COMISIÓN EUROPEA
Bruselas, 5.7.2016
COM(2016) 410 final
COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES
Reforzar el sistema de ciberresiliencia de Europa
y promover una industria de la ciberseguridad competitiva e innovadora
1. Introducción/contexto
Todos los días, los incidentes de ciberseguridad provocan perjuicios económicos importantes a las empresas europeas y a la economía en general. Dichos incidentes socavan la confianza de los ciudadanos y las empresas en la sociedad digital. El robo de secretos comerciales, información comercial y datos personales, la perturbación de los servicios, incluidos los de carácter esencial, y de las infraestructuras dan lugar a pérdidas económicas de cientos de miles de millones de euros anuales 1 . También pueden tener consecuencias para los derechos fundamentales de los ciudadanos y para la sociedad en su conjunto.
La Estrategia de Ciberseguridad de la Unión Europea de 2013 2 (en lo sucesivo, la «estrategia de ciberseguridad de la UE»), y su principal resultado, la Directiva sobre Seguridad de las Redes y de la Información (SRI) 3 de inminente adopción, constituyen hasta la fecha, junto con la Directiva 2013/40/UE relativa a los ataques contra los sistemas de información, la principal respuesta de la Unión Europea a estos desafíos en materia de ciberseguridad. Además, la UE también cuenta con entes especializados a su disposición, como la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), el Centro Europeo de Ciberdelincuencia (EC3) de Europol y el Equipo de Respuesta a Emergencias Informáticas (CERT-UE). Recientemente, se han puesto en marcha una serie de iniciativas sectoriales (por ejemplo, en los campos del transporte y la energía) para aumentar la ciberseguridad en diversos sectores cruciales.
A pesar de estos avances positivos, la UE sigue siendo vulnerable a los ciberincidentes. Esto podría debilitar el mercado único digital y la vida económica y social en su conjunto. El impacto de estos incidentes puede ir también más allá de la economía. En el caso de las amenazas híbridas 4 , los ciberataques pueden utilizarse de forma coordinada con otras actividades para desestabilizar un país o poner en jaque a las instituciones políticas.
Así las cosas, la gestión de un ciberincidente a gran escala en el que estuvieran implicados varios Estados miembros de forma simultánea podría suponer un reto para la UE. En las sinergias con la Comunicación sobre la lucha contra las amenazas híbridas y la Comunicación sobre la aplicación de la Agenda Europea de Seguridad 5 , la Comisión está estudiando la forma de hacer frente a los cambios en la realidad de la ciberseguridad y evaluando las medidas adicionales que puedan resultar necesarias para mejorar la resiliencia de la UE en materia de ciberseguridad y respuesta a los incidentes.
Además, la Comisión también está abordando la ciberseguridad de las capacidades industriales de la Unión Europea. Aunque no sea posible tener bajo control toda la cadena de valor de las tecnologías digitales en Europa, es necesario conservar y desarrollar al menos determinadas capacidades esenciales. El suministro de productos y servicios que aporten el máximo nivel de ciberseguridad constituye una oportunidad para la industria de la ciberseguridad en Europa y podría convertirse en una importante ventaja competitiva. Se calcula que el mercado global de la ciberseguridad será uno de los segmentos de más rápido crecimiento dentro del sector de las TIC 6 . Para dar a la UE un papel protagonista en este ámbito es necesario contar con el apoyo de una sólida cultura de la seguridad de los datos, incluso de los datos personales, y de una respuesta eficaz ante los incidentes. Esto se considerará un argumento de peso para invertir en la UE, contribuyendo de esta forma a lograr los ambiciosos objetivos del mercado único digital para crear crecimiento y empleo.
Es necesario un compromiso firme para conseguir estos fines, y en particular:
i) Intensificar la cooperación para mejorar la preparación y hacer frente a los ciberincidentes.
Es necesario reforzar los mecanismos de cooperación existentes y acordados para incrementar la resiliencia y preparación de la UE, incluso ante una posible crisis de ciberseguridad paneuropea. Estos mecanismos de cooperación deben ser globales y abarcar todo el ciclo de vida de un incidente, desde la prevención hasta las sanciones. La cooperación eficaz entre los Estados miembros y la puesta en práctica de los requisitos en materia de seguridad aplicables a los operadores críticos exigirá también que la industria de la ciberseguridad aporte soluciones técnicas robustas.
Al mismo tiempo, garantizar la resiliencia de los activos informáticos críticos en toda la UE requerirá esfuerzos constantes por encontrar sinergias intersectoriales e incorporar requisitos cibernéticos en todas las políticas pertinentes de la UE. La Comisión estudiará la necesidad de actualizar la estrategia de ciberseguridad de la UE de 2013 en un futuro próximo.
ii) Hacer frente a los desafíos con que se enfrenta el mercado único de la ciberseguridad en Europa.
La estrategia del Mercado Único Digital (DSM) 7 reconocía que siguen existiendo lagunas específicas en el ámbito de las tecnologías y las soluciones de seguridad de las redes en línea, en constante evolución. Al mismo tiempo, los estudios de mercado indican que el mercado interior de la UE está todavía fragmentado geográficamente en lo que respecta al suministro de productos y servicios de ciberseguridad 8 . La presente Comunicación establece una serie de medidas políticas orientadas al mercado para abordar estas divergencias y desafíos del mercado único.
iii) Fomentar las capacidades industriales en el ámbito de la ciberseguridad.
En la estrategia de ciberseguridad de la UE y en la estrategia del DSM, la Comisión se comprometió a promover una mayor oferta de productos y servicios por parte de la industria de ciberseguridad de la UE. En consecuencia, la Comisión también va a adoptar una resolución que allane el camino a un acuerdo contractual de asociación público-privada (APP) de ciberseguridad, que tendrá por objeto promover una agenda de investigación e innovación europeas de vanguardia en materia de ciberseguridad, para contribuir a una mayor competitividad.
2. Llevar la cooperación, los conocimientos y las capacidades a un nivel superior
La estrategia de ciberseguridad de la UE y, en particular, la inminente Directiva sobre Seguridad de las Redes y de la Información (Directiva SRI) 9 allanarán el camino hacia una mayor cooperación a escala de la UE en todos los Estados miembros. La aplicación rápida y efectiva de la Directiva será clave en vista de la creciente digitalización de la vida económica y de la sociedad (teniendo también en cuenta la nube, la Internet de las Cosas y la comunicación máquina-máquina), el aumento de la interconexión transfronteriza y la rápida evolución del panorama de ciberamenazas 10 . En este contexto, la UE necesita estar preparada ante la posibilidad de una crisis cibernética a gran escala 11 , en la que se produzcan, por ejemplo, ataques simultáneos a sistemas de información vitales en varios Estados miembros 12 .
La cooperación a nivel de la UE es esencial para hacer frente tanto a ciberincidentes a pequeña escala, aunque potencialmente cada vez más numerosos, como a un posible ataque cibernético a gran escala en múltiples Estados miembros. Es necesario que la UE integre aspectos de ciberdefensa en los actuales mecanismos de gestión de crisis. También es preciso que garantice una cooperación eficaz y rápida de los mecanismos de intercambio de información entre sectores y Estados miembros para responder a este tipo de incidentes y contenerlos. Por otro lado, estos mecanismos deben funcionar de forma coherente, contribuyendo de este modo a la lucha contra el terrorismo, la criminalidad organizada y la ciberdelincuencia. Esto aumentaría también la capacidad de la UE de coordinarse con sus socios internacionales para responder con eficacia a las amenazas e incidentes globales.
2.1. Aprovechar al máximo los mecanismos de cooperación en el ámbito de la SRI y avanzar hacia la ENISA 2.0
Una parte esencial de las capacidades nacionales que exige la Directiva SRI son equipos de respuesta a incidentes de seguridad informática (CSIRT por sus siglas en inglés), responsables de reaccionar rápidamente frente a las amenazas e incidentes cibernéticos. Estos equipos constituirán la Red CSIRT para promover una cooperación operativa eficaz en incidentes de ciberseguridad específicos y compartir información sobre riesgos. Además, la Directiva creará un grupo de cooperación para apoyar y facilitar la cooperación estratégica entre los Estados miembros y para consolidar la confianza mutua.
Habida cuenta de la naturaleza y multitud de las ciberamenazas, la Comisión anima a los Estados miembros a sacar el máximo partido de los mecanismos de cooperación de la SRI actualmente a su disposición, y también a potenciar la cooperación transfronteriza relativa a la preparación ante un ciberincidente a gran escala. Este tipo de cooperación adicional en caso de ciberincidente importante se beneficiaría del enfoque coordinado en la cooperación ante las crisis entre los diferentes elementos del ecosistema cibernético. Un enfoque de este tipo puede describirse en un «plan director» que también debe garantizar sinergias y coherencia con los mecanismos existentes de gestión de crisis 13 . Posteriormente, deberá ponerse a prueba periódicamente en ejercicios de gestión de crisis, tanto cibernéticas como de otros tipos. Dicho programa debería reservar una función para los organismos a nivel de la UE, como la ENISA, el CERT-UE y el Centro Europeo de Ciberdelincuencia (EC3) de Europol, y utilizar las herramientas creadas en el marco de la Red CSIRT. En el primer semestre de 2017 la Comisión se propone someter dicho plan director de cooperación a la consideración del Grupo de Cooperación, la Red CSIRT y demás partes interesadas pertinentes.
En la actualidad, los conocimientos teóricos y prácticos sobre ciberseguridad están disponibles a escala de la UE, pero de forma dispersa y no estructurada. Para apoyar los mecanismos de cooperación de la SRI, la información debería agruparse en un «centro logístico de información» para ponerla fácilmente a disposición de todos los Estados miembros que la soliciten. Este «centro logístico» se convertiría en un recurso central que permitiría a las instituciones y Estados miembros de la UE el intercambio de información cuando fuera preciso. Un acceso simplificado a una información mejor estructurada sobre los riesgos y posibles soluciones en materia de ciberseguridad ayudaría a los Estados miembros a aumentar sus capacidades y a armonizar sus prácticas y, de este modo, a reforzar la capacidad general de resiliencia frente a los ataques. La Comisión, apoyada por la ENISA y el CERT-UE y con el asesoramiento técnico de su Centro Común de Investigación, facilitará la creación y garantizará la viabilidad del centro logístico.
Además, debería constituirse a nivel de la UE un grupo consultivo de alto nivel 14 integrado por expertos y responsables de las decisiones en materia de ciberseguridad procedentes de la industria, el mundo académico, la sociedad civil y otras organizaciones relevantes. El grupo permitiría a la Comisión obtener asesoramiento técnico y aportaciones del exterior, de una forma abierta y transparente, sobre sus políticas y estrategias en materia de ciberseguridad y sobre posibles actuaciones normativas o políticas públicas de otro tipo. Conectaría con otras estructuras en materia de ciberseguridad y las complementaría 15 .
Además, la Comisión tiene que realizar una evaluación de la ENISA a más tardar el 20 de junio de 2018 y la posible modificación o renovación de su mandato ha de adoptarse antes del 19 de junio de 2020 16 . Habida cuenta del actual panorama en lo que respecta a la ciberseguridad, la Comisión quisiera adelantar la evaluación y, en función de los resultados obtenidos, presentar una propuesta lo antes posible.
A la hora de evaluar la posible necesidad de cambiar el mandato de la ENISA, la Comisión tendría que tener en cuenta los desafíos a la ciberseguridad descritos anteriormente y el esfuerzo global para intensificar la cooperación y la puesta en común de conocimientos. Este proceso será la ocasión de plantearse el posible refuerzo del potencial de la Agencia y de su capacidad para ayudar a los Estados miembros de manera sostenible para lograr la resiliencia en materia de ciberseguridad. La reflexión sobre el mandato de la ENISA, además, necesita tener en cuenta las nuevas responsabilidades de la Agencia, en el marco de la Directiva SRI; los nuevos objetivos estratégicos para apoyar a la industria de la ciberseguridad (la estrategia del DSM y, en particular, el acuerdo contractual de asociación público-privada); las nuevas necesidades en materia de protección de los sectores vitales y los nuevos retos relacionados con incidentes transfronterizos, incluida la respuesta coordinada ante crisis cibernéticas.
|
La Comisión: -someterá a consideración un plan director de cooperación para hacer frente a los ciberincidentes a gran escala a nivel de la UE en el primer semestre de 2017; -facilitará la creación de un «centro logístico de información» para apoyar el intercambio de información entre los organismos de la UE y los Estados miembros; -creará un grupo consultivo de alto nivel sobre ciberseguridad; y -finalizará la evaluación de la ENISA antes de finales de 2017. Dicha evaluación abordará la necesidad de modificar o ampliar el mandato de la ENISA, con el fin de presentar una propuesta lo antes posible. |
2.2 Aumentar los esfuerzos en materia de educación, formación y ejercicios
Algunos de los aspectos clave para lograr la resiliencia en materia de ciberseguridad son una formación y unas cualificaciones profesionales adecuadas, relacionadas con la prevención de los incidentes de ciberseguridad y con el tratamiento y mitigación de sus efectos.
En la actualidad, la ENISA, el Grupo Europeo de Educación y Formación contra la Ciberdelincuencia (ECTEG), en cooperación con el EC3 de Europol y con la Escuela Europea de Policía (CEPOL), desempeñan un importante papel a la hora de facilitar el apoyo a la capacitación, incluso en materia de análisis forense digital, mediante la elaboración de manuales y la organización de cursos de formación y ejercicios de ciberseguridad.
Al mismo tiempo, el ciberespacio es un ámbito en rápida evolución en el que las capacidades de doble uso desempeñan un papel esencial. Es necesario, por tanto, desarrollar la cooperación civil-militar y las sinergias en la formación y los ejercicios prácticos para mejorar la resiliencia y la capacidad de respuesta ante incidentes de la UE.
Para responder a esta necesidad, y en la línea de la adopción de la Directiva SRI y del Marco Político de Ciberdefensa de la UE 17 , los servicios de la Comisión cooperarán con los Estados miembros, el Servicio Europeo de Acción Exterior (SEAE), la ENISA y demás organismos competentes de la UE 18 para establecer una plataforma de educación, formación y ejercicios en materia de ciberseguridad que fomentará las sinergias entre las actividades de formación civil y de defensa.
|
La Comisión: -trabajará en estrecha cooperación con los Estados miembros, la ENISA, el SEAE y demás organismos competentes de la UE para establecer una plataforma de formación en materia de ciberseguridad. |
2.3. Abordar las interdependencias entre sectores y la resiliencia de la infraestructura de redes públicas clave
Un factor importante a la hora de evaluar el riesgo y el impacto de un ciberincidente a gran escala es el grado de interdependencia transfronteriza e intersectorial. Un ciberincidente grave en un sector o en un Estado miembro puede repercutir directa o indirectamente en otros sectores o en otros Estados miembros o propagarse a ellos.
La cooperación transfronteriza e intersectorial facilita el intercambio de información y conocimientos especializados, incrementando así la preparación y la resiliencia. La Comisión ha apoyado el trabajo realizado en diversos sectores para comprender mejor las interdependencias mediante la aplicación del Programa Europeo de Protección de Infraestructuras Críticas 19 .
Al mismo tiempo, un requisito indispensable para abordar los riesgos intersectoriales es la capacidad de cada uno de los sectores de identificar, prepararse y responder a los ciberincidentes. La Comisión evaluará el riesgo derivado de ciberincidentes en sectores altamente interdependientes dentro y a través de las fronteras nacionales, en particular, en los sectores regulados por la Directiva SRI, teniendo también en cuenta los acontecimientos a nivel internacional 20 . Después de dicha evaluación, la Comisión estudiará si son necesarias otras normas específicas y/o directrices sobre la preparación frente a riesgos cibernéticos para estos sectores vitales.
A escala europea, los centros sectoriales de puesta en común y análisis de la información (ISAC, por sus siglas en inglés) 21 , y los CSIRT correspondientes pueden desempeñar un papel clave en la preparación y respuesta ante los ciberincidentes. Para garantizar unos flujos de información eficaces sobre la evolución de las amenazas y para facilitar la respuesta ante los ciberincidentes, debe animarse a los ISAC a engranarse en la Red de CSIRT dentro de la Directiva SRI y a colaborar con el Centro Europeo de Ciberdelincuencia (EC3) de Europol, con el CERT-UE, así como con las fuerzas y cuerpos de seguridad competentes.
El intercambio de información entre las partes interesadas y las autoridades a lo largo de todo el ciclo de vida de los riesgos cibernéticos exige que los participantes confíen en que su responsabilidad no se verá comprometida. La Comisión ha observado una serie de inquietudes de este tipo que hacen que las empresas no compartan valiosos conocimientos concretos sobre las amenazas con sus homólogos, con otros sectores o con las autoridades, en particular entre países. La Comisión tratará de resolver y despejar estas inquietudes en aras de una mejora del intercambio de información sobre las ciberamenazas.
También es fundamental contar con unos canales de información fiables que garanticen la confidencialidad para animar a las empresas a informar sobre la sustracción de secretos comerciales. Esto permitiría controlar y evaluar el perjuicio sufrido por la industria europea (que también daría lugar a pérdidas de ventas y empleos) y los organismos de investigación. También contribuiría a diseñar una respuesta política adecuada. Con la ayuda de la ENISA, la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO por sus siglas en inglés) y la EC3 de Europol, la Comisión, en el marco de un diálogo con las partes interesadas del sector privado, creará canales fiables para la notificación voluntaria de la sustracción de secretos comerciales. Ello debería permitir la compilación de datos anonimizados y agregados a nivel de la UE. Dichos datos pueden ser compartidos con los Estados miembros para apoyar la labor diplomática y las acciones de sensibilización tendentes a proteger los activos intangibles de la UE frente a los ciberataques.
Para brindar apoyo a la ciberseguridad sectorial, la Comisión también promoverá la incorporación de la ciberseguridad en el desarrollo de varias políticas sectoriales de la UE comprometidas en el terreno de la ciberseguridad.
Por último, aunque no por ello menos importante, las autoridades públicas tienen un importante papel que desempeñar a la hora de verificar la integridad de las infraestructuras esenciales de Internet para detectar los problemas, informar a la parte responsable de dichas redes y, siempre que sea necesario, prestar asistencia para remediar las vulnerabilidades conocidas. Las autoridades nacionales de reglamentación podrán utilizar las capacidades de los CSIRT para realizar regularmente exámenes en profundidad de las infraestructuras de redes públicas. A partir de ellos, podrán animar a los operadores a colmar las lagunas o subsanar las vulnerabilidades que se hayan podido detectar en dichos exámenes.
Así pues, la Comisión estudiará las condiciones jurídicas y organizativas necesarias para que las autoridades nacionales de reglamentación, en cooperación con las autoridades nacionales de ciberseguridad, soliciten a los CSIRT que lleven a cabo controles regulares de la vulnerabilidad de las infraestructuras de redes públicas. Debe animarse a los CSIRT nacionales a que cooperen en la Red de los CSIRT sobre mejores prácticas en el seguimiento de las redes, lo que facilitaría la prevención de incidentes a gran escala.
|
La Comisión: -fomentará la aparición de una cooperación europea de centros sectoriales de puesta en común y análisis de la información, apoyará su colaboración con los CSIRT e intentará suprimir los obstáculos que impiden a los participantes del mercado la puesta en común de la información; -estudiará el riesgo estratégico y sistémico derivado de ciberincidentes en sectores altamente interdependientes, dentro y a través de las fronteras nacionales; -evaluará la necesidad de normas o directrices adicionales sobre la preparación ante el riesgo cibernético para sectores vitales y, si procede, estudiará su elaboración; -creará junto con la ENISA, la EUIPO y la EC3 canales fiables para la notificación voluntaria de la sustracción cibernética de secretos comerciales; -promoverá la integración de medidas de ciberseguridad en políticas sectoriales europeas, y -examinará las condiciones necesarias que permitan a las autoridades nacionales pedir a los CSIRT que realicen controles periódicos de las infraestructuras de red fundamentales. |
3. Hacer frente a los desafíos a los que se enfrenta el mercado único de la ciberseguridad de Europa
Europa necesita productos y soluciones de ciberseguridad de alta calidad, que sean asequibles e interoperables. Sin embargo, el suministro de productos y servicios de seguridad de las TIC dentro del mercado único sigue estando muy fragmentado desde el punto de vista geográfico. Por una parte, esto hace difícil que las empresas europeas puedan competir a nivel nacional, europeo y mundial; por otra, reduce las opciones de contar con tecnologías de ciberseguridad viables y utilizables a las que pueden acceder los ciudadanos y las empresas 22 .
De hecho, la industria de la ciberseguridad en Europa se ha desarrollado en gran medida a partir de la demanda de los gobiernos nacionales, incluido el sector de la defensa. La mayoría de los contratistas de defensa europeos han desarrollado importantes secciones de ciberseguridad 23 . Paralelamente, han surgido también multitud de pymes innovadoras, tanto en mercados de especialidad/nichos de mercado (por ejemplo, los sistemas de cifrado) como en mercados bien establecidos con nuevos modelos empresariales (por ejemplo, los programas antivirus).
Sin embargo, las empresas se enfrentan cada vez con más dificultades, fuera de su mercado nacional. La falta de confianza en las soluciones «transfronterizas» ofrecidas es el factor esencial que aparecía nítidamente en todas las consultas realizadas por la Comisión 24 . Como consecuencia de ello, una gran parte de la adjudicación de contratos aún tiene lugar dentro de un Estado miembro dado y muchas empresas tienen dificultades para alcanzar las economías de escala que les permitan ser más competitivas tanto en el mercado interior como a nivel mundial.
La falta de soluciones interoperables (normas técnicas), de prácticas (normas de proceso) y de unos mecanismos de certificación a escala de la UE son algunas de las carencias de que adolece el mercado único de la ciberseguridad. En este contexto, la ciberseguridad ha sido considerada una de las prioridades en materia de normalización de las TIC para el mercado único digital 25 .
Las escasas perspectivas de crecimiento que tienen las empresas de ciberseguridad dentro del mercado único dan lugar a en una multitud de fusiones y adquisiciones realizadas por inversores no europeos 26 . Aunque esta tendencia demuestra la capacidad de innovación de los emprendedores europeos en ciberseguridad, también puede desembocar en la pérdida de conocimientos técnicos especializados en Europa y en una fuga de cerebros.
Es necesario actuar urgentemente para estimular un mercado único más integrado para los productos y servicios de ciberseguridad que facilite la implantación de soluciones más prácticas y asequibles.
Los obstáculos a la confianza entre los actores institucionales e industriales de Europa pueden superarse mediante el fomento de la cooperación en una fase temprana del ciclo de vida de la innovación: dentro de la propia industria de la ciberseguridad, entre proveedores y compradores; y en una dimensión intersectorial, con la participación de industrias que ya sean o puedan convertirse en clientes de soluciones de ciberseguridad.
Al mismo tiempo, el desarrollo de productos, tecnologías y servicios de doble uso es cada vez más importante en Europa. Un número creciente de soluciones son transferidas del mercado civil al mercado de defensa 27 . En el próximo Plan de Acción de Defensa Europeo, la Comisión tiene la intención de definir medidas para seguir mejorando las sinergias entre el sector civil y el militar a nivel europeo.
3.1 Certificación y etiquetado
La certificación desempeña un papel importante a la hora de reforzar la confianza y la seguridad en los productos y servicios. Esto es válido también para aquellos nuevos sistemas que recurren ampliamente a las tecnologías digitales y que requieren un alto nivel de seguridad, como los automóviles conectados y automatizados, la sanidad electrónica, los sistemas de control de la automatización industrial (IACS por sus siglas en inglés) o las redes inteligentes.
Están surgiendo iniciativas nacionales para establecer requisitos de ciberseguridad de alto nivel para los componentes informáticos en las infraestructuras tradicionales, incluidos requisitos de certificación. Pero, aunque son importantes, corren el riesgo de provocar la fragmentación del mercado único, así como problemas de interoperabilidad. Solo en unos cuantos Estados miembros existen sistemas eficaces de certificación de la seguridad para los productos de las TIC 28 . Por lo tanto, un proveedor de TIC podría tener que someterse a varios procedimientos de certificación para poder vender en diferentes Estados miembros. En el peor de los casos, un producto o servicio de TIC diseñado para cumplir los requisitos de ciberseguridad de un Estado miembro no podría comercializarse en otro.
Con el fin de lograr un mercado único operativo en el ámbito de la ciberseguridad, un posible marco para la certificación de ciberseguridad de los productos y servicios de TIC deberá proponerse alcanzar los siguientes objetivos: i) cubrir una amplia gama de sistemas, productos y servicios de las TIC; ii) lograr la aplicación en los 28 Estados miembros; y iii) abordar cualquier nivel de ciberseguridad; teniendo en cuenta al mismo tiempo los acontecimientos a nivel internacional.
Para tal fin, la Comisión creará un grupo de trabajo especial sobre certificación de seguridad de productos y servicios de las TIC, compuesto por expertos de los Estados miembros y la industria. Su finalidad será desarrollar, en cooperación con la ENISA y el Centro Común de Investigación, de aquí a finales de 2016, una hoja de ruta que explore la posibilidad de crear dicha propuesta de marco europeo de certificación de seguridad de las TIC para finales de 2017. En este contexto, la Comisión también tendrá en cuenta el Reglamento (CE) n.º 765/2008 y las disposiciones relativas a la certificación incluidas en el Reglamento (UE) 2016/679 (Reglamento general de protección de datos) 29 .
Este proceso incluirá una amplia consulta y una evaluación de impacto. Esto permitirá a la Comisión estudiar distintas opciones para la creación de un marco de certificación para los productos y servicios de las TIC. La Comisión explorará también la inclusión del certificado de seguridad de las TIC en los sectores de las infraestructuras (por ejemplo, en la aviación, el ferrocarril o la automoción) y en mecanismos de certificación y validación específicos de tecnologías listas para ser implantadas (por ejemplo, la Ciberseguridad de los Sistemas de Control de la Automatización Industrial 30 , la Internet de las Cosas, o la computación en la nube). También abordará las carencias señaladas en el marco del régimen de certificación de seguridad de las TIC europeo antes citado.
En la medida de lo posible, la labor de certificación se basará en normas internacionalmente reconocidas y se desarrollará con socios internacionales.
La Comisión explorará asimismo las opciones relativas a la mejor manera de integrar la certificación de seguridad de las TIC en la futura legislación sectorial, también en relación con los aspectos de seguridad operacional.
Aparte de las posibles opciones de reglamentación, la Comisión explorará también la creación de un sistema europeo de etiquetado para la seguridad de los productos de las TIC, voluntario, orientado al comercio y sencillo. Será complementario a la certificación y su finalidad será aumentar la legibilidad de la ciberseguridad en los productos comerciales para aumentar la competitividad de dichos productos en el mercado único y a escala mundial. También se prestará la atención debida a las iniciativas sectoriales y horizontales en curso iniciadas por la industria, tanto por el lado de la oferta como de la demanda.
Las administraciones públicas participarán activamente en la tarea de facilitar el uso de especificaciones comunes y referencias a la certificación en la contratación pública. La Comisión también supervisará e informará sobre el uso de los pertinentes requisitos de certificación en el ámbito de la contratación pública, a nivel nacional, en particular para los sistemas sectoriales (energía, transporte, sanidad, administración pública, etc.).
|
La Comisión: -desarrollará antes de que finalice 2016 una hoja de ruta para una posible propuesta de marco europeo de certificación de seguridad de las TIC que se presentaría para finales de 2017 y evaluará la viabilidad y el impacto de un marco sobre etiquetado simplificado europeo de ciberseguridad; -explorará la necesidad y, si procede, abordará las carencias en la certificación de seguridad de las TIC dentro de los mecanismos sectoriales ya vigentes de certificación o validación; -incluirá, si procede, la integración de la certificación de la seguridad de productos de las TIC en futuras propuestas legislativas sectoriales; -estimulará la participación de las administraciones públicas para facilitar la utilización de la certificación y las especificaciones comunes en la contratación pública; y -llevará a cabo un seguimiento del uso de los requisitos pertinentes de certificación en la contratación pública y de las empresas e informará sobre la situación del mercado en un plazo de tres años. |
3.2. Expansión de las inversiones en ciberseguridad en Europa y apoyo a las pymes
A pesar de que la innovación en el sector de la ciberseguridad está experimentando un gran auge en Europa, la Unión Europea sigue adoleciendo de falta de cultura de inversión en ciberseguridad. Aunque hay muchas pymes innovadoras en este ámbito, frecuentemente se ven en la imposibilidad de expandir sus operaciones. Esto se debe, entre otras cosas, a la falta de una financiación fácilmente disponible que las respalde en las primeras fases de desarrollo. Las empresas también tienen un acceso limitado al capital de riesgo en Europa y no disponen del presupuesto adecuado para el marketing destinado a mejorar su visibilidad, o para hacer frente a las distintas series de requisitos de normalización y de conformidad.
Al mismo tiempo, la cooperación entre los actores de la ciberseguridad es muy desigual y es preciso perseverar para aumentar la concentración económica y desarrollar nuevas cadenas de valor 31 .
Para aumentar las inversiones en ciberseguridad en Europa y apoyar a las pymes, es necesario facilitar el acceso a la financiación. También ha de apoyarse el desarrollo de agrupaciones y centros de excelencia de la ciberseguridad competitivos a nivel mundial en ecosistemas regionales favorables para el crecimiento digital. Esta ayuda ha de estar vinculada a la implementación de estrategias de especialización inteligentes y otros instrumentos de la UE, de modo que la industria de la ciberseguridad en Europa obtenga más ventajas de ellas.
El planteamiento de la Comisión será dar la máxima divulgación en la comunidad de la ciberseguridad a las posibilidades de financiación a nivel europeo, nacional y regional (relacionadas tanto con instrumentos horizontales como con convocatorias específicas 32 ) recurriendo a los instrumentos y cauces existentes, como por ejemplo, la red Enterprise Europe.
La Comisión complementará esta labor estudiando, en colaboración con el Banco Europeo de Inversiones (BEI) y el Fondo Europeo de Inversiones (FEI), formas de facilitar el acceso a la financiación. Esto puede lograrse mediante inversiones de capital y cuasicapital, préstamos y garantías para proyectos o contragarantías para intermediarios, es decir, a través de la creación de una plataforma de inversión en materia de ciberseguridad en el marco del Fondo Europeo para Inversiones Estratégicas (FEIE) 33 .
Además, la Comisión examinará también el desarrollo junto con los Estados miembros y regiones interesados de una «plataforma de especialización inteligente» 34 , que ayudará a coordinar y planificar estrategias de ciberseguridad y establecer una colaboración estratégica de las partes interesadas en los ecosistemas regionales. Este enfoque también debe contribuir a desbloquear el potencial de los Fondos Estructurales y de Inversión Europeos existentes para el sector de la ciberseguridad.
De forma general, la Comisión fomentará un enfoque de seguridad por el diseño. También velará por que los requisitos de ciberseguridad sean abordados de forma coherente en todas las grandes inversiones en infraestructuras que tengan un componente digital y que estén cofinanciadas por los fondos europeos. Hará esto introduciendo gradualmente los requisitos pertinentes en las normas de contratación pública y programas.
|
La Comisión: -utilizará los instrumentos de apoyo a las pymes para aumentar la sensibilización sobre los actuales mecanismos de financiación entre la comunidad de la ciberseguridad; -reforzará más aún el uso de las herramientas e instrumentos de la UE para apoyar a las pymes innovadoras a la hora de explorar las posibles sinergias entre el mercado de la ciberseguridad civil y el de la de defensa 35 ; -explorará junto con el BEI y el FEI la viabilidad de facilitar el acceso a la inversión, por ejemplo a través de una plataforma específica de inversión en materia de ciberseguridad o de otros mecanismos; -desarrollará una plataforma de especialización inteligente en ciberseguridad para ayudar a los Estados miembros y regiones interesados en invertir en ciberseguridad (RIS3); y -promoverá el enfoque de la seguridad por diseño en las inversiones en infraestructuras de envergadura que tengan un componente digital y que estén cofinanciadas por los fondos de la UE. |
4. Estimular y consolidar la industria europea de la ciberseguridad, a través de la innovación - creación de la asociación público-privada (APP) contractual de ciberseguridad
Con el fin de estimular la competitividad y la innovación de la industria de la ciberseguridad en Europa, se firmará un acuerdo para una asociación público-privada (APP) contractual en materia de ciberseguridad. La APP contractual reunirá recursos industriales y públicos para lograr la excelencia en investigación e innovación.
La APP contractual tiene como finalidad reforzar la confianza entre los Estados miembros y la industria a través del fomento de la cooperación en las primeras etapas del proceso de investigación e innovación. Asimismo, pretende contribuir a alinear los sectores de la oferta y la demanda. Esto debería permitir a la industria recoger las futuras exigencias de los usuarios finales y los sectores que sean clientes importantes de soluciones de ciberseguridad (por ejemplo, energía, sanidad, transporte, finanzas). También facilitará su compromiso a la hora de definir las exigencias en cuanto a seguridad digital, privacidad y protección de datos comunes para sus sectores.
La APP contractual de ciberseguridad también contribuirá a aprovechar al máximo los fondos disponibles. Esto se logrará, en primer lugar, mediante una mayor coordinación con los Estados miembros. En segundo lugar, se prestará mayor atención a una serie de prioridades técnicas para ayudar a la industria de la ciberseguridad a obtener avances tecnológicos y a dominar futuras tecnologías clave de ciberseguridad. En este contexto, los desarrollos de software de código abierto y de normas abiertas pueden contribuir a fomentar la confianza y la transparencia, así como la innovación radical y, por lo tanto, deben ser también parte de la inversión realizada en dicha APP contractual.
La labor realizada dentro de la APP contractual de ciberseguridad también se beneficiará de las sinergias con otros proyectos europeos, en particular cuando se aborden aspectos relacionados con la seguridad. Esto incluye las fábricas del futuro, los edificios eficientes desde el punto de vista energético, las APP de 5G y de macrodatos 36 y otras APP sectoriales 37 , así como la iniciativa sobre la Internet de las Cosas 38 . Además se fomentará una estrecha alineación con la Nube Europea de Ciencia Abierta y con la iniciativa europea de supercomputación para las cibertecnologías cuánticas (por ejemplo, innovación en la distribución de claves cuánticas, investigación en informática cuántica, etc.).
La APP contractual de ciberseguridad se lanzó dentro de Horizonte 2020 39 , el programa marco de la Unión Europea en materia de investigación e innovación para el período 2014-2020. Servirá de factor multiplicador de fondos de dos pilares del programa: «Liderazgo en las tecnologías industriales y de capacitación» (LEIT-ICT) y «Retos de la sociedad - Sociedades seguras» (SC7). El presupuesto total de la APP contractual podrá llegar a 450 millones de euros con un triple efecto multiplicador en el sector industrial. La ciberseguridad debe también abordarse y coordinarse con otras partes relevantes de Horizonte 2020 (por ejemplo, los retos de la sociedad relacionados con la energía, el transporte y la sanidad y la parte consagrada a la Excelencia en Horizonte 2020). Esto contribuirá a los objetivos de la APP contractual de ciberseguridad. Esta coordinación también debe producirse en una fase inicial del diseño de estrategias sectoriales.
La APP contractual se implementará de forma transparente, con una gobernanza abierta y flexible adaptada al entorno en rápido desarrollo de la ciberseguridad. Tendrá en cuenta la necesidad de que los Estados miembros debatan la forma en que los cambios en la tecnología afectan al funcionamiento seguro de las infraestructuras nacionales y transfronterizas. Asimismo, el resultado de la asociación debe ser sostenible durante varios años para garantizar que sus objetivos puedan cumplirse.
La APP contractual estará apoyada por la Organización de Ciberseguridad Europea (ECSO), cuyos miembros serán el reflejo de la diversidad del mercado de la ciberseguridad en Europa. También incluirá administraciones públicas nacionales, regionales y locales, centros de investigación, representantes del mundo académico y otras partes interesadas.
|
La Comisión: -firmará con la industria un acuerdo para una asociación público-privada contractual de ciberseguridad de manera que sea operativa en el tercer trimestre de 2016; -pondrá en marcha convocatorias de propuestas de Horizonte 2020 en el marco de la APP contractual de ciberseguridad en el primer trimestre de 2017; y -garantizará la coordinación de la APP contractual de ciberseguridad con las estrategias sectoriales pertinentes, los instrumentos de Horizonte 2020 y las APP sectoriales. |
5. Conclusión
La presente Comunicación presenta medidas destinadas a reforzar la ciberresiliencia de Europa y a fomentar una industria de la ciberseguridad en Europa competente e innovadora, tal como se anunció en la estrategia de ciberseguridad de la UE y en la estrategia del mercado único digital. La Comisión pide al Parlamento Europeo y al Consejo que respalden este enfoque.
Net Losses: Estimating the Global Cost of Cybercrime - Economic impact of cybercrime II; Center for Strategic and International Studies; [Pérdidas netas: Estimación de los costes globales de la ciberdelincuencia - Impacto económico de la ciberdelincuencia II; Centro de Estudios Internacionales y Estratégicos]; junio 2014.
JOIN(2013) 1.
COM(2013) 48 final.
JOIN(2016) 18.
COM(2016) 230 final.
Véase el documento SWD(2016) 216.
COM(2015) 192 final.
Véase el documento SWD(2016) 216.
La Directiva SRI obligará a los Estados miembros a determinar una serie de operadores de servicios esenciales en campos como la energía, los transportes, las finanzas y la sanidad, para hacer frente a los riesgos de ciberseguridad, y también para garantizar que determinados prestadores de servicios digitales adoptan las medidas adecuadas para afrontar ese tipo de riesgos.
Véase el documento SWD(2016) 216.
Véase, por ejemplo, el informe de ENISA: Common practices of EU-level crisis management and applicability to cyber crises [Prácticas comunes de gestión de crisis a escala de la UE y aplicabilidad ante crisis cibernéticas] (abril de 2016)
Véase el documento SWD(2016) 216.
En particular, el Dispositivo Integrado de Respuesta Política, incluida la Decisión relativa a las modalidades de aplicación por parte de la Unión de la cláusula de solidaridad (24 de julio de 2014) y a los procesos de toma de decisiones de la política común de seguridad y defensa.
Los grupos de expertos de la Comisión están sujetos a las normas horizontales establecidas por la Decisión de la Comisión: C(2016)3301 .
Por ejemplo, la plataforma SRI, el acuerdo contractual de asociación público-privada de ciberseguridad y las plataformas sectoriales, como la plataforma de expertos en materia de ciberseguridad para el sector de la energía (EECSP, por sus siglas en inglés). Asimismo, debe servir de vínculo con la mesa redonda de alto nivel anunciada por la Comunicación sobre la digitalización de la industria europea: COM(2016) 180 final.
Reglamento (UE) n.º 526/2013 por el que se deroga el Reglamento (CE) n.º 460/2004.
Adoptado por el Consejo de Asuntos Exteriores de la Unión Europea de 18 de noviembre de 2014, doc. 15585/14.
Como la Escuela Europea de Seguridad y Defensa, el EC3, la CEPOL y la Agencia Europea de Defensa.
SWD(2013) 318.
Por ejemplo, la hoja de ruta de la ciberseguridad adoptada por la Agencia Europea de Seguridad Aérea, la hoja de ruta sobre ciberseguridad, el trabajo de la Organización de Aviación Civil Internacional y de la Organización Marítima Internacional.
Véase por ejemplo el centro de puesta en común y análisis de la información de la energía europea EE-ISAC ( http://www.ee-isac.eu ).
Véase el documento SWD(2016) 216.
Véase el documento SWD(2016) 216.
Véase el documento SWD(2016) 215.
COM(2016) 176/2.
Véase el documento SWD(2016) 216.
En 2013 el ámbito de las exportaciones de productos de doble uso ya representaba cerca del 20 % de las exportaciones totales de la UE (en valor). Esto incluye el comercio dentro de la UE.
Véase el documento de trabajo de los servicios de la Comisión SWD(2016) 216 para el acuerdo del grupo de altos directivos para los sistemas de información (Decisión del Consejo de 31 de marzo de 1992 (92/242/CEE)) y otros sistemas existentes, como el Commercial Product Assurance en el Reino Unido, la Certification Sécuritaire de Premier Niveau en Francia, etc.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, contempla tanto códigos de conducta destinados a contribuir a la adecuada aplicación de las normas de protección de datos como mecanismos de certificación que cubren todos los principios de protección de datos, incluidos en particular la seguridad de los datos en el tratamiento de datos personales.
Véase el grupo temático de la Red de referencia para la protección de infraestructuras críticas (ERNCIP), sobre Cyber security of Industrial Control Systems , disponible en la siguiente dirección: https://erncip-project.jrc.ec.europa.eu/download-area/category/16-case-studies-for-industrial-automation-and-control-systems .
Véase el documento SWD(2016) 216.
Véase por ejemplo, la convocatoria de propuestas multisectorial 2016 en el marco del Mecanismo «Conectar Europa» o las convocatorias COSMO 2016 relativas al programa de internacionalización de clústers.
En el marco del Fondo Europeo para Inversiones Estratégicas, los proyectos pueden apoyarse tanto directa como indirectamente mediante plataformas de inversión. Dichas plataformas pueden ayudar a financiar proyectos más pequeños y agrupar fondos de fuentes diversas para permitir inversiones diversificadas con un foco geográfico o temático.
Véanse los instrumentos de especialización inteligente (RIS3): http://s3platform.jrc.ec.europa.eu/ .
Por ejemplo, la red Enterprise Europe y la red europea de regiones relacionadas con la defensa ofrecerán a las regiones nuevas oportunidades para explorar la cooperación transfronteriza en los ámbitos de doble uso, incluida la ciberseguridad, y a las pymes para participar en actividades de emparejamiento.
La asociación público-privada para la infraestructura 5G yla asociación público-privada Big Data Value.
El SESAR o la asociación público-privada de Shift2Rail, por ejemplo.
La Alianza para la Innovación de la Internet de los Objetos (AIOTI).
http://ec.europa.eu/programmes/horizon2020/en/official-documents .