|
16.7.2021 |
ES |
Diario Oficial de la Unión Europea |
C 286/170 |
Dictamen del Comité Económico y Social Europeo sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148 y sobre la propuesta de Directiva del Parlamento Europeo y del Consejo sobre la resiliencia de las entidades críticas
[COM(2020) 823 final — 2020/0359 (COD) — COM(2020) 829 final — 2020/0365 (COD)]
(2021/C 286/28)
|
Ponente: |
Maurizio MENSI |
|
Consulta |
Parlamento Europeo, 21.1.2021-11.2.2021 Consejo, 26.1.2021-19.2.2021 |
|
Fundamento jurídico |
Artículo 114 del Tratado de Funcionamiento de la Unión Europea |
|
Sección competente |
Transportes, Energía, Infraestructuras y Sociedad de la Información |
|
Aprobado en sección |
14.4.2021 |
|
Aprobado en el pleno |
27.4.2021 |
|
Pleno n.o |
560 |
|
Resultado de la votación (a favor/en contra/abstenciones) |
243/0/5 |
1. Conclusiones y recomendaciones
|
1.1. |
El CESE valora positivamente los esfuerzos de la Comisión por aumentar la resiliencia de las entidades públicas y privadas frente a las amenazas de los incidentes, ataques cibernéticos y físicos y coincide en la necesidad de reforzar la industria y la capacidad de innovación de la UE de manera inclusiva, siguiendo una estrategia basada en cuatro pilares: la protección de datos, los derechos fundamentales, la seguridad y la ciberseguridad. |
|
1.2. |
No obstante, el CESE señala que, dados la pertinencia y el carácter sensible de los objetivos perseguidos por ambas propuestas, habría sido preferible el instrumento de un reglamento más que el de una directiva. Sin embargo, nada indica las razones por las que la Comisión no incluyó esta hipótesis en las diferentes opciones consideradas. |
|
1.3. |
El CESE observa que algunas disposiciones de las dos propuestas de Directiva se solapan, ya que están estrechamente relacionadas y son complementarias, pues una se centra en los aspectos de ciberseguridad y la otra en la seguridad física. Pide, por tanto, que se estudie la conveniencia de fusionar las dos propuestas en un texto único, en aras de la simplificación y la concentración funcional. |
|
1.4. |
El CESE comparte el enfoque propuesto de abandonar la distinción entre operadores de servicios esenciales y proveedores de servicios digitales establecida en la Directiva SRI original, pero considera oportuno proporcionar, por lo que respecta a su ámbito de aplicación, indicaciones más claras y precisas para determinar las entidades sujetas a la observancia de la Directiva. En particular, deben definirse con mayor precisión los criterios de distinción entre entidades «esenciales» y «importantes», así como los requisitos que deben cumplir, a fin de evitar enfoques divergentes a nivel nacional que supongan obstáculos a la competencia y a la libre circulación de bienes y servicios, con el riesgo de perjudicar a las empresas y afectar a los intercambios comerciales. |
|
1.5. |
Dada la complejidad objetiva del sistema establecido en las dos propuestas, el CESE considera importante que la Comisión aclare con precisión el ámbito de aplicación de los dos conjuntos de normas, especialmente cuando disposiciones diferentes regulan situaciones o entidades idénticas. |
|
1.6. |
El CESE considera que la claridad de todas las disposiciones normativas constituye un objetivo irrenunciable, junto a los objetivos de reducir la burocracia y la fragmentación simplificando los procedimientos, los requisitos de seguridad y las obligaciones de notificación de los incidentes. Con esta misma finalidad, podría resultar oportuno, en beneficio de los ciudadanos y las empresas, fusionar en un único texto las dos propuestas de Directiva, evitando un ejercicio de interpretación y aplicación en ocasiones complejo. |
|
1.7. |
El CESE reconoce el papel esencial, destacado en la propuesta de Directiva, de los órganos de gestión de las entidades «esenciales» e «importantes», cuyos miembros deben seguir periódicamente cursos de formación específicos con el fin de adquirir conocimientos y competencias suficientes para conocer y gestionar los distintos riesgos cibernéticos y evaluar su impacto. Asimismo, considera que la propuesta debe indicar el contenido mínimo de dichos conocimientos y capacidades, a fin de proporcionar orientación a nivel europeo sobre las capacidades de formación que se consideran adecuadas y evitar que el contenido de los diferentes cursos de formación difiera de un país a otro. |
|
1.8. |
El CESE se muestra de acuerdo con el importante papel que desempeña la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en la configuración institucional y operativa general de la ciberseguridad a nivel europeo. A este respecto, considera que, además del informe bienal sobre la situación de la ciberseguridad en la Unión, este organismo debe publicar en línea información periódica y actualizada sobre incidentes de ciberseguridad, además de avisos sectoriales específicos, con el fin de proporcionar una herramienta de información útil adicional que permita a las entidades afectadas por la SRI 2 proteger mejor sus empresas. |
|
1.9. |
El CESE apoya la propuesta de confiar a la ENISA la tarea de crear un Registro Europeo de Vulnerabilidades y considera que la comunicación de esta información, es decir las vulnerabilidades e incidentes graves, debe ser obligatoria y no voluntaria, de modo que se convierta en un instrumento útil también para las entidades adjudicadoras en el marco de los procedimientos de contratación pública a nivel europeo, en particular para los productos y tecnologías 5G. |
2. Observaciones generales
|
2.1. |
El 16 de diciembre de 2020 se presentó la nueva Estrategia de Ciberseguridad de la Unión Europea junto con dos propuestas legislativas: la revisión de la Directiva (UE) 2016/1148 (1) sobre la seguridad de las redes y sistemas de información en la Unión (SRI 2) y una nueva Directiva relativa a la resiliencia de las entidades críticas. La Estrategia, que es un componente fundamental de la Comunicación «Configurar el futuro digital de Europa» (2), del Plan de recuperación para Europa y de la Estrategia de la UE para una Unión de la Seguridad, tiene por objeto reforzar la resiliencia colectiva de Europa frente a las amenazas informáticas y garantizar que todos los ciudadanos y empresas puedan beneficiarse de unos servicios y unas herramientas digitales fiables y seguros. |
|
2.2. |
Es necesario actualizar las medidas existentes en la Unión con vistas a proteger los servicios y las infraestructuras críticos frente a los riesgos informáticos y físicos. Los riesgos relacionados con la seguridad informática no dejan de evolucionar con el aumento de la digitalización y la interconexión. De ahí la necesidad de revisar el marco normativo en vigor de acuerdo con la lógica de la Estrategia Europea de Seguridad, superando la dicotomía entre en línea y fuera de línea y el enfoque basado en compartimentaciones rígidas. |
|
2.3. |
Las dos propuestas de Directiva abarcan un amplio conjunto de sectores y abordan los riesgos actuales y futuros, en línea y fuera de línea, derivados de ataques informáticos y delictivos, de catástrofes naturales y de otros incidentes, tomando en cuenta también las enseñanzas de la pandemia en curso, que ha puesto de manifiesto que unas sociedades y unas economías cada vez más dependientes de las soluciones digitales son vulnerables y están expuestas a amenazas cibernéticas en aumento y en rápida evolución, especialmente en lo que respecta a los grupos en riesgo de exclusión social, como las personas con discapacidad. Esta situación ha llevado a la UE a proponer una intervención tendente a proteger un ciberespacio global y abierto pero basado en sólidas garantías de seguridad, soberanía tecnológica y liderazgo, desarrollando las capacidades operativas que permiten prevenir las posibles amenazas, desalentarlas y responder a ellas con mayor cooperación, respetando las prerrogativas de los Estados miembros en el ámbito de la seguridad nacional. |
3. La propuesta de revisión de la Directiva sobre la seguridad de las redes y sistemas de información
|
3.1. |
La Directiva (UE) 2016/1148 (SRI), primer instrumento normativo «horizontal» de la UE en materia de ciberseguridad, tenía por objeto mejorar la resiliencia de los sistemas de redes y de información de la Unión contra los riesgos cibernéticos. A pesar de los buenos resultados obtenidos, se han observado ciertas limitaciones de la Directiva SRI, ya que la transformación digital de la sociedad, intensificada por la crisis de la COVID-19, ha ampliado el panorama de amenazas y acentuado la vulnerabilidad de nuestras sociedades, cada vez más interdependientes frente a riesgos pertinentes e imprevistos. Han surgido nuevos desafíos que requieren respuestas adecuadas e innovadoras. Las conclusiones de la amplia consulta llevada a cabo con las partes interesadas han puesto de manifiesto el insuficiente nivel de ciberseguridad de las empresas europeas, la aplicación incoherente de las normas por parte de los Estados en los distintos sectores y la deficiente comprensión de las principales amenazas y desafíos. |
|
3.2. |
La propuesta de Directiva SRI 2 guarda una estrecha relación con otras dos iniciativas: la propuesta de Reglamento sobre el sector financiero digital (Digital Operational Resilience Act, DORA) y la propuesta de Directiva relativa a las entidades críticas, que amplía el ámbito de aplicación de la Directiva 2008/114/CE (3), relativa a la energía y los transportes, centrándose entre otros en el sector sanitario y las entidades que llevan a cabo actividades de investigación y desarrollo de medicamentos. La propuesta de Directiva relativa a la resiliencia de las entidades críticas, cuyo ámbito de aplicación abarca los mismos sectores que la Directiva SRI 2 en lo que respecta a las entidades críticas (anexo I de la Directiva SRI 2), desplaza el foco de atención de la protección de los activos físicos a la resiliencia de las entidades que los explotan, y se centra en determinar las infraestructuras críticas a nivel nacional en lugar de las infraestructuras críticas europeas con una dimensión transfronteriza. La Directiva SRI 2 es coherente asimismo con otros instrumentos normativos en vigor, a los que complementa, como el Código Europeo de las Comunicaciones Electrónicas, el Reglamento General de Protección de Datos y el Reglamento eIDAS relativo a la identificación electrónica y los servicios de confianza. |
|
3.3. |
La propuesta de Directiva SRI 2, de conformidad con el programa de adecuación y eficacia de la reglamentación (REFIT), se propone reducir la carga reglamentaria para las autoridades competentes y los costes de cumplimiento para las entidades públicas y privadas, y modernizar el marco jurídico de referencia. Además, refuerza los requisitos de seguridad impuestos a las empresas, aborda la cuestión de la seguridad de las cadenas de suministro, simplifica las obligaciones de notificación, introduce medidas de supervisión más rigurosas para las autoridades nacionales y se propone armonizar los regímenes de sanciones de los Estados miembros. |
|
3.4. |
La Directiva SRI 2 contribuye, además, a mejorar la puesta en común de información y la cooperación en materia de gestión de crisis informáticas a escala nacional y europea. Se supera la distinción entre operadores de servicios esenciales y proveedores de servicios digitales prevista en la Directiva SRI. Se incluyen en el ámbito de aplicación las empresas medianas y grandes de sectores identificados por su importancia crítica para la economía y la sociedad. Dichas entidades, públicas o privadas, se clasifican en «esenciales» e «importantes» y están sometidas a distintos regímenes de supervisión. De todos modos, se deja a los Estados miembros la posibilidad de considerar también entidades menores que presenten altos perfiles de riesgo. |
|
3.5. |
Se prevé una nueva red de centros operativos de seguridad a escala de la UE, dotados de inteligencia artificial (IA), que constituirán un auténtico «escudo de seguridad cibernética» capaz de detectar las señales de un ataque informático con suficiente antelación para intervenir antes de que se produzcan daños. La importancia de la IA para la ciberseguridad también se destaca en el informe sobre inteligencia artificial de la Comisión Nacional de Seguridad de los Estados Unidos (NSCAI), presentado el 1 de marzo de 2021. En consecuencia, los Estados miembros y los operadores de infraestructuras críticas tendrán acceso directo a la información sobre amenazas en el marco de una Red Europea de Seguridad, en forma de Inteligencia sobre Amenazas (Threat Intelligence). |
|
3.6. |
La Comisión aborda también el problema de la seguridad de las cadenas de suministro y las relaciones con los proveedores: los Estados miembros, en cooperación con la Comisión y la ENISA, podrán efectuar evaluaciones coordinadas del riesgo de las cadenas de suministro críticas, sobre la base del enfoque adoptado con éxito para las redes 5G en la Recomendación de 26 de marzo de 2019 (4). |
|
3.7. |
La propuesta refuerza y racionaliza las obligaciones en materia de seguridad y rendición de cuentas de las empresas, imponiendo un enfoque común de la gestión de riesgos, con una lista mínima de elementos básicos de seguridad que deben aplicarse. Se prevén disposiciones más precisas sobre el procedimiento de notificación de incidentes, el contenido de los informes y los plazos. A este respecto, la propuesta presenta un enfoque en dos fases: las empresas disponen de veinticuatro horas para presentar un informe inicial abreviado, seguido de uno definitivo y detallado en el plazo de un mes. |
|
3.8. |
Se prevé que los Estados miembros determinen las autoridades nacionales responsables de la gestión de crisis, con planes específicos y una nueva red de cooperación operativa: la red de funcionarios de enlace nacionales para la gestión de cibercrisis («EU-CyCLONe»). Se refuerza el papel del Grupo de Cooperación en la definición de las decisiones estratégicas y se crea un Registro Europeo de Vulnerabilidades detectadas en la UE gestionado por la ENISA; además, se mejora la puesta en común de información y la cooperación entre las autoridades de los Estados miembros, incluida la cooperación operativa para la gestión de las crisis cibernéticas. |
|
3.9. |
Se introducen medidas de supervisión más rigurosas para las autoridades nacionales y requisitos de aplicación más estrictos, y se persigue armonizar los regímenes de sanciones en todos los Estados miembros. |
|
3.10. |
A este respecto, la propuesta de Directiva establece una lista de sanciones administrativas en caso de incumplimiento de las obligaciones de gestión de riesgos en materia de seguridad informática y comunicación. Se establecen disposiciones sobre la responsabilidad de las personas físicas que ocupan puestos de representación o dirección en las empresas incluidas en el ámbito de aplicación de la Directiva. En este sentido, la propuesta mejora el modo en que la UE previene, gestiona y responde a incidentes y crisis a gran escala en materia de seguridad informática, estableciendo responsabilidades claras, una planificación adecuada y una mayor cooperación a escala de la UE. |
|
3.11. |
Se faculta a los Estados miembros para supervisar conjuntamente la aplicación de las normas de la UE, prestarse ayuda mutua en caso de problemas transfronterizos, instaurar un diálogo más estructurado con el sector privado, coordinar la divulgación de las vulnerabilidades identificadas en los programas y equipos informáticos comercializados en el mercado interior, y evaluar de forma coordinada los riesgos para la seguridad y las amenazas relacionados con las nuevas tecnologías, como ya se hizo en el caso de las redes 5G. |
4. Propuesta de Directiva relativa a la resiliencia de las entidades críticas
|
4.1. |
La UE instituyó en 2006 el Programa Europeo de Protección de Infraestructuras Críticas (PEPIC) y en 2008 adoptó la Directiva relativa a las infraestructuras críticas europeas (ICE), que se aplica a los sectores de la energía y el transporte. Tanto la Estrategia de la UE para una Unión de la Seguridad 2020-2025 (5), adoptada por la Comisión Europea, como la Agenda de Lucha contra el Terrorismo, de reciente adopción, resaltan la importancia de garantizar la resiliencia de las infraestructuras críticas frente a los riesgos físicos y digitales. No obstante, la evaluación efectuada en 2019 sobre la aplicación de la Directiva ICE y los resultados de la evaluación de impacto de la propuesta en examen ponen de manifiesto que las medidas europeas y nacionales en vigor no garantizan de modo suficiente que los operadores puedan afrontar los riesgos actuales. De ahí las peticiones efectuadas por el Consejo y el Parlamento a la Comisión para que revise el enfoque actual de protección de las infraestructuras críticas. |
|
4.2. |
La Estrategia de la UE para una Unión de la Seguridad, adoptada por la Comisión el 24 de julio de 2020, reconoce la creciente interconexión e interdependencia entre las infraestructuras físicas y las digitales, resaltando la necesidad de un enfoque más coherente y homogéneo entre la Directiva ICE y la Directiva SRI. En este sentido, la propuesta de Directiva relativa a la resiliencia de las entidades críticas, cuyo ámbito de aplicación objetivo es idéntico al de la Directiva SRI 2 sobre entidades críticas, amplía el ámbito de aplicación original de la Directiva 2008/114/CE, que se circunscribía a la energía y el transporte, a los siguientes sectores: bancos, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructuras digitales, administración pública y espacio, previendo asimismo responsabilidades claras, una planificación adecuada y una mayor cooperación. A este respecto, es preciso establecer un marco de referencia para todos los riesgos y apoyar a los Estados miembros en sus esfuerzos por garantizar que las entidades críticas sean capaces de prevenir, resistir y superar las consecuencias de los incidentes, independientemente de que los riesgos se deriven de peligros naturales, accidentes, terrorismo, amenazas internas o emergencias de salud pública como la actual. |
|
4.3. |
Cada Estado miembro debe adoptar una estrategia nacional a fin de garantizar la resiliencia de las entidades críticas, efectuar evaluaciones periódicas del riesgo e identificar, sobre esa base, las entidades críticas. A su vez, las entidades críticas deben efectuar evaluaciones del riesgo, adoptar medidas técnicas y organizativas adecuadas para mejorar la resiliencia y notificar los incidentes a las autoridades nacionales. Las entidades que prestan servicios a al menos una tercera parte de los Estados miembros o en al menos una tercera parte de estos están sujetas a una supervisión específica, que incluye misiones de asistencia específicas organizadas por la Comisión. |
|
4.4. |
La propuesta de Directiva relativa a la resiliencia de las entidades críticas prevé distintas formas de apoyo a los Estados miembros y las entidades críticas, un panorama de los riesgos a escala de la UE, mejores prácticas y metodologías, y una actividad de formación y ejercicios para comprobar la resiliencia de las entidades críticas. El sistema de cooperación transfronteriza prevé asimismo un grupo de expertos ad hoc: el grupo de resiliencia de entidades críticas, para facilitar la cooperación estratégica y el intercambio de información entre Estados miembros. |
5. Propuestas de modificación de la propuesta legislativa en cuestión
|
5.1. |
El CESE valora positivamente el esfuerzo realizado por la Comisión para mejorar la resiliencia de las entidades públicas y privadas frente a las amenazas derivadas de ataques cibernéticos y físicos. Esto es especialmente pertinente y significativo, sobre todo a la luz de la rápida transformación digital provocada por el brote de COVID-19. El CESE comparte asimismo la necesidad de que, tal como se indica en la Comunicación «Configurar el futuro digital de Europa», Europa coseche los beneficios de la era digital y refuerce su industria, con especial referencia a las pequeñas y medianas empresas, y su capacidad de innovación de modo inclusivo, con una estrategia basada en cuatro pilares: protección de datos, derechos fundamentales, seguridad y ciberseguridad como requisitos previos esenciales para una sociedad basada en el poder de los datos. |
|
5.2. |
No obstante, a la luz de las conclusiones de la evaluación de impacto y de la consulta previa a la propuesta de Directiva SRI 2, y habida cuenta del objetivo varias veces recalcado de evitar la fragmentación de las normas adoptadas a escala nacional, también expresado en la Comunicación de 4 de octubre de 2017 sobre la aplicación de la Directiva SRI (6), el CESE destaca que no se comprende por qué razón la Comisión no ha contemplado, ni siquiera entre las opciones consideradas, la posibilidad de proponer un Reglamento en vez de una Directiva. |
|
5.3. |
El CESE observa que algunas disposiciones de las dos propuestas de Directiva se solapan, ya que están estrechamente relacionadas y son complementarias, pues una se centra en los aspectos de ciberseguridad y la otra en la seguridad física. Asimismo, cabe señalar que las entidades críticas mencionadas en la Directiva relativa a las entidades críticas abarcan los mismos sectores y coinciden con las entidades «esenciales» de la Directiva SRI 2 (7). Además, todas las entidades críticas cubiertas por la Directiva relativa a la resiliencia de las entidades críticas están sujetas a las obligaciones en materia de ciberseguridad establecidas en la Directiva SRI 2. Para garantizar la conexión entre ellas, ambas propuestas prevén también una serie de cláusulas pasarela dirigidas a reforzar la cooperación entre autoridades, el intercambio de información sobre las actividades de supervisión, la notificación a las autoridades competentes designadas en virtud de la Directiva SRI 2 de la identidad de las entidades críticas determinadas con arreglo a la propuesta de Directiva relativa a la resiliencia de las entidades críticas, así como la organización de reuniones periódicas, al menos una vez al año, entre los respectivos grupos de cooperación. Las dos propuestas tienen en común también el fundamento jurídico, el artículo 114 del TFUE, que tiene por objeto el funcionamiento del mercado interior mediante la aproximación de las normas nacionales, tal como ha interpretado ex multis el Tribunal de Justicia de la UE en la sentencia en el asunto C-58/08, Vodafone y otros. Se pide, por tanto, que se estudie la conveniencia de fusionar las dos propuestas en un texto único, en aras de la simplificación y la concentración funcional. |
|
5.4. |
El CESE comparte el enfoque propuesto de abandonar la distinción entre operadores de servicios esenciales y proveedores de servicios digitales establecida en la Directiva SRI original, pero considera oportuno proporcionar, por lo que respecta a su ámbito de aplicación, indicaciones más claras y precisas para determinar las entidades sujetas a la observancia de la Directiva. En efecto, además de las referencias recogidas en los anexos I y II, la Directiva SRI 2 indica una serie de criterios, heterogéneos entre sí, que entrañan delicadas evaluaciones de carácter cualitativo y cuantitativo que pueden dar lugar a una aplicación diferenciada a escala nacional, con el riesgo de reproducir la situación de fragmentación que se pretendía evitar con la intervención normativa en examen. En efecto, es importante evitar que enfoques nacionales descoordinados den lugar a obstáculos a la competencia y a la libre circulación de los bienes y servicios y puedan perjudicar a las empresas y los intercambios comerciales. |
|
5.5. |
La Directiva SRI 2 prevé que los operadores críticos de los sectores considerados «esenciales» en la propuesta en examen estén sujetos también a obligaciones generales de refuerzo de la resiliencia, con especial atención a los riesgos no cibernéticos, tal como se contemplan en la propuesta de Directiva relativa a la resiliencia de las entidades críticas. No obstante, esta última indica expresamente que no se aplica a las materias abarcadas por la Directiva SRI 2. En efecto, la propuesta de Directiva relativa a la resiliencia de las entidades críticas prevé que, dado que la seguridad informática se aborda ya de forma suficiente en la Directiva SRI 2, las materias reguladas por esta última deben excluirse de su ámbito de aplicación, sin perjuicio del régimen especial para las entidades del sector de las infraestructuras digitales. La propuesta de Directiva relativa a la resiliencia de las entidades críticas prosigue destacando que las entidades pertenecientes al sector de las infraestructuras digitales se basan esencialmente en sistemas de red y de información y entran en el ámbito de aplicación de la Directiva SRI 2, que aborda también la seguridad física de dichos sistemas como parte de sus obligaciones de gestión del riesgo de seguridad informática y de notificación. Al mismo tiempo, la propuesta de Directiva relativa a la resiliencia de las entidades críticas indica que no se excluye que puedan aplicarse a estas entidades disposiciones específicas de la misma. |
|
5.6. |
En este complejo marco, el CESE considera indispensable, por tanto, que la Comisión aclare con precisión el ámbito de aplicación de las dos propuestas normativas, sobre todo en los casos en que sus disposiciones regulan el mismo supuesto o el mismo sujeto. |
|
5.7. |
La claridad de todas las disposiciones normativas, tanto más cuando se inscriben en textos amplios y articulados como los examinados, debe constituir un objetivo irrenunciable a todos los niveles, junto a los objetivos de reducir la burocracia y la fragmentación simplificando los procedimientos, los requisitos de seguridad y las obligaciones de notificación de los incidentes. También hay que evitar que la multiplicación de organismos encargados de tareas específicas impida que sus competencias estén claramente definidas y ponga en peligro los objetivos perseguidos. Por esta misma razón, podría resultar oportuno, en beneficio de los ciudadanos y las empresas, fusionar en un único texto las dos propuestas de Directiva, evitando un ejercicio de interpretación y aplicación en ocasiones complejo. |
|
5.8. |
En varias ocasiones se hace referencia en la Directiva SRI 2 a disposiciones de otros instrumentos jurídicos, como la Directiva (UE) 2018/1972 (8) por la que se establece el Código Europeo de las Comunicaciones Electrónicas, cuya aplicación se rige por el criterio de especialidad. Algunas disposiciones de dicha Directiva se derogan de forma expresa (artículos 40 y 41), mientras que otras deben aplicarse a la luz del citado principio, sin aportar aclaraciones al respecto. Sobre esta cuestión, el CESE espera que se disipe cualquier duda, con el fin de evitar problemas de interpretación. Por lo que se refiere al sistema de sanciones, el CESE también respalda el objetivo de la Comisión de armonizar su régimen en caso de incumplimiento en la gestión de riesgos, en el marco de un mejor intercambio de información y cooperación a escala de la UE. |
|
5.9. |
El CESE reconoce el papel esencial, destacado en la propuesta de Directiva, de los órganos de gestión de las entidades «esenciales» e «importantes» en la estrategia de ciberseguridad y en la gestión de riesgos, ya que deben aprobar las medidas de gestión de riesgos, supervisar su aplicación y responder a cualquier incumplimiento. En este sentido, se establece que los miembros de estos órganos deben realizar cursos de formación específicos, de forma periódica, con el fin de adquirir conocimientos y capacidades suficientes para conocer y gestionar los distintos riesgos cibernéticos y evaluar su impacto. No obstante, considera que la propuesta debe indicar el contenido mínimo de dichos conocimientos y capacidades, a fin de proporcionar orientación a nivel europeo sobre las capacidades de formación que se consideran adecuadas para satisfacer los requisitos establecidos en la propuesta y evitar que los requisitos y el contenido de los cursos de formación difiera de un país a otro. |
|
5.10. |
El CESE se muestra de acuerdo con el importante papel que desempeña la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en la configuración institucional y operativa general de la ciberseguridad a nivel europeo. Asimismo, considera que, además del informe sobre la situación de la ciberseguridad en la Unión, este organismo debe publicar en línea información actualizada sobre incidentes de ciberseguridad y avisos sectoriales específicos, con el fin de proporcionar una herramienta de información útil que permita a las entidades afectadas por la SRI 2 proteger mejor sus empresas. |
|
5.11. |
El CESE está de acuerdo en considerar que el acceso a una información adecuada y oportuna sobre las vulnerabilidades de los productos y servicios TIC contribuye a una mejor gestión del riesgo de seguridad informática. A este respecto, las fuentes de información públicas sobre las vulnerabilidades constituyen un instrumento importante para las autoridades nacionales competentes, los equipos de respuesta a incidentes de seguridad informática (CSIRT), las empresas y los usuarios. Por esta razón, el CESE comparte la propuesta de confiar a la ENISA la tarea de crear un Registro Europeo de Vulnerabilidades al que las entidades esenciales e importantes y sus proveedores puedan comunicar la información, de modo que los usuarios puedan adoptar medidas de mitigación adecuadas. Considera, además, que la comunicación de esta información, es decir las vulnerabilidades y los incidentes graves, debe ser obligatoria y no voluntaria, de modo que se convierta en un instrumento útil también para las entidades adjudicadoras en el marco de los procedimientos de contratación pública a nivel europeo, en particular para los productos y tecnologías 5G. Así, dicho Registro contendría elementos útiles para la evaluación de las ofertas, a efectos de comprobar la calidad de las mismas y la fiabilidad de los contratantes europeos y de fuera de Europa desde el punto de vista de la seguridad de los productos y los servicios objeto de la licitación, en consonancia con lo indicado en la Recomendación sobre la ciberseguridad de las redes 5G de 26 de marzo de 2019. También debe garantizarse que la información contenida en este Registro se facilite sin ningún tipo de discriminación. |
Bruselas, 27 de abril de 2021.
La Presidenta del Comité Económico y Social Europeo
Christa SCHWENG
(1) DO L 194 de 19.7.2016, p. 1.
(2) COM(2020) 67 final.
(3) DO L 345 de 23.12.2008, p. 75.
(4) DO L 88 de 29.3.2019, p. 42.
(5) COM(2020) 605 final.
(6) COM(2017) 476 final.
(7) Anexo 1 (DO L 194 de 19.7.2016, p. 1).