La Comisión Europea (CE) ha propuesto dos nuevas regulaciones para establecer medidas comunes de ciberseguridad y seguridad de la información en todo el bloque, con el objetivo de reforzar la resiliencia y la capacidad de respuesta contra una variedad de ciberamenazas.
Según el reglamento de seguridad cibernética propuesto, que se publicó el 22 de marzo de 2022, todas las instituciones, organismos, oficinas y agencias de la Unión Europea (UE) deberán contar con marcos de seguridad cibernética establecidos para la gobernanza, la gestión de riesgos y el control.
También se les pedirá que realicen evaluaciones periódicas de madurez, implementen planes de mejora y compartan cualquier información relacionada con incidentes con el Equipo de Respuesta a Emergencias Informáticas (CERT-EU) “sin demoras indebidas”.
La regulación también establecería una nueva Junta de Ciberseguridad interinstitucional para impulsar y monitorear la implementación de la regulación. La nueva junta ayudará aún más a dirigir CERT-EU, cuyo mandato también se extenderá para cumplir el triple papel de ser un centro de coordinación de respuesta a incidentes, un organismo asesor central y un proveedor de servicios.
En virtud de una propuesta de Reglamento de seguridad de la información separada publicada el mismo día, la CE busca crear un conjunto mínimo de reglas de seguridad para mejorar y estandarizar la forma en que las organizaciones públicas de la UE se protegen contra las amenazas en evolución a su información.
Estas normas también permitirán el intercambio seguro de información en toda la UE mediante el establecimiento de prácticas y medidas comunes para proteger los flujos de información, incluido un enfoque compartido para la categorización de la información en función del nivel de confidencialidad.
“En un entorno conectado, un solo incidente de ciberseguridad puede afectar a toda una organización. Por eso es fundamental construir un fuerte escudo contra las amenazas cibernéticas y los incidentes que podrían perturbar nuestra capacidad de actuar”, dijo Johannes Hahn, comisario de administración y presupuesto de la UE, en un comunicado.
“Las regulaciones que proponemos hoy son un hito en el panorama de la ciberseguridad y la seguridad de la información de la UE. Se basan en una cooperación reforzada y un apoyo mutuo entre las instituciones, órganos, oficinas y agencias de la UE y en una preparación y respuesta coordinadas. Este es un verdadero esfuerzo colectivo de la UE”.
La CE ha afirmado además que los cambios son necesarios en el contexto de la pandemia de Covid-19 y los crecientes desafíos geopolíticos, y que las reglas fortalecerán la cooperación interinstitucional, minimizarán la exposición al riesgo y, en general, reforzarán la cultura de seguridad de la UE.
Las propuestas, que ahora deben ser discutidas por el Parlamento Europeo y el Consejo, están en línea con la Estrategia de Unión de la Seguridad de la UE, que se publicó en diciembre de 2020 y tenía como objetivo reforzar la resiliencia colectiva del bloque contra las ciberamenazas.
Según un informe del Foro Económico Mundial (WEF) de enero de 2022, las amenazas a la seguridad cibernética se encuentran entre los principales riesgos que enfrenta el mundo, ya que amenazas como el ransomware y los ataques respaldados por estados nacionales proliferan y las organizaciones se vuelven más dependientes de la tecnología.
“Ahora que las amenazas cibernéticas crecen más rápido que nuestra capacidad para erradicarlas de forma permanente, está claro que ni la resiliencia ni la gobernanza son posibles sin planes de gestión de riesgos cibernéticos creíbles y sofisticados”, dijo Carolina Klint, líder de gestión de riesgos para Europa continental en Insurance Broker and Risk. Marsh especialista.
El 9 de marzo de 2022, los gobiernos europeos también redactaron una declaración para reforzar las capacidades de ciberseguridad de la UE, que incluía aumentar la financiación de la UE para apoyar los esfuerzos nacionales y desarrollar un ecosistema de ciberseguridad sólido.
Se supone que la financiación adicional ayudará a los países de la UE a ampliar sus capacidades cibernéticas ayudando a crear un mercado para proveedores de confianza, así como a reforzar la resiliencia de operadores seleccionados que estarían en riesgo durante un conflicto.
La declaración también instó a las autoridades europeas a presentar una serie de recomendaciones sobre cómo reforzar la resiliencia de la infraestructura digital de Europa.
En el Reino Unido, el gobierno también busca realizar una serie de actualizaciones a las regulaciones de Redes y Sistemas de Información (NIS) de 2018, que inicialmente se diseñaron para proteger la seguridad de los proveedores de infraestructura nacional crítica (CNI), en este caso, las empresas de servicios públicos. , transporte, salud y comunicaciones, respaldado por multas multimillonarias por incumplimiento.
Estas regulaciones se ampliarán en su alcance para incluir proveedores de servicios administrados (MSP) y proveedores de servicios digitales y en línea especializados, incluidos servicios de seguridad administrados, servicios en el lugar de trabajo y subcontratación general de TI. El gobierno del Reino Unido lanzó una consulta para recibir comentarios el 19 de enero de 2021.