Nova estratègia de ciberseguretat de la UE i noves regles per fer més resistents les entitats físiques i digitals crítiques

Avui (16 de desembre) la Comissió i l’alt representant de la Unió per a afers exteriors i política de seguretat presenten una nova estratègia de ciberseguretat de la UE. Com a component clau de l’elaboració del futur digital d’Europa, el pla de recuperació d’Europa i l’estratègia de la Unió de seguretat de la UE, l’estratègia reforçarà la resiliència col·lectiva d’Europa davant les ciberamenaces i contribuirà a garantir que tots els ciutadans i empreses puguin beneficiar-se plenament de serveis fiables i fiables. eines digitals. Ja siguin els dispositius connectats, la xarxa elèctrica o els bancs, avions, administracions públiques i hospitals que els europeus utilitzin o siguin freqüents, es mereixen fer-ho amb la seguretat que estaran protegits de les ciberamenaces.

La nova estratègia de ciberseguretat també permet a la UE reforçar el lideratge en normes i estàndards internacionals en el ciberespai i enfortir la cooperació amb socis de tot el món per promoure un ciberespai global, obert, estable i segur, fonamentat en l’estat de dret, els drets humans , llibertats fonamentals i valors democràtics. A més, la Comissió fa propostes per abordar la resistència cibernètica i física de les entitats i xarxes crítiques: una Directiva sobre mesures per a un nivell comú alt de ciberseguretat a tota la Unió (Directiva NIS revisada o "NIS 2") i una nova Directiva sobre la resiliència de les entitats crítiques.

Cobreixen una àmplia gamma de sectors i tenen com a objectiu abordar els riscos actuals i futurs en línia i fora de línia, des dels ciberatacs fins a la delinqüència o els desastres naturals, de manera coherent i complementària. La confiança i la seguretat al centre de la dècada digital de la UE La nova estratègia de ciberseguretat té com a objectiu salvaguardar una Internet global i oberta, alhora que ofereix garanties, no només per garantir la seguretat, sinó també per protegir els valors europeus i els drets fonamentals de tothom.

Basant-se en els èxits dels darrers mesos i anys, conté propostes concretes d’iniciatives reguladores, d’inversió i de polítiques, en tres àmbits d’acció de la UE: 1. Resiliència, sobirania tecnològica i lideratge
En aquest àmbit d’actuació, la Comissió proposa reformar les normes sobre seguretat de xarxes i sistemes d’informació, en virtut d’una Directiva sobre mesures per a un alt nivell comú de ciberseguretat a tota la Unió (Directiva NIS revisada o «NIS 2»), per augmentar el nivell de ciber resiliència dels sectors públics i privats crítics: hospitals, xarxes energètiques, ferrocarrils, però també centres de dades, administracions públiques, laboratoris d’investigació i fabricació de dispositius mèdics i medicaments crítics, així com d’altres infraestructures i serveis crítics, han de ser impermeables , en un entorn d'amenaces cada vegada més ràpid i complex. La Comissió també proposa llançar una xarxa de centres d’operacions de seguretat a tota la UE, impulsada per intel·ligència artificial (IA), que constituirà un autèntic “escut de ciberseguretat” per a la UE, capaç de detectar els signes d’un ciberatac prou aviat i de permetre un procés proactiu. acció, abans que es produeixi un dany. Entre les mesures addicionals s’inclourà un suport dedicat a les petites i mitjanes empreses (pimes), en virtut dels centres d’innovació digital, així com un augment dels esforços per perfeccionar la força de treball, atraure i retenir el millor talent en ciberseguretat i invertir en investigació i innovació obertes, competitiu i basat en l’excel·lència.
2. Construir la capacitat operativa per prevenir, dissuadir i respondre
La Comissió prepara, mitjançant un procés progressiu i inclusiu amb els estats membres, una nova unitat cibernètica conjunta per reforçar la cooperació entre els òrgans de la UE i les autoritats dels estats membres responsables de prevenir, dissuadir i respondre als ciberatacs, inclosos els civils, la policia, comunitats diplomàtiques i de ciberdefensa. L’alt representant presenta propostes per enfortir la caixa d’eines de la cibers diplomàcia de la UE per prevenir, desanimar, dissuadir i respondre eficaçment contra les activitats cibernètiques malintencionades, en particular aquelles que afecten la nostra infraestructura crítica, cadenes de subministrament, institucions i processos democràtics. La UE també tindrà com a objectiu millorar encara més la cooperació en defensa cibernètica i desenvolupar capacitats de ciberdefensa d’última generació, basant-se en la tasca de l’Agència Europea de Defensa i animant els estats MMMber a fer ple ús de la Cooperació Estructurada Permanent i la Defensa Europea. Fons.
3. Avançar en un ciberespai global i obert mitjançant una major cooperació
La UE intensificarà el treball amb socis internacionals per enfortir l’ordre global basat en normes, promoure la seguretat i l’estabilitat internacional al ciberespai i protegir els drets humans i les llibertats fonamentals en línia. Avançarà les normes i normes internacionals que reflecteixin aquests valors bàsics de la UE, treballant amb els seus socis internacionals a les Nacions Unides i altres fòrums rellevants. La UE reforçarà encara més la seva caixa d’eines per a la ciberdiplomàcia de la UE i augmentarà els esforços de creació de capacitats cibernètiques a tercers països mitjançant el desenvolupament d’una agenda de foment de la capacitat cibernètica de la UE. S’intensificaran els diàlegs cibernètics amb tercers països, organitzacions regionals i internacionals, així com la comunitat de múltiples parts interessades.

La UE també formarà una xarxa de cibers diplomàcia de la UE a tot el món per promoure la seva visió del ciberespai. La UE es compromet a donar suport a la nova estratègia de ciberseguretat amb un nivell d’inversió sense precedents en la transició digital de la UE durant els propers set anys, a través del proper pressupost a llarg termini de la UE, en particular el Programa Europa Digital i Horitzó Europa, així com la Recuperació Pla per a Europa. Així, es recomana als estats membres que facin un ús ple del mecanisme de recuperació i resiliència de la UE per augmentar la ciberseguretat i fer coincidir la inversió a nivell de la UE.

L’objectiu és assolir fins a 4.5 milions d’euros d’inversió combinada de la UE, els estats membres i la indústria, sobretot en el marc del Centre de competència en ciberseguretat i de la xarxa de centres de coordinació, i assegurar-se que una part important arribi a les pimes. La Comissió també té com a objectiu reforçar les capacitats industrials i tecnològiques de la UE en matèria de ciberseguretat, fins i tot mitjançant projectes recolzats conjuntament pels pressupostos nacionals i de la UE. La UE té l’oportunitat única d’agrupar els seus actius per millorar la seva autonomia estratègica i impulsar el seu lideratge en ciberseguretat a tota la cadena de subministrament digital (incloent dades i núvol, tecnologies de processadors de nova generació, connectivitat ultra segura i xarxes 6G), en línia amb la seva valors i prioritats.

Resiliència cibernètica i física de la xarxa, els sistemes d'informació i les entitats crítiques. Cal actualitzar les mesures existents a nivell de la UE destinades a protegir els serveis i les infraestructures clau dels riscos cibernètics i físics. Els riscos de ciberseguretat continuen evolucionant amb una creixent digitalització i interconnexió. Els riscos físics també s'han tornat més complexos des de l'adopció de les normes de la UE sobre infraestructures crítiques del 2008, que actualment només cobreixen els sectors de l'energia i el transport. Les revisions tenen l'objectiu d'actualitzar les normes seguint la lògica de l'estratègia de la Unió de Seguretat de la UE, superant la falsa dicotomia entre en línia i fora de línia i trencant l'enfocament de la sitja.

anunci

Per respondre a les creixents amenaces a causa de la digitalització i la interconnexió, la proposta de directiva sobre mesures per a un alt nivell comú de ciberseguretat a tota la Unió (Directiva NIS revisada o "NIS 2") cobrirà les entitats mitjanes i grans de més sectors en funció de la seva l’economia i la societat. NIS 2 reforça els requisits de seguretat imposats a les empreses, aborda la seguretat de les cadenes de subministrament i les relacions amb els proveïdors, racionalitza les obligacions d’informació, introdueix mesures de supervisió més estrictes per a les autoritats nacionals, requisits d’aplicació més estrictes i té com a objectiu harmonitzar els règims de sancions entre els estats membres. La proposta NIS 2 ajudarà a augmentar l’intercanvi d’informació i la cooperació en matèria de gestió de cibercrisies a nivell nacional i comunitari. La Directiva sobre resiliència de les entitats crítiques (CER) proposada amplia tant l’abast com la profunditat de la directiva europea d’infraestructures crítiques del 2008. Ara es cobreixen deu sectors: energia, transports, banca, infraestructures del mercat financer, salut, aigua potable, aigües residuals, infraestructures digitals, administració pública i espai. Segons la directiva proposada, els estats membres adoptaran cadascun una estratègia nacional per garantir la resiliència de les entitats crítiques i durien a terme avaluacions de risc periòdiques. Aquestes avaluacions també ajudarien a identificar un subconjunt més petit d’entitats crítiques que estarien subjectes a obligacions destinades a millorar la seva capacitat de resistència davant riscos no cibernètics, incloses les avaluacions de risc de nivell d’entitat, la presa de mesures tècniques i organitzatives i la notificació d’incidents.

La Comissió, al seu torn, proporcionaria suport complementari als estats membres i a les entitats crítiques, per exemple, desenvolupant una visió general a nivell de la Unió dels riscos transfronterers i intersectorials, bones pràctiques, metodologies, activitats de formació transfrontereres i exercicis per provar la resistència de les entitats crítiques. Assegurar la propera generació de xarxes: 5G i més enllà En virtut de la nova estratègia de ciberseguretat, es recomana als estats membres, amb el suport de la Comissió i ENISA, l'Agència Europea de Ciberseguretat, que finalitzin la implementació de la caixa d'eines 5G de la UE, un risc integral i objectiu enfocament basat en la seguretat del 5G i de les futures generacions de xarxes.

Segons un informe publicat avui, sobre l’impacte de la Recomanació de la Comissió sobre la ciberseguretat de les xarxes 5G i els avenços en la implementació de la caixa d’eines de mesures mitigadores de la UE, des de l’informe de progrés del juliol de 2020, la majoria d’estats membres ja estan en bon camí les mesures recomanades. Ara haurien d’objectiu de completar la seva implementació el segon trimestre del 2021 i garantir que els riscos identificats es mitiguessin adequadament, de manera coordinada, sobretot amb la finalitat de minimitzar l’exposició als proveïdors d’alt risc i evitar la dependència d’aquests proveïdors. La Comissió també exposa avui objectius i accions clau dirigits a continuar la tasca coordinada a nivell de la UE.

La vicepresidenta executiva d'Europa apta per a l'era digital, Margrethe Vestager, va dir: "Europa està compromesa amb la transformació digital de la nostra societat i economia. Per tant, hem de donar-li suport amb nivells d'inversió sense precedents. La transformació digital s'està accelerant, però només pot tenir èxit si la gent i les empreses poden confiar en que els productes i serveis connectats (en els quals confien) siguin segurs ".

L'alt representant Josep Borrell va dir: "La seguretat i l'estabilitat internacional depèn més que mai d'un ciberespai global, obert, estable i segur on es respectin l'estat de dret, els drets humans, les llibertats i la democràcia. Amb l'estratègia actual, la UE es reforça per protegir als seus governs, ciutadans i empreses a partir de les ciberamenaces mundials i proporcionar lideratge en el ciberespai, assegurant-se que tothom pugui obtenir els beneficis d'Internet i l'ús de les tecnologies ".

La vicepresidenta Margaritis Schinas, que va promoure la nostra forma de vida europea, va dir: "La ciberseguretat és una part central de la Unió de la Seguretat. Ja no hi ha distinció entre amenaces en línia i fora de línia. El digital i el físic ara estan indissolublement entrellaçats. El conjunt de mesures actuals demostren que La UE està preparada per utilitzar tots els seus recursos i experiència per preparar-se i respondre a amenaces físiques i cibernètiques amb el mateix nivell de determinació ".

El comissari del mercat interior, Thierry Breton, va dir: "Les ciberamenaces evolucionen ràpidament, són cada vegada més complexes i adaptables. Per assegurar-nos que els nostres ciutadans i infraestructures estiguin protegides, hem de pensar diversos passos endavant. experiència i coneixement per detectar i reaccionar més ràpidament, limitar possibles danys i augmentar la nostra resistència. Invertir en ciberseguretat significa invertir en un futur saludable dels nostres entorns en línia i en la nostra autonomia estratègica. "

La comissària d'Afers Interns, Ylva Johansson, va dir: "Els nostres hospitals, sistemes d'aigües residuals o infraestructures de transport només són tan forts com els seus vincles més febles; les interrupcions en una part de la Unió riscen d'afectar la prestació de serveis essencials en altres llocs. Per garantir el bon funcionament de la al mercat i als mitjans de subsistència dels que viuen a Europa, la nostra infraestructura clau ha de ser resistent a riscos com ara desastres naturals, atacs terroristes, accidents i pandèmies com el que estem vivint avui. La meva proposta sobre infraestructures crítiques ho fa exactament ".

Propers passos

La Comissió Europea i l’alt representant es comprometen a implementar la nova estratègia de ciberseguretat en els propers mesos. Informaran periòdicament sobre els progressos realitzats i mantindran el Parlament Europeu, el Consell de la Unió Europea i les parts interessades plenament informades i compromeses en totes les accions pertinents. Ara correspon al Parlament Europeu i al Consell examinar i adoptar la proposta de Directiva NIS 2 i la Directiva de resistència de les entitats crítiques. Un cop acceptades les propostes i adoptades en conseqüència, els estats membres haurien de transposar-les dins dels 18 mesos següents a la seva entrada en vigor.

La Comissió revisarà periòdicament la Directiva NIS 2 i la Directiva de resistència de les entitats crítiques i informarà sobre el seu funcionament. Antecedents La ciberseguretat és una de les principals prioritats de la Comissió i una pedra angular de l’Europa digital i connectada. Un augment dels ciberatacs durant la crisi del coronavirus ha demostrat la importància de protegir els hospitals, centres de recerca i altres infraestructures. Es necessita una acció forta a la zona per protegir el futur l'economia i la societat de la UE. La nova estratègia de ciberseguretat proposa integrar la ciberseguretat en tots els elements de la cadena de subministrament i ajuntar les activitats i els recursos de la UE a les quatre comunitats de ciberseguretat: mercat intern, aplicació de la llei, diplomàcia i defensa.

Es basa en la configuració del futur digital de la UE i l’estratègia de la Unió de seguretat de la UE i es recolza en una sèrie d’actes legislatius, accions i iniciatives que la UE ha implementat per enfortir les capacitats de ciberseguretat i garantir una Europa més ciber resilient. Això inclou l'estratègia de ciberseguretat del 2013, revisada el 2017, i l'Agenda Europea de Seguretat de la Comissió 2015-2020. També reconeix la creixent interconnexió entre seguretat interna i externa, en particular mitjançant la política exterior i de seguretat comuna. La primera llei de ciberseguretat de tota la UE, la Directiva NIS, que va entrar en vigor el 2016 va contribuir a assolir un alt nivell de seguretat comú de sistemes de xarxa i informació a tota la UE. Com a part del seu objectiu polític clau per fer Europa apta per a l’era digital, la Comissió va anunciar la revisió de la Directiva NIS al febrer d’aquest any.

La Llei de ciberseguretat de la UE que està en vigor des del 2019 va dotar Europa d’un marc de certificació de ciberseguretat de productes, serveis i processos i va reforçar el mandat de l’Agència Europea de Ciberseguretat (ENISA). Pel que fa a la ciberseguretat de les xarxes 5G, els estats membres, amb el suport de la Comissió i ENISA, han establert, amb la caixa d'eines 5G de la UE adoptada el gener del 2020, un enfocament integral i objectiu basat en el risc. La revisió de la Comissió de la seva Recomanació de març de 2019 sobre la ciberseguretat de les xarxes 5G va demostrar que la majoria dels estats membres han avançat en la implementació de la caixa d’eines. A partir de l’estratègia de ciberseguretat de la UE de 2013, la UE ha desenvolupat una política cibernètica internacional coherent i holística.

Treballant amb els seus socis a nivell bilateral, regional i internacional, la UE ha promogut un ciberespai global, obert, estable i segur guiat pels valors bàsics de la UE i fonamentat en l’estat de dret. La UE ha donat suport a tercers països per augmentar la seva capacitat de resistència cibernètica i la seva capacitat per combatre el ciberdelinqüència i ha utilitzat la seva caixa d’eines per a la diplomàcia cibernètica de la UE del 2017 per contribuir encara més a la seguretat i l’estabilitat internacional al ciberespai, inclosa la sol·licitud per primera vegada del règim de ciber sancions del 2019 i que inclou 8 persones i 4 entitats i organismes. La UE ha avançat significativament també en la cooperació en ciberdefensa, incloses les capacitats de ciberdefensa, sobretot en el marc del seu marc de polítiques de ciberdefensa (CDPF), així com en el context de la cooperació estructurada permanent (PESCO) i el treball de l'Agència Europea de Defensa. La ciberseguretat és una prioritat que també es reflecteix en el proper pressupost a llarg termini de la UE (2021-2027).

En el marc del Programa Europa Digital, la UE donarà suport a la investigació, la innovació i les infraestructures sobre ciberseguretat, la ciberdefensa i la indústria de la ciberseguretat de la UE. A més, en la seva resposta a la crisi del Coronavirus, que va augmentar els ciberatacs durant el tancament, les inversions addicionals en ciberseguretat s’asseguren en el marc del Pla de recuperació per a Europa. La UE ha reconegut durant molt de temps la necessitat d'assegurar la resiliència de les infraestructures crítiques que proporcionen serveis que són essencials per al bon funcionament del mercat intern i la vida i els mitjans de subsistència dels ciutadans europeus. Per aquest motiu, la UE va establir el Programa Europeu de Protecció de les Infraestructures Crítiques (EPCIP) el 2006 i va adoptar la Directiva Europea de la Infraestructura Crítica (ECI) el 2008, que s’aplica als sectors de l’energia i el transport. Aquestes mesures es van complementar els anys posteriors amb diverses mesures sectorials i intersectorials sobre aspectes específics com ara la protecció del clima, la protecció civil o la inversió estrangera directa.

Comparteix aquest article: