Nace el Sistema Europeo de Alerta de Ciberseguridad

Miguel Ángel Valero

El Diario Oficial de la Unión Europea (DOUE) del 15 de enero publica el Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos y por el que se modifica el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad).

El Reglamento parte de una evidencia: "La utilización y dependencia de las tecnologías de la información y la comunicación constituyen un elemento esencial en todos los sectores de la actividad económica y de la sociedad en vista de la creciente interconectividad e interdependencia de las administraciones públicas de los Estados miembros, las empresas y los ciudadanos en todos los sectores y por encima de todas las fronteras, lo que genera posibles vulnerabilidades de manera simultánea". 

La magnitud, la frecuencia y los efectos de los incidentes de ciberseguridad, incluidos los ataques a la cadena de suministro con fines de ciberespionaje, programas de secuestro («ransomware») o perturbación, están aumentando en la Unión y en todo el mundo. Representan una grave amenaza para el funcionamiento de las redes y los sistemas de información. En vista de la rápida evolución del panorama de amenazas, la amenaza de posibles incidentes de ciberseguridad a gran escala que provoque perturbaciones o daños significativos en las infraestructuras críticas exige una mayor preparación del marco de ciberseguridad de la Unión. Esa amenaza va más allá de la guerra de agresión de Rusia a Ucrania y probablemente persistirá, dada la multiplicidad de agentes implicados en las tensiones geopolíticas actuales. 

Estos incidentes pueden obstaculizar la prestación de servicios públicos, ya que los ciberataques se dirigen con frecuencia a servicios e infraestructuras públicos locales, regionales o nacionales, y las autoridades locales son especialmente vulnerables, en particular debido a sus limitados recursos. Pueden impedir el desarrollo de actividades económicas, incluso en sectores de alta criticidad u otros sectores críticos, generar pérdidas económicas sustanciales, socavar la confianza de los usuarios, causar graves daños a las economías y a los sistemas democráticos de la Unión e incluso suponer una amenaza para la salud o la vida. Además, los incidentes de ciberseguridad son impredecibles, ya que a menudo surgen y evolucionan rápidamente, no se limitan a ninguna zona geográfica específica y se producen simultáneamente o se propagan de forma instantánea por muchos países. Es importante que exista una estrecha cooperación entre el sector público, el sector privado, el mundo académico, la sociedad civil y los medios de comunicación.

Por tanto, es necesario afianzar la posición competitiva de la industria y los servicios de la Unión en el conjunto de la economía digitalizada y apoyar su transformación digital reforzando el nivel de ciberseguridad en el mercado único digital. Es necesario aumentar la resiliencia de los ciudadanos, las empresas, incluidas las microempresas, las pequeñas y medianas empresas y las empresas emergentes, y las entidades que gestionan infraestructuras críticas, frente a las crecientes amenazas de ciberseguridad, que pueden tener unas repercusiones sociales y económicas devastadoras. Por lo tanto, es necesaria la inversión en infraestructuras y servicios y la adquisición de competencias para desarrollar capacidades en materia de ciberseguridad que apoyen una detección y una respuesta más rápidas a las ciberamenazas e incidentes. 

Adicionalmente, los Estados miembros precisan de asistencia para prepararse mejor y responder a los incidentes de ciberseguridad significativos y a gran escala, así como apoyo en la recuperación inicial de ellos. Basándose en las estructuras existentes y en estrecha colaboración con ellas, la Unión también debe aumentar sus capacidades en dichos ámbitos, en particular en lo que se refiere a la recopilación y el análisis de datos sobre amenazas e incidentes de ciberseguridad.

Los crecientes riesgos de ciberseguridad y un panorama general de amenazas complejo, con un claro riesgo de propagación rápida de incidentes de un Estado miembro a otros y de un tercer país a la Unión, requieren el refuerzo de la solidaridad a escala de la Unión para mejorar la detección, preparación, respuesta y recuperación con respecto de las ciberamenazas e incidentes, en especial mediante el refuerzo de las capacidades de las estructuras existentes.

El Reglamento establece medidas para reforzar las capacidades de la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos, en particular mediante la creación:

El Reglamento persigue los objetivos generales de reforzar la posición competitiva de la industria y los servicios en la Unión en toda la economía digital, incluidas las microempresas y las pequeñas y medianas empresas, así como las empresas emergentes, y de contribuir a la soberanía tecnológica de la Unión y a su autonomía estratégica abierta en el ámbito de la ciberseguridad, en particular impulsando la innovación en el mercado único digital. Persigue esos objetivos reforzando la solidaridad a escala de la Unión, consolidando el ecosistema de ciberseguridad, mejorando la ciberresiliencia de los Estados miembros y desarrollando las capacidades, los conocimientos técnicos, las habilidades y las competencias de la mano de obra en relación con la ciberseguridad.

El Reglamento entrará en vigor a los veinte días de su publicación en el DOUE y será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.