COMISSIÓ EUROPEA: Proposta de LLEI de Cibersolidaritat i nova ACADÈMIA de Cibercapacitats
La Comissió Europea ha adoptat (18/04/2023) una proposta de Llei de Cibersolidaritat de la UE per reforçar les capacitats de ciberseguretat a la UE. Es tracta de sostenir la detecció i el coneixement de les amenaces i incidents de ciberseguretat, estimular la preparació de les entitats crítiques i reforçar la solidaritat, la gestió concertada de crisi i les capacitats de resposta a tots els Estats membres.
La Llei de Cibersolidaritat estableix les capacitats de la UE per fer que Europa sigui més resilient i reaccioni millor davant les ciberamenaces, reforçant alhora el mecanisme de cooperació existent. També contribuirà a garantir un panorama digital segur per als ciutadans i les empreses i protegir les entitats crítiques i els serveis essencials, per exemple, els hospitals i els serveis públics.
La Comissió també ha presentat una Acadèmia de Cibercapacitats, en el marc de l’Any Europeu de les Competències 2023, per vetllar per un plantejament més coordinat a l’hora de satisfer la bretxa de talent en matèria de ciberseguretat, cosa que constitueix un requisit previ per impulsar la resiliència dEuropa. L’Acadèmia reunirà diverses iniciatives existents destinades a fomentar les capacitats en matèria de ciberseguretat i les oferirà en una plataforma en línia, augmentant així la visibilitat i el nombre de professionals qualificats en matèria de ciberseguretat a la UE.
En el marc de la Unió Europea de la Seguretat, la UE s’ha compromès a vetllar perquè tots els ciutadans i les empreses d’Europa estiguin ben protegits, tant en línia com fora de línia, i fomentar un ciberespai obert, segur i estable. Tot i això, l’augment de la magnitud, la freqüència i l’efecte dels incidents de ciberseguretat representa una greu amenaça per al funcionament de les xarxes i els sistemes d’informació i per al mercat únic europeu. L’agressió militar de Rússia contra Ucraïna ha exacerbat encara més aquesta amenaça, juntament amb la multiplicitat d’agents estatals, criminals i hacktivistes implicats a les tensions geopolítiques actuals.
Partint del sòlid marc estratègic, polític i legislatiu ja en vigor, la proposta de Llei de Cibersolidaritat de la UE i l’Acadèmia de Cibercapacitats contribuiran encara més a millorar la detecció de les ciberamenaces, la resiliència i la preparació a tots els nivells de l’ecosistema de ciberseguretat de la UE.
Llei de Cibersolidaritat de la UE
La Llei de Cibersolidaritat de la UE reforçarà la solidaritat a escala de la Unió a l’hora de detectar, afrontar i superar els incidents de ciberseguretat importants a gran escala mitjançant la creació d’un Ciberescut Europeu i un Mecanisme de Ciberemergència global.
Per detectar les principals amenaces cibernètiques de forma ràpida i eficaç, la Comissió proposa la creació d’un Ciberescut Europeu, una infraestructura paneuropea formada per centres d’operacions de seguretat nacionals i transfronterers a tota la UE. Es tracta d’entitats encarregades de detectar les ciberamenaces i d’actuar-hi. Utilitzaran la tecnologia més avançada, per exemple, la intel·ligència artificial (IA) i l’anàlisi avançada de dades, per detectar i difondre oportunament alertes de ciberamenaces i incidents més enllà de les fronteres. Alhora, les autoritats i les entitats pertinents podran reaccionar de manera més eficient i eficaç davant dels incidents greus.
Aquests centres podrien començar a funcionar a principis del 2024. Com a fase preparatòria del Ciberescut Europeu, la Comissió va seleccionar l’abril del 2023, en el marc del programa Europa Digital, tres consorcis de centres d’operacions de seguretat transfronterers, que reuneixen organismes públics de disset Estats membres i Islàndia.
La Llei de Cibersolidaritat de la UE també inclou la creació d’un mecanisme de ciberemergència per augmentar la preparació i millorar les capacitats de resposta davant d’incidents a la UE. Aquest recolzarà el següent:
-Mesures de preparació, per exemple, assajos a entitats de sectors molt crítics (assistència sanitària, transports, energia, etc.) per detectar possibles punts vulnerables, sobre la base d’hipòtesis i mètodes de risc comuns.
-Creació d’una nova reserva de ciberseguretat de la UE, consistent en serveis de resposta a incidents de proveïdors de confiança precontractats i, per tant, disposats a intervenir, a petició d’un Estat membre o de les institucions, els òrgans i els organismes de la Unió , en cas que es produeixi un incident de ciberseguretat important a gran escala.
-Prestació d’ajuda financera a favor de l’assistència mútua, quan un Estat membre pugui donar suport a un altre Estat membre.
A més, la proposta de Reglament estableix un mecanisme d’examen d’incidents de ciberseguretat per millorar la resiliència de la Unió mitjançant la revisió i l’avaluació d’incidents de ciberseguretat importants a gran escala que s’hagin produït, extraient ensenyaments i, quan escaigui, formulant recomanacions per millorar la posició cibernètica de la Unió.
El pressupost total per a totes les accions en el marc de la Llei de Cibersolidaritat de la UE és de 1100 milions d’euros, dels quals aproximadament dos terços els finançarà la UE amb càrrec al programa Europa Digital.
Acadèmia de Cibercapacitats de la UE
L’Acadèmia de Cibercapacitats de la UE reunirà iniciatives privades i públiques destinades a impulsar les capacitats en matèria de ciberseguretat a escala nacional i europea, fent-les més visibles i contribuint a satisfer la bretxa de talent en matèria de ciberseguretat dels professionals del sector.
L’Acadèmia s’allotjarà inicialment en línia a la plataforma de capacitats i llocs de treball digitals de la Comissió. Els ciutadans interessats a desenvolupar una carrera professional a l’àmbit de la ciberseguretat podran trobar formació i certificacions de tota la UE en un únic lloc en línia. Les parts interessades també es poden comprometre a donar suport a la millora de les capacitats en matèria de ciberseguretat a la UE mitjançant l’adopció de mesures concretes, com ara ofertes de formació i certificacions en matèria de ciberseguretat.
L’Acadèmia evolucionarà per incloure un espai comú per al món acadèmic, els proveïdors de formació i la indústria, ajudant-los a coordinar els programes educatius, la formació, el finançament i el seguiment de l’evolució del mercat laboral de la ciberseguretat.
Sistemes de certificació dels serveis de seguretat administrada
La Comissió també ha proposat una modificació específica del Reglament de Ciberseguretat per permetre la futura adopció de sistemes europeus de certificació per als serveis de seguretat administrada. Es tracta de serveis summament crítics i sensibles prestats per proveïdors de serveis de ciberseguretat, com ara la resposta a incidents, les proves de penetració, les auditories de seguretat i la consultoria, per tal d’assistir a les empreses i altres organitzacions a l’hora de prevenir, detectar, afrontar o superar ciberincidents.
La certificació és fonamental i pot tenir un paper important en el context de la Reserva de Ciberseguretat de la UE i de la Directiva relativa a les mesures destinades a garantir un elevat nivell comú de ciberseguretat a tota la Unió (Directiva SRI 2), a més de facilitar la prestació transfronterera dels serveis.
Properes etapes
El Parlament Europeu i el Consell examinaran ara la proposta de Reglament sobre la Llei de Cibersolidaritat de la UE i la modificació específica del Reglament de Ciberseguretat.
El Centre Europeu de Competència en Ciberseguretat organitzarà una adquisició conjunta d’eines i d’infraestructures amb els centres d’operacions de seguretat transfronterers seleccionats per crear capacitats de ciberdetecció.
L’Agència de la Unió Europea per a la Ciberseguretat (ENISA) i el Centre Europeu de Competència en Ciberseguretat continuaran treballant en matèria de cibercapacitats i contribuint a la creació de l’Acadèmia de Cibercapacitats, d’acord amb els seus mandats respectius, i en estreta cooperació amb la Comissió i els Estats membres.
La Comissió proposa que l’Acadèmia adopti la forma d’un consorci europeu d’infraestructures digitals (EDIC), que és un nou marc jurídic per executar projectes plurinacionals. Aquesta possibilitat es negociarà ara amb els Estats membres.
També cal vetllar perquè els professionals rebin una formació de la qualitat necessària. Pel que fa a això, l’ENISA desenvoluparà un projecte pilot que estudiarà la creació d’un règim europeu de certificació de les capacitats en matèria de ciberseguretat.