Alcanzado un acuerdo entre el Consejo y Parlamento para la creación del Reglamento sobre Ciberseguridad en las instituciones

Las medidas fueron propuestas por la Comisión en marzo de 2022 en el contexto de un aumento significativo del número de ciberataques sofisticados que afectan a la administración pública de la UE en los últimos años. El nuevo Reglamento creará un marco común para todas las entidades de la UE en el ámbito de la ciberseguridad y mejorará su resiliencia y sus capacidades de respuesta a incidentes.

Para asegurar altos estándares uniformes entre todas las instituciones de la UE, las nuevas disposiciones requieren la creación de un marco de gobernanza y gestión de riesgos específicos para la ciberseguridad.

Todas las entidades de la UE también tendrán que aplicar medidas de ciberseguridad que aborden los riesgos identificados, realizar evaluaciones periódicas de la madurez de la ciberseguridad y poner en marcha un plan de ciberseguridad. 

Bajo este nuevo Reglamento, se ampliará la autoridad del Equipo de Respuesta a Emergencias Informáticas de la UE (CERT-UE), que ahora será conocido como el "Servicio de Ciberseguridad para Instituciones de la Unión", aunque se mantendrá el acrónimo actual.

El CERT-EU prestará asesoramiento a todas las instituciones de la UE, ayudándolas a prevenir, detectar y responder a incidentes cibernéticos. Este equipo también servirá como centro de intercambio de información y coordinación en cuestiones de ciberseguridad. Todas las entidades de la UE deberán compartir información no clasificada relacionada con incidentes con CERT-EU sin demora indebida.

Adicionalmente, el Reglamento establecerá un Consejo de Ciberseguridad Interinstitucional para supervisar e impulsar la implementación del Reglamento por parte de las instituciones, órganos y organismos de la UE.

La nueva junta también supervisará la implementación de las prioridades y objetivos generales de CERT-EU y le proporcionará una dirección estratégica.

El consejo estará compuesto por representantes de todas las instituciones y órganos consultivos de la UE, el Banco Europeo de Inversiones, el Centro Europeo de Competencia en Ciberseguridad, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el Supervisor Europeo de Protección de Datos, la Agencia de la UE para el Programa Espacial, así como representantes de la Red de Agencias de la UE.

En cuanto a los próximos pasos a dar, hay que recalcar que, como este acuerdo provisional se finalizará ahora a nivel técnico, lo siguiente es presentarlo a los embajadores de los Estados miembros ante la UE para su confirmación.

Una vez confirmado tanto en el Consejo como en el Parlamento, será adoptado formalmente por ambas instituciones.