La UE prepara nuevos reglamentos de Ciberseguridad y Seguridad de la Información

  • Normativa

Comisión Europea

Los reglamentos se basan en el refuerzo de la cooperación y el apoyo entre las instituciones, organismos, oficinas y agencias de la UE y en una preparación y respuesta coordinadas. Su objetivo es reforzar la resistencia de la UE frente al aumento de amenazas y ciberataques.

Recomendados: 

Claves de seguridad para las nuevas aplicaciones web y API. Ebook

Protegiendo los datos corporativos en aplicaciones basadas en cloud. Leer

La Comisión Europea ha propuesto un Reglamento de Ciberseguridad y un Reglamento de Seguridad de la Información, dos nuevas normas de cara a garantizar una administración pública de la UE coordinada, resistente y segura contra los ciberataques que puedan afectar a las distintas instituciones, órganos y organismos europeos.

Como señala Johannes Hahn, Comisario de Presupuesto y Administración, “en un entorno conectado, un solo incidente de ciberseguridad puede afectar a toda una organización. Por eso es fundamental construir un sólido escudo contra las ciberamenazas y los incidentes que puedan perturbar nuestra capacidad de actuación. Los reglamentos que proponemos son un hito en el panorama de la ciberseguridad y la seguridad de la información de la UE. Se basan en el refuerzo de la cooperación y el apoyo mutuo entre las instituciones, organismos, oficinas y agencias de la UE y en una preparación y respuesta coordinadas. Se trata de un verdadero esfuerzo colectivo de la UE".

Elementos clave los nuevos reglamentos

El Reglamento de ciberseguridad propuesto establecerá un marco de gobernanza, gestión de riesgos y control en el ámbito de la ciberseguridad. Entre sus elementos esenciales figuran reforzar el mandato del CERT-UE y proporcionarle los recursos que necesita para ejercerlo; crear un nuevo Consejo interinstitucional de ciberseguridad para impulsar y supervisar la aplicación del Reglamento y dirigir la actividad del CERT-UE; y cambiar el nombre del CERT-UE de “Equipo de Respuesta a Emergencias Informáticas” a “Centro de ciberseguridad”.

Además, se requerirá a todas las instituciones, órganos, organismos y agencias de la UE que se doten de un marco para la gobernanza, la gestión y el control de riesgos en el ámbito de la ciberseguridad; definan un código básico de medidas de seguridad para hacer frente a los riesgos detectados; lleven a cabo evaluaciones periódicas de madurez; pongan en marcha un plan de mejora de su ciberseguridad aprobado por los gestores de la entidad; y compartan sin demora indebida la información relacionada con los incidentes con el CERT-UE.

En cuanto al Reglamento de Seguridad de la Información, creará un conjunto de reglas y normas de seguridad de la información para todas las instituciones, organismos, oficinas y agencias de la UE, con el fin de garantizar una protección mejorada y coherente contra las cambiantes amenazas a su información. Para ello, establecerá un sistema de gobernanza eficaz para fomentar la cooperación entre todas las instituciones, órganos, organismos y agencias de la UE, a través de un Grupo interinstitucional de coordinación de la seguridad de la información.

Otros objetivos del reglamento serán determinar un enfoque común para la categorización de la información basado en el nivel de confidencialidad; modernizar las políticas de seguridad de la información, incluyendo plenamente en su ámbito de aplicación la transformación digital y el trabajo a distancia; y racionalizar las prácticas actuales y lograr una mayor compatibilidad entre los sistemas y dispositivos pertinentes.