación para responder, en su caso, a través de herramientas existentes
o por desarrollar a tales interrupciones significativas mencionadas en el punto
(a);
(d) participar
en el desarrollo de capacidades de respuesta relevantes en el Fondo Europeo de
Protección Civil (ECPP) y rescEU;
(mi) alentar a
los operadores de infraestructuras críticas y a las autoridades nacionales
pertinentes a que mejoren sus capacidades para poder restaurar rápidamente un
rendimiento básico de los servicios esenciales proporcionados por dichos
operadores de infraestructuras críticas;
(F) alentar
a los operadores de infraestructuras críticas, cuando reconstruyan su
infraestructura crítica, a construirla para que sea lo más resistente posible,
teniendo en cuenta la proporcionalidad de las medidas con respecto a las
evaluaciones de riesgo y los costos, a la gama completa de riesgos
significativos que pueden aplicarse, incluidos en escenarios climáticos
adversos.
(26) Se
invita a los Estados miembros a acelerar el trabajo preparatorio, cuando sea
posible, según lo dispuesto por el marco legal reforzado sobre ciberseguridad,
con el objetivo de mejorar las capacidades de los CSIRT nacionales, en vista de
las nuevas tareas de los CSIRT, así como del mayor número de entidades de
nuevos sectores. , revisando y actualizando sus estrategias de ciberseguridad
de manera oportuna y adoptando lo antes posible planes nacionales de respuesta
a incidentes y crisis de ciberseguridad, si aún no existen.
(27) Se
invita a los Estados miembros a considerar, a nivel nacional, los medios más
relevantes para garantizar que las partes interesadas relevantes sean
conscientes de la necesidad de promover la resiliencia de la infraestructura
crítica mediante la cooperación con proveedores y socios de confianza. Es
importante invertir en capacidad adicional, especialmente en los sectores donde
la infraestructura actual está al final de su vida útil, por ejemplo, la
infraestructura de cables de comunicaciones submarinos, para poder garantizar
la continuidad de la provisión de servicios esenciales en caso de
interrupciones. y para reducir las dependencias no deseadas.
(28) Se
alienta a los Estados miembros a que presten atención a la comunicación
estratégica proactiva a nivel nacional en el contexto de contrarrestar amenazas
y campañas híbridas, y dada la posibilidad de que los adversarios intenten
involucrarse en la manipulación e interferencia de información extranjera dando
forma a las narrativas en torno a incidentes dirigidos a infraestructuras
críticas.
Acciones a nivel de la Unión
(29) Se
invita a la Comisión a trabajar en estrecha colaboración con los Estados
miembros para seguir desarrollando los organismos, los instrumentos y las
capacidades de respuesta pertinentes, con vistas a mejorar la preparación
operativa para hacer frente a los efectos inmediatos e indirectos de las
interrupciones significativas de los servicios esenciales pertinentes prestados
por infraestructuras críticas, en particular expertos y recursos disponibles a
través del ECPP y rescEU bajo el UCPM o futuros Equipos Híbridos de Respuesta
Rápida.
(30) Teniendo en cuenta la evolución del panorama
de las amenazas y en cooperación con los Estados miembros, se invita a la
Comisión en el contexto del MPUC a:
(a) analizar
y probar continuamente la adecuación y la preparación operativa de las
capacidades de respuesta existentes;
(b) monitorear
regularmente e identificar brechas de capacidad de respuesta potencialmente
significativas en las capacidades del ECPP y rescEU;
(C) intensificar
aún más la colaboración intersectorial para garantizar una respuesta adecuada a
nivel de la Unión y organizar formaciones o ejercicios regulares para poner a
prueba dicha colaboración en cooperación con uno o más Estados miembros;
(d) desarrollar
aún más el ERCC como el centro de emergencia intersectorial a nivel de la Unión
para la coordinación del apoyo a los Estados miembros afectados.
(31) El
Consejo se compromete a iniciar los trabajos con miras a aprobar un Plan de
respuesta coordinada a las interrupciones de infraestructuras críticas con una
relevancia transfronteriza significativa, que describa y establezca los
objetivos y modos de cooperación entre los Estados miembros y las instituciones
y órganos de la Unión. , oficinas y agencias para responder a incidentes contra
dicha infraestructura crítica. El Consejo espera con interés el borrador de la
Comisión para dicho Plan, basándose en el apoyo y las contribuciones de las
agencias pertinentes de la Unión. El Plan será totalmente coherente e
interoperable con el protocolo operativo revisado de la Unión para
contrarrestar las amenazas híbridas («Libro de estrategias de la UE») y tendrá
en cuenta el Plan actual sobre la respuesta coordinada a incidentes de
ciberseguridad transfronterizos a gran escala
( 12) y
crisis y mandato EU-CYCLONe estipulado en la Directiva NIS2 y evitar la
duplicación de estructuras y actividades. Ese Plan debe respetar plenamente los
arreglos IPCR existentes para la coordinación de la respuesta.
(32) Se
invita a la Comisión a consultar con las partes interesadas y los expertos
pertinentes sobre las medidas apropiadas en relación con posibles incidentes
significativos relacionados con la infraestructura submarina, que se
presentarán junto con el estudio de balance al que se hace referencia en el
punto 20, letra a), así como para seguir elaborando planificación de
contingencia, escenarios de riesgo y objetivos de resiliencia ante catástrofes
de la Unión establecidos en la Decisión n.º 1313/2013/UE.
CAPÍTULO IV: COOPERACIÓN INTERNACIONAL
Acciones a nivel de los Estados miembros
(33) Los
Estados miembros deben cooperar, cuando proceda y de conformidad con el Derecho
de la Unión, con los terceros países pertinentes en lo que respecta a la
resiliencia de las infraestructuras críticas con una relevancia transfronteriza
significativa.
(34) Se
alienta a los Estados miembros a cooperar con la Comisión y el Alto
Representante para abordar de manera efectiva los riesgos para las
infraestructuras críticas en aguas internacionales.
(35) Se
invita a los Estados miembros a contribuir, en cooperación con la Comisión y el
Alto Representante, al desarrollo y la implementación acelerados de la caja de
herramientas híbrida de la UE y las directrices de implementación mencionadas
en las conclusiones del Consejo de 21 de junio de 2022 sobre un marco para una
respuesta coordinada de la UE. a las campañas híbridas y utilizarlas
posteriormente, con el fin de dar pleno efecto al Marco para una respuesta
coordinada de la UE a las campañas híbridas, en particular al considerar y
preparar respuestas de la Unión globales y coordinadas a las campañas híbridas
y las amenazas híbridas, incluidas las dirigidas contra los operadores de
infraestructuras críticas.
Acciones a nivel de la Unión
(36) Se
invita a la Comisión y al Alto Representante a apoyar, cuando proceda y de
conformidad con sus funciones y responsabilidades respectivas en virtud del
Derecho de la Unión, a los terceros países pertinentes para mejorar la
resiliencia de las infraestructuras críticas en su territorio y, en particular,
las infraestructuras críticas que están conectadas físicamente a sus
territorios. territorio y el de un Estado miembro.
(37) La
Comisión y el Alto Representante, en consonancia con sus respectivas funciones
y responsabilidades con arreglo al Derecho de la Unión, reforzarán la
coordinación con la OTAN sobre la resiliencia de las infraestructuras críticas
de interés común a través del diálogo estructurado UE-OTAN sobre resiliencia,
respetando plenamente los derechos de la Unión y los Estados miembros.
Competencias de los Estados de conformidad con los Tratados y los principios
clave que guían la cooperación UE-OTAN según lo acordado por el Consejo
Europeo, en particular la reciprocidad, la inclusión y la autonomía en la toma
de decisiones. En este contexto, esa cooperación se impulsará dentro del
Diálogo Estructurado UE-OTAN sobre Resiliencia, integrado en el mecanismo
existente de personal a personal para la implementación de las Declaraciones
Conjuntas, al tiempo que se garantiza la total transparencia y la participación
de todos los Estados miembros.
(38) Se
invita a la Comisión a considerar la participación de representantes de los
terceros países pertinentes, cuando sea necesario y apropiado, en el marco de
la cooperación y el intercambio de información entre los Estados miembros en el
ámbito de la resiliencia de las infraestructuras críticas conectadas
físicamente al territorio de un miembro Estado y el de un tercer país.
Hecho en Bruselas,
el 8 de diciembre de 2022.
para
el Consejo
El
presidente
V. RAKUŠAN
( 1 ) Los Estados miembros deben evaluar dicha
pertinencia de acuerdo con sus prácticas nacionales y pueden hacerlo sobre la
base, entre otros factores, de una evaluación del riesgo y del impacto y la
naturaleza del evento.
( 2 ) Directiva 2008/114/CE del Consejo, de 8 de
diciembre de 2008, sobre la identificación y designación de infraestructuras
críticas europeas y la evaluación de la necesidad de mejorar su protección ( DO L 345 de 23.12.2008, p . 75 ).
( 3 ) Directiva (UE) 2016/1148 del Parlamento
Europeo y del Consejo, de 6 de julio de 2016, sobre medidas para un alto nivel
común de seguridad de las redes y los sistemas de información en toda la Unión
( DO L 194 de 19.7.2016, p. 1 ).
( 4 ) Decisión no 1313/2013/UE del Parlamento
Europeo y del Consejo, de 17 de diciembre de 2013, relativa a un Mecanismo de
Protección Civil de la Unión ( DO L 347 de 20.12.2013, p. 924 ).
( 5 ) Reglamento (UE) 2021/696 del Parlamento
Europeo y del Consejo, de 28 de abril de 2021, por el que se crea el Programa
Espacial de la Unión y la Agencia de la Unión Europea para el Programa Espacial
y se deroga el Reglamento (UE) n.º 912/2010, (UE) n.º 1285/2013 y (UE) n.º
377/2014 y Decisión n.º 541/2014/UE ( DO L 170 de 12.5.2021, p. 69 ).
( 6 ) Reglamento (UE) 2021/1149 del Parlamento
Europeo y del Consejo, de 7 de julio de 2021, por el que se crea el Fondo de
Seguridad Interior ( DO L 251 de 15.7.2021, p. 94 ).
( 7 ) Reglamento (UE) n.º 1301/2013 del Parlamento
Europeo y del Consejo, de 17 de diciembre de 2013, por el que se establece el
Fondo Europeo de Desarrollo Regional y disposiciones específicas relativas al
objetivo de inversión para el crecimiento y el empleo y por el que se deroga el
Reglamento (CE) n.º 1080/ 2006 ( DO L 347 de 20.12.2013, p. 289 ).
( 8 ) Reglamento (UE) 2021/695 del Parlamento
Europeo y del Consejo, de 28 de abril de 2021, por el que se establece
Horizonte Europa - Programa Marco de Investigación e Innovación, se establecen
sus normas de participación y difusión y se derogan los Reglamentos (UE) n.
1290/2013 y (UE) n.º 1291/2013 ( DO L 170 de 12.5.2021, p. 1 ).
( 9 ) Este estudio debe incluir el mapeo de sus
capacidades y redundancias, vulnerabilidades, amenazas y riesgos para la
disponibilidad del servicio, el impacto del tiempo de inactividad de los cables
submarinos (transatlánticos) para los Estados miembros y la Unión en su
conjunto y la mitigación del riesgo, teniendo en cuenta en cuenta la
sensibilidad de dicha información y la necesidad de protegerla.
( 10 ) También debe prestarse especial atención a
todas las actividades de preparación para una respuesta coordinada eficaz a
nivel de la Unión en caso de un ciberincidente transfronterizo importante o una
amenaza conexa que pueda tener un impacto sistémico en el sector financiero de
la Unión, según lo dispuesto por el nuevo marco legal sobre resiliencia
operativa digital.
( 11 ) Recomendación (UE) 2017/1584 de la Comisión,
de 13 de septiembre de 2017, sobre la respuesta coordinada a incidentes y
crisis de ciberseguridad a gran escala ( DO L 239 de 19.9.2017, p. 36 ).
( 12 ) Recomendación (UE) 2017/1584 de la Comisión,
de 13 de septiembre de 2017, sobre la respuesta coordinada a incidentes y
crisis de ciberseguridad a gran escala.
