La Unión Europea refuerza la ciberseguridad con un nuevo reglamento

Europa lleva cerca de dos años trabajando en un conjunto de medidas para fortalecer la ciberseguridad de sus instituciones. El nuevo reglamento, nacido de un intenso proceso colaborativo, se aprobó definitivamente a finales de 2023 y echó a andar en enero de 2024.

M

ejorar la protección de la información sensible y la gestión de los riesgos a los que se enfrentan las diversas instituciones dentro de la Unión Europea son las razones principales que han llevado a trabajar en un ambicioso proyecto de protección ante los ciberataques.  

Medidas unificadas para la protección de instituciones de la UE 

Por primera vez, se ha establecido un conjunto unificado de medidas para proteger a todas las entidades y oficinas dentro de la Unión Europea, incluyendo instituciones como el Parlamento Europeo, el Consejo de la Unión Europea, el Tribunal de Justicia de la Unión Europea, el Banco Central Europeo, la Oficina Europea de Policía (Europol), la Agencia Europea de Medicamentos (EMA) o la Agencia Europea de Seguridad Aérea (EASA) y el Banco Europeo de Inversiones (BEI) 

Todas estas entidades diseñarán, según el reglamento, un completo plan de ciberseguridad, cuya implementación final deberá efectuarse antes del 8 de enero de 2026. 

Enfoque integral para fortalecer la ciberseguridad 

Las entidades sujetas al reglamento deben tener en cuenta todos estos puntos para fortalecer la ciberseguridad: 

• Teletrabajo. Establecer medidas técnicas que permitan y mantengan de manera segura el teletrabajo, garantizando la integridad y confidencialidad de la información. 
• Confianza cero. Adoptar medidas concretas para avanzar hacia los principios de «confianza cero» (Zero Trust). En lugar de basarse en la confianza implícita, este modelo exige la verificación continua de la identidad y la validación de la seguridad antes de otorgar acceso a recursos o información. Adopta la premisa de «nunca confiar, siempre verificar», independientemente de la ubicación o la red desde la que se acceda. 
• MFA. Implementar la autenticación multifactor (MFA, Multi Factor Authentication) en todos los sistemas de redes e información para agregar capas adicionales de seguridad. 
• Cifrado. Utilizar la criptografía y el cifrado, especialmente el cifrado de extremo a extremo y la firma digital segura, para proteger la confidencialidad e integridad de la información. 
• Comunicaciones. Garantizar comunicaciones seguras de voz, vídeo y texto, así como sistemas de comunicaciones de emergencia seguros, para garantizar la confidencialidad de la información transmitida. 
• Malware. Desarrollar medidas proactivas para detectar y retirar programas maliciosos y software espía (malware y spyware) que puedan comprometer la seguridad de los sistemas. 
• Software. Reforzar la seguridad en la cadena de suministro de software para prevenir vulnerabilidades y asegurar la integridad de los programas. 
• Ciberseguridad. Desarrollar programas de formación en ciberseguridad, dirigidos a todo el personal, con reciclaje continuo, para adquirir las habilidades necesarias y garantizar la aplicación efectiva del reglamento. Las nuevas normas tienen muy en cuenta no solo el fortalecimiento de la parte técnica, sino también de la humana. 
• Colaboración. Contribuir activamente en el análisis de riesgos de interconexión entre entidades cuando sea relevante, asegurando una comprensión integral de los riesgos compartidos. 

Coordinación y cooperación 

Además, el reglamento dispone reglas específicas para eliminar barreras contractuales que puedan dificultar la comunicación con el Servicio de Seguridad para las instituciones, órganos, oficinas y agencias de la Unión Europea. Este servicio se consolida como eje central de la coordinación de inteligencia sobre amenazas, intercambio de información y respuesta a incidentes en la UE, además de desempeñar funciones de asesoramiento en materia de ciberseguridad.  

Anteriormente, este servicio se conocía como CERT-EU (Equipo de Respuesta a Incidentes Cibernéticos para las Instituciones, Agencias y Organismos de la Unión Europea o Computer Emergency Response Team for the EU Institutions, Agencies and Bodies). Además, se busca establecer obligaciones que requieran a los proveedores notificar cualquier incidente, vulnerabilidad o amenaza cibernética identificada, así como implementar respuestas efectivas ante estos eventos. El reglamento insiste con determinación en reglas que favorezcan la cooperación y la capacidad de respuesta. 

El recién promulgado Reglamento de Ciberseguridad se integra de manera coherente con otras regulaciones y leyes establecidas previamente por la Comisión Europea., como la Directiva Redes y Sistemas de Información (Network and Information Systems, NIS). 

Esta legislación, adoptada en 2016, ya buscaba mejorar la ciberseguridad en los países miembros de la UE estableciendo medidas para garantizar un nivel común de seguridad en infraestructuras críticas y proveedores de servicios digitales. Proponía una serie de requisitos a operadores de servicios esenciales y proveedores digitales como la notificación obligatoria de incidentes de seguridad. También promovía con una aserie de medidas muy específicas la cooperación entre los Estados miembros para abordar amenazas cibernéticas. 

Un hito que prepara al viejo continente para enfrentar las amenazas cibernéticas y favorecer la recuperación ante incidentes 

Johannes Hahn, Comisario de Presupuesto y Administración de la Unión Europea, destacó el importante paso que Europa ha dado con este reglamento, unificando protocolos y apostando por una cultura de la prevención y la resiliencia. Según sus propias palabras: «En un entorno conectado, un solo incidente de ciberseguridad puede afectar a toda una organización. Por eso es fundamental construir un escudo sólido contra las ciber amenazas y los incidentes que puedan perturbar nuestra capacidad de actuación. Los reglamentos que proponemos hoy son un hito en el panorama de la ciberseguridad y la seguridad de la información de la UE. Se basan en una cooperación reforzada y un apoyo mutuo entre las instituciones, órganos, oficinas y agencias de la UE y en una preparación y respuesta coordinadas. Se trata de un verdadero esfuerzo colectivo”.  

Contacte ahora con nuestros expertos en ciberseguridad y fraude y solicite un asesoramiento personalizado para proteger su negocio.