Nova estratexia de ciberseguridade da UE e novas regras para facer máis resistentes as entidades críticas físicas e dixitais

Hoxe (16 de decembro) a Comisión e o alto representante da Unión para asuntos exteriores e política de seguridade presentan unha nova estratexia de ciberseguridade da UE. Como compoñente clave de Formar o futuro dixital de Europa, o plan de recuperación de Europa e a estratexia da Unión de seguridade da UE, a estratexia reforzará a resistencia colectiva de Europa contra as ciberameazas e axudará a garantir que todos os cidadáns e as empresas poidan beneficiarse plenamente de servizos fiables e fiables. ferramentas dixitais. Sexan os dispositivos conectados, a rede eléctrica ou os bancos, avións, administracións públicas e hospitais que os europeos usan ou son frecuentes, merecen facelo coa seguridade de que estarán protexidos contra as ciberameazas.

A nova estratexia de ciberseguridade tamén permite á UE reforzar o liderado en normas e estándares internacionais no ciberespazo e reforzar a cooperación con socios de todo o mundo para promover un ciberespazo global, aberto, estable e seguro, baseado no estado de dereito, nos dereitos humanos , liberdades fundamentais e valores democráticos. Ademais, a Comisión está a facer propostas para abordar a resistencia cibernética e física das entidades e redes críticas: unha Directiva sobre medidas para un alto nivel común de ciberseguridade en toda a Unión (Directiva NIS revisada ou "NIS 2") e unha nova Directiva sobre a resiliencia das entidades críticas.

Cubren unha ampla gama de sectores e pretenden abordar os riscos actuais e futuros en liña e fóra de liña, desde ciberataques ata delitos ou desastres naturais, de forma coherente e complementaria. Confianza e seguridade no corazón da década dixital da UE A nova estratexia de ciberseguridade ten como obxectivo salvagardar unha Internet global e aberta, ao mesmo tempo que ofrece garantías, non só para garantir a seguridade senón tamén para protexer os valores europeos e os dereitos fundamentais de todos.

Baseándose nos logros dos últimos meses e anos, contén propostas concretas de iniciativas reguladoras, de investimento e políticas, en tres áreas de acción da UE: 1. Resiliencia, soberanía tecnolóxica e liderado
Baixo esta vertente de acción, a Comisión propón reformar as regras sobre a seguridade da rede e dos sistemas de información, ao abeiro dunha Directiva sobre medidas para un alto nivel común de ciberseguridade en toda a Unión (Directiva NIS revisada ou "NIS 2"), co fin de aumentar o nivel de ciber resiliencia dos sectores públicos e privados críticos: hospitais, redes enerxéticas, ferrocarrís, pero tamén centros de datos, administracións públicas, laboratorios de investigación e fabricación de dispositivos médicos críticos e medicamentos, así como doutras infraestruturas e servizos críticos, deben permanecer impermeables , nun ambiente de ameazas cada vez máis rápido e complexo. A Comisión tamén propón lanzar unha rede de centros de operacións de seguridade en toda a UE, alimentados por intelixencia artificial (AI), que constituirán un verdadeiro "escudo de ciberseguridade" para a UE, capaz de detectar os sinais dun ciberataque con suficiente antelación e permitir que acción, antes de que se produza un dano. As medidas adicionais incluirán apoio dedicado ás pequenas e medianas empresas (PEME), baixo os centros de innovación dixital, así como un maior esforzo para mellorar a forza de traballo, atraer e reter o mellor talento en ciberseguridade e investir en investigación e innovación aberta. competitivo e baseado na excelencia.
2. Construíndo capacidade operativa para previr, disuadir e responder
A Comisión prepara, a través dun proceso progresivo e inclusivo cos estados membros, unha nova unidade cibernética conxunta para reforzar a cooperación entre os organismos da UE e as autoridades dos estados membros encargadas de previr, disuadir e responder aos ciberataques, incluíndo a aplicación da lei civil, comunidades diplomáticas e de defensa cibernética. O alto representante presenta propostas para fortalecer a caixa de ferramentas da cibers diplomacia da UE para previr, desalentar, disuadir e responder eficazmente contra as actividades cibernéticas malintencionadas, especialmente aquelas que afectan ás nosas infraestruturas críticas, cadeas de subministración, institucións e procesos democráticos. A UE tamén terá como obxectivo mellorar aínda máis a cooperación en defensa cibernética e desenvolver capacidades de defensa cibernética de última xeración, baseándose no traballo da Axencia Europea de Defensa e animando aos Estados Mmmber a facer un pleno uso da Cooperación Estructurada Permanente e da Defensa Europea. Fondo.
3. Avanzar nun ciberespazo global e aberto mediante unha maior cooperación
A UE intensificará o traballo con socios internacionais para fortalecer a orde global baseada en regras, promover a seguridade e estabilidade internacional no ciberespazo e protexer os dereitos humanos e as liberdades fundamentais en liña. Avanzará as normas e normas internacionais que reflictan estes valores fundamentais da UE, traballando cos seus socios internacionais nas Nacións Unidas e noutros foros relevantes. A UE fortalecerá aínda máis a súa caixa de ferramentas de cibers diplomacia e aumentará os esforzos de creación de capacidade cibernética a terceiros países desenvolvendo unha axenda de creación de capacidade cibernética externa da UE. Intensificaranse os diálogos cibernéticos con terceiros países, organizacións rexionais e internacionais, así como a comunidade de múltiples partes interesadas.

A UE tamén formará unha rede de diplomacia cibernética da UE en todo o mundo para promover a súa visión do ciberespazo. A UE comprométese a apoiar a nova estratexia de ciberseguridade cun nivel sen precedentes de investimento na transición dixital da UE durante os próximos sete anos, a través do próximo orzamento da UE a longo prazo, especialmente o Programa Europa dixital e Horizonte Europa, así como a recuperación Plan para Europa. Así, anímase aos Estados membros a facer un pleno uso do mecanismo de recuperación e resiliencia da UE para aumentar a ciberseguridade e igualar o investimento a nivel da UE.

O obxectivo é alcanzar ata 4.5 millóns de euros de investimento combinado procedente da UE, os estados membros e a industria, especialmente no marco do Centro de competencia en ciberseguridade e da rede de centros de coordinación, e garantir que unha parte importante chegue ás pemes. A Comisión tamén pretende reforzar as capacidades industriais e tecnolóxicas da UE en ciberseguridade, incluso a través de proxectos apoiados conxuntamente polos orzamentos da UE e os nacionais. A UE ten a oportunidade única de xuntar os seus activos para mellorar a súa autonomía estratéxica e impulsar o seu liderado en ciberseguridade en toda a cadea de subministración dixital (incluíndo datos e nube, tecnoloxías de procesador de próxima xeración, conectividade ultra segura e redes 6G), de acordo co seu valores e prioridades.

Resiliencia cibernética e física da rede, sistemas de información e entidades críticas Hai que actualizar as medidas existentes a nivel da UE destinadas a protexer os servizos e infraestruturas clave dos riscos tanto cibernéticos como físicos. Os riscos de ciberseguridade continúan evolucionando coa crecente dixitalización e interconexión. Os riscos físicos tamén se fixeron máis complexos desde a adopción das normas da UE de 2008 sobre infraestruturas críticas, que actualmente só abarcan os sectores da enerxía e o transporte. As revisións teñen como obxectivo actualizar as regras seguindo a lóxica da estratexia da Unión de Seguridade da UE, superando a falsa dicotomía entre en liña e fóra de liña e rompendo o enfoque do silo.

propaganda

Para responder ás crecentes ameazas debidas á dixitalización e á interconexión, a proposta de directiva sobre medidas para un alto nivel común de ciberseguridade en toda a Unión (Directiva NIS revisada ou "NIS 2") cubrirá entidades medianas e grandes de máis sectores en función da súa criticidade para a economía e a sociedade. NIS 2 reforza os requisitos de seguridade impostos ás empresas, aborda a seguridade das cadeas de subministración e as relacións cos provedores, racionaliza as obrigas de presentación de informes, introduce medidas de supervisión máis estritas para as autoridades nacionais, requisitos de aplicación máis estritos e ten como obxectivo harmonizar os réximes de sancións entre os Estados membros. A proposta NIS 2 axudará a aumentar o intercambio de información e a cooperación en materia de xestión de cibercrisas a nivel nacional e da UE. A proposta de directiva sobre resiliencia das entidades críticas (CER) amplía o alcance e a profundidade da directiva europea de infraestruturas críticas de 2008. Agora están cubertos dez sectores: enerxía, transporte, banca, infraestruturas do mercado financeiro, sanidade, auga potable, augas residuais, infraestruturas dixitais, administración pública e espazo. Segundo a directiva proposta, os estados membros adoptarían cada unha unha estratexia nacional para garantir a resistencia das entidades críticas e realizarían avaliacións de risco regularmente. Estas avaliacións tamén axudarían a identificar un subconxunto máis pequeno de entidades críticas que estarían suxeitas a obrigacións destinadas a mellorar a súa capacidade de resistencia ante riscos non cibernéticos, incluídas as avaliacións de riscos a nivel de entidade, a toma de medidas técnicas e organizativas e a notificación de incidentes.

Pola súa banda, a Comisión proporcionaría apoio complementario aos Estados membros e entidades críticas, por exemplo, desenvolvendo unha visión xeral dos riscos transfronteirizos e intersectoriais a nivel da Unión, mellores prácticas, metodoloxías, actividades de adestramento transfronteirizo e exercicios para probar. a resiliencia das entidades críticas. Garantindo a próxima xeración de redes: 5G e máis allá Segundo a nova estratexia de ciberseguridade, os estados membros, co apoio da Comisión e ENISA, a Axencia Europea de Ciberseguridade, están animados a completar a implementación da caixa de ferramentas 5G da UE, un risco integral e obxectivo enfoque baseado na seguridade do 5G e das xeracións futuras de redes.

Segundo un informe publicado hoxe, sobre o impacto da Recomendación da Comisión sobre a ciberseguridade das redes 5G e os avances na implementación da caixa de ferramentas da UE de medidas atenuantes, desde o informe de progreso de xullo de 2020, a maioría dos Estados membros xa están no bo camiño da súa aplicación. as medidas recomendadas. Agora deberían ter como obxectivo completar a súa implementación no segundo trimestre de 2021 e garantir que os riscos identificados se mitiguen adecuadamente, de xeito coordinado, particularmente co obxectivo de minimizar a exposición a provedores de alto risco e evitar a dependencia destes provedores. A Comisión tamén expón hoxe obxectivos clave e accións destinadas a continuar o traballo coordinado a nivel da UE.

A vicepresidenta executiva de Europa apta para a era dixital, Margrethe Vestager, dixo: "Europa está comprometida coa transformación dixital da nosa sociedade e economía. Por iso, debemos apoialo con niveis de investimento sen precedentes. A transformación dixital acelérase, pero só pode ter éxito se as persoas e as empresas poden confiar en que os produtos e servizos conectados - nos que dependen - sexan seguros. "

O alto representante, Josep Borrell, dixo: "A seguridade e estabilidade internacionais dependen máis que nunca dun ciberespazo global, aberto, estable e seguro onde se respecte o estado de dereito, os dereitos humanos, as liberdades e a democracia. Coa estratexia de hoxe a UE intensifica para protexer aos seus gobernos, cidadáns e empresas ante as ameazas cibernéticas globais e proporcionando liderado no ciberespazo, asegurándose de que todos poidan aproveitar os beneficios de Internet e o uso das tecnoloxías. "

Promover a nosa forma de vida europea, a vicepresidenta Margaritis Schinas, dixo: "A ciberseguridade é unha parte central da Unión da Seguridade. Xa non hai distinción entre ameazas en liña e fóra de liña. O dixital e o físico están agora indisolublemente entrelazados. O conxunto de medidas de hoxe demostran que A UE está preparada para empregar todos os seus recursos e experiencia para prepararse e responder a ameazas físicas e cibernéticas co mesmo nivel de determinación. "

O comisario do mercado interior, Thierry Breton, dixo: "As ameazas cibernéticas evolucionan rapidamente, son cada vez máis complexas e adaptables. Para asegurarnos de que os nosos cidadáns e infraestruturas están protexidas, debemos pensar varios pasos adiante, o escudo de ciberseguridade resistente e autónomo de Europa significará que podemos utilizar o noso coñecemento e coñecemento para detectar e reaccionar máis rápido, limitar os posibles danos e aumentar a nosa resistencia. Investir en ciberseguridade significa investir no futuro saudable dos nosos contornos en liña e na nosa autonomía estratéxica. "

A comisaria de Asuntos Internos, Ylva Johansson, dixo: "Os nosos hospitais, sistemas de augas residuais ou infraestruturas de transporte só son tan fortes como os seus elos máis débiles; as interrupcións nunha parte da Unión corren o risco de prestar servizos esenciais noutros lugares. Para garantir o bo funcionamento do sistema interno mercado e os medios de subsistencia dos que viven en Europa, a nosa infraestrutura clave debe ser resistente a riscos como desastres naturais, ataques terroristas, accidentes e pandemias como o que estamos a vivir hoxe. A miña proposta sobre infraestruturas críticas fai iso ".

Próximos pasos

A Comisión Europea e o Alto Representante comprométense a aplicar a nova estratexia de ciberseguridade nos próximos meses. Informarán regularmente dos avances realizados e manterán ao Parlamento Europeo, ao Consello da Unión Europea e ás partes interesadas plenamente informados e comprometidos en todas as accións pertinentes. Corresponde agora ao Parlamento Europeo e ao Consello examinar e adoptar a proposta de Directiva NIS 2 e a Directiva de resiliencia das entidades críticas. Unha vez que as propostas sexan acordadas e en consecuencia adoptadas, os Estados membros terían que transpoñelas nun prazo de 18 meses a partir da súa entrada en vigor.

A Comisión revisará periodicamente a Directiva NIS 2 e a Directiva de resiliencia das entidades críticas e informará sobre o seu funcionamento. Antecedentes A ciberseguridade é unha das principais prioridades da Comisión e unha pedra angular da Europa dixital e conectada. Un aumento dos ciberataques durante a crise do coronavirus demostrou o importante que é protexer hospitais, centros de investigación e outras infraestruturas. Necesítase unha forte acción na zona para garantir a economía e a sociedade da UE a futuro. A nova estratexia de ciberseguridade propón integrar a ciberseguridade en todos os elementos da cadea de subministración e reunir máis as actividades e os recursos da UE nas catro comunidades de ciberseguridade: mercado interno, aplicación da lei, diplomacia e defensa.

Baséase no deseño da Europa do futuro dixital da UE e na estratexia da Unión de seguridade da UE e apóiase nunha serie de actos lexislativos, accións e iniciativas que a UE puxo en marcha para fortalecer as capacidades de ciberseguridade e garantir unha Europa máis ciberresiliente. Isto inclúe a estratexia de ciberseguridade de 2013, revisada en 2017 e a Axenda Europea de Seguridade da Comisión 2015-2020. Tamén recoñece a crecente interconexión entre seguridade interna e externa, en particular a través da Política Exterior e de Seguridade Común. A primeira lei de ciberseguridade de toda a UE, a Directiva NIS, que entrou en vigor en 2016 axudou a acadar un alto nivel de seguridade común de redes e sistemas de información en toda a UE. Como parte do seu obxectivo clave de política para facer a Europa apta para a era dixital, a Comisión anunciou a revisión da Directiva NIS en febreiro deste ano.

A Lei de ciberseguridade da UE que está en vigor desde 2019 dotou a Europa dun marco de certificación de ciberseguridade de produtos, servizos e procesos e reforzou o mandato da Axencia de Ciberseguridade da UE (ENISA). En canto á ciberseguridade das redes 5G, os Estados membros, co apoio da Comisión e ENISA, estableceron, coa caixa de ferramentas 5G da UE adoptada en xaneiro de 2020, un enfoque integral e obxectivo baseado no risco. A revisión da Comisión da súa Recomendación de marzo de 2019 sobre a ciberseguridade das redes 5G descubriu que a maioría dos estados membros avanzaron na implementación da caixa de ferramentas. A partir da estratexia de ciberseguridade da UE de 2013, a UE desenvolveu unha política cibernética internacional coherente e holística.

Traballando cos seus socios a nivel bilateral, rexional e internacional, a UE promoveu un ciberespazo global, aberto, estable e seguro guiado polos valores fundamentais da UE e baseado no estado de dereito. A UE apoiou a terceiros países no aumento da súa capacidade de resistencia cibernética e capacidade de loita contra o delito cibernético e utilizou a súa caixa de ferramentas da UE para a diplomacia cibernética de 2017 para contribuír aínda máis á seguridade e estabilidade internacional no ciberespazo, incluíndo a aplicación por primeira vez do seu réxime de ciber sancións de 2019 e incluíndo 8 persoas e 4 entidades e organismos. A UE realizou avances significativos tamén na cooperación en defensa cibernética, incluíndo as capacidades de defensa cibernética, especialmente no marco do seu marco de política de defensa cibernética (CDPF), así como no contexto da Cooperación estruturada permanente (PESCO) e o traballo da Axencia Europea de Defensa. A ciberseguridade é unha prioridade que tamén se reflicte no próximo orzamento a longo prazo da UE (2021-2027).

No marco do Programa Europa dixital, a UE apoiará a investigación, innovación e infraestruturas sobre ciberseguridade, ciberdefensa e a industria de ciberseguridade da UE. Ademais, na súa resposta á crise do coronavirus, que aumentou os ciberataques durante o bloqueo, o Plan de recuperación para Europa garante investimentos adicionais en ciberseguridade. A UE recoñece dende hai tempo a necesidade de garantir a resiliencia das infraestruturas críticas que proporcionan servizos que son esenciais para o bo funcionamento do mercado interior e a vida e medios de subsistencia dos cidadáns europeos. Por este motivo, a UE estableceu o Programa Europeo de Protección de Infraestruturas Críticas (EPCIP) en 2006 e adoptou a Directiva Europea de Infraestruturas Críticas (ICE) en 2008, que se aplica aos sectores da enerxía e o transporte. Estas medidas complementáronse nos últimos anos con diversas medidas sectoriais e intersectoriais sobre aspectos específicos como a protección climática, a protección civil ou o investimento directo estranxeiro.

Comparte este artigo: