Reglamento sobre la Ciberseguridad de la Unión Europea

PUNTOS CLAVE

El mandato de ENISA consiste en:

• alcanzar un elevado nivel común de ciberseguridad por toda la UE;
• apoyar a las autoridades nacionales y a las instituciones, órganos, oficinas y organismos de la UE para que mejoren la ciberseguridad;
• servir como punto de referencia de cara al asesoramiento científico y técnico y a los conocimientos sobre ciberseguridad para las instituciones, órganos, oficinas y organismos de la UE, así como otras partes interesadas pertinentes;
• contribuir a reducir la fragmentación del mercado interior;
• actuar con independencia, evitar la duplicación con las actividades nacionales y tomar en consideración los conocimientos de los países;
• desarrollar sus propios recursos técnicos y humanos, así como sus capacidades.

Las tareas de ENISA son:

• contribuir al desarrollo y a la ejecución de las leyes y la política de la UE;
• promover la creación de capacidades, por ejemplo, mediante la mejora de la prevención, la detección y el análisis de ciberamenazas (¹), así como de la respuesta a las mismas, y también mediante el apoyo al desarrollo de equipos de respuesta a incidentes de seguridad informática (CSIRT) o a través de la organización de ejercicios de ciberseguridad a escala de la UE;
• apoyar la cooperación operativa de la UE entre todas las partes interesadas implicadas, incluido el Equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la Unión Europea (CERT-UE), principalmente a través del intercambio de conocimientos y mejores prácticas, del aporte de orientaciones relevantes y del mantenimiento de las redes de la UE y los CSIRT nacionales;
• apoyar y promover el desarrollo y la ejecución de la certificación de ciberseguridad de la UE para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados en el marco de su tarea de preparación de esquemas bajo el nuevo marco europeo de certificación de la ciberseguridad;
• recoger y analizar datos e información sobre ciberseguridad, especialmente sobre tecnologías emergentes, ciberamenazas e incidentes, a fin de poder ofrecer información y asesoramiento a las autoridades nacionales, las partes interesadas relevantes y, a través de un portal específico, también al público general (ciudadanos, sociedades y empresas);
• sensibilizar al público sobre los riesgos relacionados con la ciberseguridad, facilitar buenas prácticas para usuarios individuales y promover la concienciación y la educación en general en materia de ciberseguridad;
• asesorar sobre necesidades y prioridades de investigación y contribuir a la agenda estratégica de la UE en materia de innovación e investigación de ciberseguridad;
• contribuir a los esfuerzos de cooperación de la UE en materia de ciberseguridad con sus socios y organizaciones internacionales.

La estructura administrativa y de gestión de ENISA está integrada por:

• el Consejo de Administración con un representante de cada Estado miembro de la UE y dos miembros designados por la Comisión Europea, que establece la dirección general de las actividades de la agencia y se asegura de que esta desempeñe sus funciones en condiciones que le permitan actuar de conformidad con el Reglamento fundacional.
• el Comité Ejecutivo de cinco miembros que prepara las decisiones que debe adoptar el Consejo de Administración.
• un director ejecutivo independiente, que da cuenta de su gestión al Consejo de Administración e informa al Parlamento Europeo y al Consejo de la Unión Europea cuando así se le solicita, que es responsable de gestionar la agencia.
• el Grupo Consultivo de ENISA, compuesto por expertos reconocidos procedentes de partes interesadas pertinentes, como la industria de las TIC, proveedores de servicios o redes de comunicaciones electrónicas, pequeñas y medianas empresas, consumidores, académicos y operadores de servicios esenciales, junto con representantes de las autoridades competentes recogidas en el Código Europeo de las Comunicaciones Electrónicas, organizaciones de normalización y autoridades de supervisión policial y de protección de datos, que se centra en asuntos de interés para las partes interesadas y los pone en conocimiento de ENISA.
• la red de funcionarios de enlace nacionales que consta de representantes de todos los Estados miembros y que facilita el intercambio de información entre estos y ENISA, a la que apoya en la difusión de sus actividades, conclusiones y recomendaciones.

El Reglamento crea lo siguiente.

• Un Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad, compuesto por expertos de reconocido prestigio, que se encarga, entre otras cosas, de asesorar a la Comisión sobre asuntos estratégicos relativos al marco de certificación de la UE en materia de ciberseguridad y a ENISA, si así lo solicita, sobre asuntos generales y estratégicos relativos a las tareas pertinentes de la agencia
• Un Grupo Europeo de Certificación de la Ciberseguridad (GECC), compuesto por representantes nacionales, que se encarga de asistir a la Comisión en sus tareas para garantizar la coherencia en la ejecución y la aplicación del Reglamento, y a ENISA en lo relativo a la preparación de posibles esquemas de certificación de la ciberseguridad.

ENISA:

• queda establecida durante un período indefinido desde el 27 de junio de 2019;
• opera con arreglo a un documento único que contiene su programación anual y plurianual;
• sigue las normas de seguridad de la Comisión para la protección de información sensible no clasificada e información clasificada de la UE;
• no divulga a terceros la información confidencial que recibe o procesa;
• participa plenamente en las medidas de la UE encaminadas a combatir el fraude, la corrupción y otras actividades ilícitas;
• procesa datos personales de conformidad con las normas aplicables de la UE.

El Reglamento establece un marco europeo de certificación de la ciberseguridad para:

• mejorar el funcionamiento del mercado interior por medio del aumento de la ciberseguridad en la UE y permitir un enfoque armonizado a escala de la UE de cara a los esquemas europeos de certificación de la seguridad, con vistas a la creación de un mercado único digital para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados;
• fijar un mecanismo para instaurar esquemas de certificación que confirme que los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que hayan sido evaluados con arreglo a un esquema cumplen los requisitos especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados, o las funciones o servicios que ofrecen dichos productos, servicios y procesos a lo largo de su ciclo de vida, o accesibles a través de los mismos.

En virtud de este marco:

• la Comisión:
  • publica un programa de trabajo evolutivo de la UE para la certificación europea de la ciberseguridad en el que se identifican las prioridades estratégicas y los productos, servicios y procesos (o categorías) de TIC y los servicios de seguridad gestionados que podrían beneficiarse de un esquema,
  • podrá solicitar que ENISA prepare una propuesta de esquema de certificación o que evalúe uno existente;
• ENISA:
  • prepara proyectos apropiados de esquemas a petición de la Comisión o del GECC,
  • evalúa cada esquema de certificación adoptado cada cinco años, tomando en consideración los comentarios recibidos,
  • mantiene un sitio web específico que facilita información sobre los esquemas, los certificados y las declaraciones de conformidad.

Los esquemas europeos voluntarios de certificación de la ciberseguridad:

• tienen como objetivo la consecución de diversos objetivos de seguridad, como la protección de datos almacenados, transmitidos o procesados;
• categorizan el nivel de seguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados como «básico», «sustancial» o «elevado»;
• permiten que los fabricantes y proveedores de productos, servicios y procesos de TIC y de servicios de seguridad gestionados de bajo riesgo (es decir, «básicos») los evalúen ellos mismos («autoevaluación de la conformidad»);
• deben incluir ciertas características, como una descripción precisa del propósito, el objeto y el alcance, así como los criterios de evaluación y los métodos empleados;
• sustituyen a sus análogos nacionales, aunque estos conservan su validez hasta su fecha de expiración.

Los fabricantes y proveedores de productos, servicios y procesos de TIC y de servicios de seguridad gestionados que hayan sido certificados deberán publicar:

• orientaciones y recomendaciones para que los usuarios finales puedan instalar, aplicar y mantener sus productos o servicios;
• información sobre la duración de la asistencia de seguridad que ofrecen;
• sus datos de contacto;
• referencias a repositorios en línea con información sobre asuntos conocidos de seguridad que afecten a sus productos o servicios.

Los Estados miembros deben designar una o más autoridades nacionales de certificación de la ciberseguridad con suficientes recursos y capacidades para controlar, supervisar y velar por la aplicación de las normas de los esquemas europeos de certificación de la ciberseguridad.

La Comisión:

• evaluará periódicamente la eficacia y el uso de los esquemas de certificación adoptados y considerará si procede que alguno de ellos adquiera carácter obligatorio;
• tuvo que completar su primera evaluación detallada a más tardar el 31 de diciembre de 2023 y, posteriormente, cada dos años;
• tuvo que evaluar el impacto, la eficacia y la efectividad de ENISA a más tardar el 28 de junio de 2024 y, posteriormente, cada cinco años.

Las personas físicas y jurídicas tienen derecho a presentar una reclamación ante el responsable de expedir un certificado europeo de ciberseguridad y a recurrir a la tutela judicial efectiva.

Modificación: servicios de seguridad gestionados

En diciembre de 2024, se adoptó el Reglamento (UE) 2025/37 por el que se modifica el Reglamento en lo que se refiere a los servicios de seguridad gestionados. Esta modificación específica introduce la definición de servicios de seguridad gestionados y amplía el ámbito de aplicación del marco europeo de certificación de la ciberseguridad mediante la inclusión de dichos servicios. Por consiguiente, también amplía el mandato y las tareas de ENISA en materia de servicios de seguridad gestionados.

El Reglamento (UE) 2025/37 se publicó en el Diario Oficial el 15 de enero de 2025 y está en vigor desde el 4 de febrero de 2025.

Notificaciones de los organismos de evaluación de la conformidad

En diciembre de 2024, la Comisión adoptó el Reglamento de Ejecución (UE) 2024/3143 para las notificaciones con arreglo al artículo 61, apartado 5, del Reglamento sobre la Ciberseguridad. Dicho acto de ejecución establece las circunstancias, los formatos y los procedimientos de las notificaciones de los organismos de evaluación de la conformidad de todos los esquemas europeos de certificación de la ciberseguridad a través del sistema de información sobre organismos notificados y designados de nuevo enfoque (NANDO). Asimismo, aclara las circunstancias en las que deberían realizarse cambios en la notificación y sobre la base de las cuales puede impugnarse la competencia de los organismos de evaluación de la conformidad notificados.

El Reglamento de Ejecución 2024/3143 se publicó en el Diario Oficial el 19 de diciembre de 2024 y está en vigor desde el 8 de enero de 2025.

Esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC)

En enero de 2024, la Comisión Europea adoptó el Reglamento de Ejecución (UE) 2024/482 (véase la síntesis). Este acto establece normas para la aplicación del Reglamento (UE) 2019/881 en lo que respecta a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC), que tiene carácter voluntario. Se trata del primer esquema a escala de la UE y se refiere a certificados de los niveles de garantía «sustancial» o «elevado» para productos de TIC como hardware y software, incluidos los componentes como chips y tarjetas inteligentes. El Reglamento incluye normas detalladas sobre aspectos como:

• normas y requisitos para la evaluación y la expedición, renovación y retirada de certificados EUCC para productos y perfiles de protección;
• organismos de evaluación de la conformidad acreditados para expedir certificados o llevar a cabo actividades de evaluación;
• control de la conformidad, no conformidad e incumplimiento;
• procedimientos de gestión y divulgación de vulnerabilidades;
• conservación de registros, divulgación y protección de información;
• acuerdos de reconocimiento mutuo con terceros países;
• evaluación inter pares de los organismos de certificación;
• mantenimiento del esquema; y
• esquemas nacionales de certificación de la ciberseguridad cubiertos por el EUCC.

El Reglamento de Ejecución sobre el EUCC está en vigor desde el 27 de febrero de 2025.

El Reglamento (UE) 2019/881 y su correspondiente Reglamento de Ejecución no afectan a las competencias de los Estados miembros en materia de seguridad pública, defensa, seguridad nacional o Derecho penal.

Este Reglamento deroga el Reglamento (UE) n.^o 526/2013 desde el 27 de junio de 2019.