La CE busca movilizar 4.500 millones para crear un 'escudo cibernético' en toda Europa

La Comisión Europea se ha propuesto crear un escudo cibernético para toda la UE, que eleve fundamentalmente la seguridad de las infraestructuras críticas frente a las ciberamenazas, y para ello ha presentado este miércoles su nueva estrategia de ciberseguridad con nuevas normas para aumentar la resiliencia de las entidades críticas físicas y digitales.

Entre las iniciativas que propuso está reformar las normas con una nueva directiva (SRI 2) que refuerza los requisitos de seguridad que se exigen a las empresas para garantizar un “elevado nivel común de ciberseguridad en la UE”, y una nueva directiva sobre la resiliencia de entidades críticas.

El alto representante de la UE, Josep Borrell, el vicepresidente de la Comisión, Margaritis Schinas, y el comisario Thierry Breton fueron los encargados de exponer la estrategia en una rueda de prensa en Bruselas, donde prometieron reforzar la “resiliencia colectiva contra las amenazas cibernéticas” en todo el bloque.

La Comisión aclaró que la SRI2 se aplicará a entidades medianas y grandes de diferentes sectores, en función de su importancia crítica para la economía y la sociedad. Y señaló que esta directiva refuerza los requisitos de seguridad que se imponen a las empresas, se ocupa de la seguridad de las cadenas de suministro y las relaciones con los proveedores, simplifica las obligaciones de notificación, introduce medidas de supervisión más estrictas para las autoridades nacionales, requisitos de ejecución más estrictos y tiene por objeto armonizar los regímenes de sanciones entre los estados.

Con la SRI 2, la CE quiere subir el nivel de ciberresiliencia de los sectores públicos y privados críticos. Así, indicaron, hospitales, redes de energía, ferrocarriles, centros de datos, administraciones públicas, laboratorios de investigación y fabricación de medicamentos y productos sanitarios críticos, así como otras infraestructuras críticas, “deben permanecer protegidos frente a un entorno cada vez más cambiante y de amenazas más complejas”.

Más cooperación

La Comisión propuso crear en toda la UE una red de centros de operaciones de seguridad basados en la inteligencia artificial capaz de detectar indicios de ciberataques con suficiente antelación y que permita adoptar medidas proactivas, antes de que los daños se lleguen a producir. La CE también dijo estar preparando la creación de una nueva unidad informática conjunta con el fin de reforzar la cooperación entre los organismos de la UE y las autoridades de los estados miembros encargadas de la prevención, disuasión y respuesta a los ciberataques.

Según Schinas, la ciberseguridad es una parte esencial de la seguridad, pues “ya no existe distinción entre amenazas en línea y fuera de línea. Lo digital y lo físico está totalmente entrelazados, y las medidas que presentamos hoy muestran que la UE está lista para usar todos sus recursos y experiencia para prepararse y responder a las amenazas físicas y cibernéticas con el mismo nivel de determinación”.

En cuanto a la directiva sobre resiliencia de entidades críticas, esta amplía el ámbito de aplicación y la profundidad de la directiva sobre infraestructuras críticas de 2008, incluyendo diez nuevos sectores: energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable, aguas residuales, infraestructuras digitales, Administración pública y espacio.

La financiación de esta estrategia se articulará en los próximos siete años a través del Programa Europa Digital, el Horizonte Europa y el Plan de Recuperación para Europa. El objetivo, dijeron, es alcanzar una inversión conjunta de 4.500 millones entre la Unión, los Estados miembros y la industria, en especial a través del Centro de Competencias en Ciberseguridad y la Red de Centros de Coordinación, así como garantizar que las pymes reciben una parte importante de la misma.

La nueva estrategia de ciberseguridad de la UE, que se presenta pocos días después de que la Agencia Europea del Medicamento fuera hackeada, un hecho que se está investigando, incluye más herramientas de diplomacia para prevenir, disuadir y responder a ataques y un mayor diálogo sobre ciberseguridad con países fuera de la UE. Una mayor cooperación con la OTAN y la ONU en materia de ciberseguridad está entre sus objetivos.

Schinas aseguró que "el tiempo de la inocencia se ha acabado", y recordó la muerte en septiembre de una mujer alamana de 78 años, por presumiblemente no haber podido ser trasladada a tiempo al Hospital Universitario de Düsseldorf, que quedó colapsado ante un ataque cibernético que afectó a su sistema informático. "Es la primera muerte registrada relacionada con un ataque cibernético", añadió.

Otro dato económico que demuestra la gravedad del asunto es el coste que ocasionan estos ciberataques. Según EuroNews, a finales de este año se estima que los ciberdelitos provocarán un coste para la economía mundial de unos 5,5 billones de euros, el doble que en 2015.

Para responder a este tipo de agresiones, Borrell planteó la necesidad de agilizar la toma de decisiones entre los 27 para sancionar a los responsables de estos ataques. La UE ya tiene en vigor actualmente un régimen sancionador, pero las sanciones las tienen que aprobar por unanimidad los estados miembros. El político español quere que se puedan aplicar si lo pide una mayoría cualificada de los gobiernos. Hasta ahora, la UE ha incluido a ocho personas, dos entidades y dos organismos de Rusia, China y Corea del Norte en su lista de sanciones relacionadas con ciberataques.

Ahora, tras la presentación de las directivas, el Parlamento Europeo y el Consejo de Europa deberán aprobarlas. Una vez que esto ocurra, los Estados miembros tendrán un plazo de 18 meses a partir de su entrada en vigor para incorporarlas a su ordenamiento jurídico.