Pel que fa al reforç de les capacitats ciberofensives, els estats membres de la UE no poden esperar després de Brussel·les

Les ciberdefenses europees són febles i vulnerables. En aquesta era de tensions geopolítiques, els sistemes informàtics del nostre continent són un perill inesperat per als pirates informàtics i les nacions hostils. Hem de protegir-nos millor. escriu Antònia-Laura Pup.

Tot i que el bloc va fer progressos en el reforç d'algunes infraestructures de ciberdefensa, inclosa la seva recent Llei de resiliència cibernètica, la UE continua endarrerida respecte a Rússia, la Xina i els Estats Units pel que fa al desenvolupament de capacitats cibernètiques ofensives robustes. Aquest és un problema fàcil de solucionar. Només vol dir relaxar les normes perquè els estats membres de la UE puguin treballar junts més fàcilment. Europa necessita interoperabilitat i més exercicis conjunts entre països que ja posseeixen aquesta capacitat i tenen una avaluació d'amenaces compartida.

La naturalesa del ciberconflicte fa que la distinció entre temps de pau i temps de guerra sigui obsoleta. Els actors estatals amb agendes estratègiques opaques com Rússia i la Xina, així com els actors no estatals com els grups criminals i els hacktivistes, poden desafiar infraestructures crítiques, recopilar informació valuosa i llançar atacs pertorbadors mentre es mantenen per sota del llindar d'un conflicte armat. Això significa que Europa ha de jutjar la seva resposta amb cura.

Abans de les eleccions presidencials del 2024, 85,000 ciberatacs va afectar els sistemes electorals de Romania. Això va impulsar la comunitat d'intel·ligència romanesa a afirmar públicament Els llocs web electorals nacionals es van publicar a les plataformes russes de ciberdelinqüència hores abans que els ciutadans anessin a les urnes. El 2024, pirates informàtics xinesos es van vincular amb l'agència nacional d'intel·ligència MSS van atacar legisladors europeus anti-Xina mitjançant ciberatacs per recopilar dades sensibles.

A la zona grisa del domini cibernètic, la postura defensiva i passiva que ha adoptat la UE és insuficient. Sense unes capacitats cibernètiques robustes, la UE no pot amenaçar amb represàlies, que són un component essencial de la dissuasió i un element clau per a la credibilitat del bloc. el seu intent de ser més rellevant militarment.

La Comissió Europea va reconèixer aquesta urgència en el seu Llibre Blanc per a la Defensa Europea, publicat el març de 2025, que va injectar un pragmatisme molt necessari al ciberàmbit de la UE. «Calen capacitats cibernètiques tant defensives com ofensives per garantir la protecció i la llibertat de maniobra al ciberespai», va dir.

La seguretat europea, però, no pot esperar el desenvolupament de nous esquemes de suport o una capacitat ciberofensiva comuna a tot el bloc. El problema és més fonamental. Fins i tot hi ha una manca d'una comprensió comuna del que constitueix un risc cibernètic. Per a Hongria, que ha desenvolupat un important col·laboració de transformació digital amb Huawei, és molt menys probable que els seus líders polítics estiguin d'acord que la Xina és un risc cibernètic.

De la mateixa manera, el govern eslovac, encapçalat per Fico, simpatitzant de Rússia, podria resultar un obstacle per als esforços de la UE per dur a terme operacions ofensives contra Moscou. Aquests dos països per si sols podrien fàcilment vetar una iniciativa per desenvolupar una capacitat ciberofensiva conjunta com a part del Política Europea de Seguretat i Defensa Comuna, que necessita unanimitat per a les seves decisions polítiques. Sense una perspectiva compartida sobre què és una amenaça per a la seguretat, intentar esforços a nivell de la UE per a capacitats ofensives conjuntes en cibernètica es convertiria en un projecte buit abans de començar.

No hi ha temps a perdre amb aquesta política. Els estats membres no haurien d'esperar una capacitat ofensiva conjunta a nivell de la UE en ciberseguritat. Haurien de començar ara, mitjançant més exercicis conjunts voluntaris entre els aliats europeus i més interoperabilitat, incloent-hi els estats candidats a la UE amb experiència en la realització d'operacions cibernètiques ofensives, com ara... Ucraïna.

Per exemple, podrien consultar PESCO (Permanent Structured Cooperation). Establert el desembre de 2017 a nivell de la UE, és un marc que permet als membres de la UE que vulguin i puguin treballar més estretament en matèria de seguretat i defensa, sense necessitat d'un acord unànime dels altres estats membres. Com a plataforma voluntària, permet als estats membres desenvolupar capacitats de defensa comunes, invertir en projectes conjunts i millorar la preparació operativa treballant més estretament entre ells.

Ja hi ha iniciatives cibernètiques en marxa en el marc de la PESCO. Equips de resposta ràpida cibernètica (CRRT) es va convertir en el primer projecte d'aquest tipus que va assolir la plena capacitat operativa el maig de 2021. Aquest projecte reuneix entre 8 i 12 professionals de la ciberseguretat dels sis països participants de la UE (Croàcia, Estònia, Lituània, els Països Baixos, Polònia i Romania) per proporcionar assistència en cas d'incidents cibernètics al voltant dels membres de la UE, les institucions i els països socis. Els països candidats a la UE amb experiència en la lluita contra operacions cibernètiques també podrien unir-se i ampliar aquest projecte PESCO. Aquesta aliança més àmplia pot ampliar el seu enfocament per incloure exercicis cibernètics ofensius conjunts.

La PESCO està madura per a l'expansió. Els estats membres haurien de considerar ampliar-la permetent que els països en procés d'adhesió a la UE s'hi uneixin, però també ampliant l'abast del seu enfocament cibernètic per incloure capacitats ofensives i exercicis ciberofensius conjunts.

La interoperabilitat també ha de ser una prioritat. En aquest cas, Centres d'Anàlisi i Intercanvi d'Informació (ISAC) tenen com a objectiu fomentar la col·laboració entre les comunitats de ciberseguretat de diferents sectors econòmics. El desenvolupament d'ISAC per a les capacitats ciberofensives permetria consultes amb múltiples parts interessades i identificar el suport que necessiten les empreses, inclosa la reducció de la burocràcia per a les empreses emergents que puguin voler participar en el desenvolupament de capacitats ciberofensives per a la UE.

La UE ha de reforçar les seves capacitats ciberofensives d'una manera més àgil, mitjançant més exercicis conjunts, més interoperabilitat mitjançant l'intercanvi d'informació i menys burocràcia per als actors econòmics que vulguin assumir aquest esforç. Tanmateix, esperar que sorgeixi un consens polític i una maduresa compartida a nivell de bloc és contraproduent i deixaria la Unió Europea encara més enrere dels actors estatals que ja utilitzen la ciberofensiva amb gran habilitat. Amb pragmatisme, la UE ha d'anar més enllà en el desenvolupament de la seva capacitat cibernètica ofensiva, encara que només sigui reunint aquells que ja estan disposats a començar.

Antonia-Laura Pup és becària de política a Young Voices Europe. És una estudiant Fulbright en Estudis de Seguretat a la Universitat de Georgetown, on investiga la influència de la Xina a la regió del Mar Negre. Originària de Romania, anteriorment va assessorar el president del Comitè de Defensa del parlament romanès. També va treballar a l'OCDE i al Parlament Europeu.

Comparteix aquest article: