La Comisión Europea ha propuesto dos nuevos reglamentos que establecen medidas comunes en materia de ciberseguridad y seguridad de la información para todas las instituciones, órganos, organismos y agencias de la UE con la finalidad de reforzar su resiliencia y capacidad de respuesta frente a ciberamenazas y garantizar la seguridad de la administración pública europea.
Mediante el establecimiento de prioridades y marcos comunes, las nuevas normas propuestas por la Comisión Europea reforzarán la cooperación interinstitucional, minimizarán la exposición al riesgo y avanzarán en la consolidación de la cultura de seguridad de la UE.
Siguiendo la estela de las estrategias de la Unión Europea para una unión de la seguridad y de ciberseguridad, se encuentra en consonancia con las políticas vigentes en estos campos y en línea con la normativa europea actual.
Propuesta de Reglamento sobre ciberseguridad
La propuesta de Reglamento sobre ciberseguridad reforzará el mandato del Equipo de Respuesta a Emergencias Informáticas para las instituciones, órganos, organismos y agencias de la Unión Europea (CERT-UE) como centro de información sobre amenazas e intercambio de información y coordinación de la respuesta a incidentes, órgano consultivo central y proveedor de servicios.
Aunque se cambiará el nombre del Equipo de Respuesta a Emergencias Informáticas por el de Centro de ciberseguridad, se mantendrá la abreviatura CERT-UE para facilitar su reconocimiento.
Además, todas las instituciones, órganos, organismos y agencias de la UE deberán dotarse de un marco para la gobernanza, la gestión y el control de riesgos en el ámbito de la ciberseguridad; definir un código básico de medidas de seguridad para hacer frente a los riesgos detectados, llevar a cabo evaluaciones periódicas de madurez, poner en marcha un plan de mejora de su ciberseguridad aprobado por los gestores de la entidad, así como compartir la información relacionada con los incidentes con el CERT-UE.
De la misma manera, la norma contempla la creación de un nuevo Consejo interinstitucional de ciberseguridad para impulsar y supervisar la aplicación del Reglamento, además de dirigir la actividad del CERT-UE.
Seguridad de la información
Por su parte, la propuesta de Reglamento sobre seguridad de la información contiene elementos como el establecimiento de un sistema de gobernanza eficaz para fomentar la cooperación entre todas las instituciones, órganos, organismos y agencias de la UE: un Grupo interinstitucional de coordinación de la seguridad de la información.
También determinará un enfoque común para la categorización de la información basado en el nivel de confidencialidad, modernizará las políticas de seguridad de la información, incluyendo la transformación digital y el trabajo a distancia de forma plena en su ámbito de aplicación; y racionalizará las prácticas actuales y logrará una mayor compatibilidad entre los sistemas y dispositivos pertinentes.
Así, configurará una base estable para el intercambio seguro de información entre las entidades de la UE y entre estas y los Estados miembros, con arreglo a prácticas y medidas normalizadas de protección de los flujos de información.