El 13 de septiembre, en su discurso anual sobre el Estado de la Unión, el presidente Jean-Claude Juncker afirmó: "En los últimos tres años, hemos progresado para mantener a los europeos seguros en línea. Pero Europa todavía no está bien equipada cuando se trata de ciberdelincuencia. Por eso, hoy, la Comisión propone nuevas herramientas, incluida una Agencia Europea de Ciberseguridad, para ayudarnos a defendernos de tales ataques". Los europeos depositan gran confianza en las tecnologías digitales. Abren nuevas oportunidades para que los ciudadanos se conecten, facilitan la difusión de información y forman la columna vertebral de la economía europea. Sin embargo, también han ocasionado nuevos riesgos a medida que actores no estatales y estatales intentan cada vez más robar datos, cometer fraude o incluso desestabilizar a los gobiernos.
El año pasado, hubo más de 4.000 ataques de ransomware por día y el 80% de las empresas europeas experimentaron al menos un incidente de seguridad cibernética. El impacto económico del delito cibernético se ha quintuplicado solo en los últimos cuatro años.
Con objeto de equipar a Europa con las herramientas adecuadas para hacer frente a los ciberataques, la Comisión Europea y el Alto Representante proponen un amplio conjunto de medidas para construir una ciberseguridad sólida en la UE. Esto incluye una propuesta de una Agencia de Seguridad Cibernética de la UE para ayudar a los Estados miembros a abordar los ciberataques, así como un nuevo esquema de certificación europeo que garantizará que los productos y servicios en el mundo digital sean seguros de usar.
Federica Mogherini, Alta representante de la Unión para Asuntos Exteriores y Política de Seguridad, dijo:
"La UE seguirá una política cibernética internacional que promueva un ciberespacio abierto, libre y seguro, así como respalde los esfuerzos para desarrollar normas de comportamiento estatal responsable, aplique el derecho internacional y las medidas de fomento de la confianza en ciberseguridad".
Andrus Ansip, Vicepresidente del Mercado Único Digital, afirmó: "Ningún país puede enfrentar los desafíos de la ciberseguridad solo. Nuestras iniciativas fortalecen la cooperación para que los países de la UE puedan abordar estos desafíos juntos. También proponemos nuevas medidas para impulsar la inversión en innovación y promover la ciberhigiene".
Julian King, Comisionado para la Unión de Seguridad, planteó: "Necesitamos trabajar juntos para desarrollar nuestra capacidad de resistencia, impulsar la innovación tecnológica, impulsar la disuasión, reforzar la trazabilidad y la responsabilidad, y aprovechar la cooperación internacional para promover nuestra ciberseguridad colectiva".
Mariya Gabriel, Comisionada para la economía digital y la sociedad, señaló: "Necesitamos construir sobre la confianza de nuestros ciudadanos y empresas en el mundo digital, especialmente en un momento en que los ciberataques a gran escala son cada vez más comunes; queremos que los altos estándares de ciberseguridad se conviertan en la nueva ventaja competitiva de nuestras empresas".
Con los ataques de ransomware, un aumento dramático de la ciberdelincuencia, el uso creciente de herramientas cibernéticas por parte de actores estatales para cumplir sus objetivos geopolíticos y la diversificación de incidentes de ciberseguridad, la UE necesita construir una mayor resistencia a los ciberataques y dar una respuesta eficaz de ciberdelincuencia y de derecho penal, para proteger mejor a los ciudadanos, las empresas y las instituciones públicas de Europa. De esto se trata el paquete de seguridad cibernética de hoy.
DESARROLLAR LA RESILENCIA DE LA UE: AGENCIA DE CIBERSEGURIDAD DE LA UE
Basándose en la Agencia Europea para la Seguridad de las Redes y la Información (ENISA), la Agencia tendrá un mandato permanente para ayudar a los Estados miembros a prevenir y responder eficazmente a los ciberataques. Mejorará la preparación de la UE para reaccionar mediante la organización de ejercicios anuales de ciberseguridad paneuropea y asegurando un mejor intercambio de inteligencia y conocimiento sobre amenazas a través de la creación de centros de intercambio de información y análisis. Ayudará a implementar la Directiva sobre la seguridad de las redes y los sistemas de información que contiene obligaciones de presentación de informes a las autoridades nacionales en caso de incidentes graves.
La Agencia de Seguridad Cibernética también ayudaría a establecer e implementar el marco de certificación a escala de la UE que la Comisión propone para garantizar que los productos y servicios sean ciberseguros.
Así como los consumidores pueden confiar en lo que comen gracias a las etiquetas alimentarias de la UE, los nuevos certificados europeos de ciberseguridad garantizarán la fiabilidad de los miles de millones de dispositivos ("Internet de las cosas") que impulsan las infraestructuras críticas actuales, como las redes de energía y transporte, pero también dispositivos de consumo, como automóviles conectados. Los certificados de ciberseguridad se reconocerán en todos los Estados miembros, reduciendo así la carga administrativa y los costes para las empresas.
AUMENTO DE LA CAPACIDAD DE CIBERSEGURIDAD DE LA UE
El interés estratégico de la UE es garantizar que las herramientas tecnológicas de seguridad cibernética se desarrollen de manera tal que permitan el florecimiento de la economía digital, a la vez que protegen nuestra seguridad, la sociedad y la democracia. Esto incluye la protección de hardware y software crítico. Para reforzar la capacidad de ciberseguridad de la UE, la Comisión y el Alto Representante proponen:
- Un Centro Europeo de Investigación y Competencia en Ciberseguridad (piloto que se establecerá en el curso de 2018). Trabajando con los Estados Miembros, ayudará a desarrollar y desplegar las herramientas y la tecnología necesarias para mantenerse al día con una amenaza en constante cambio y garantizar que nuestras defensas sean tan avanzadas como las armas que usan los ciberdelincuentes. Complementará los esfuerzos de creación de capacidad en este ámbito a escala nacional y de la UE.
- Un plan para la forma en que Europa y los Estados miembros pueden responder de manera rápida, operativa y al unísono cuando se produce un ciberataque a gran escala. El procedimiento propuesto se establece en una Recomendación adoptada la semana pasada. La Recomendación también pide a los Estados miembros y a las instituciones de la UE que establezcan un marco de respuesta ante crisis de ciberseguridad de la UE para que el plan operativo sea operativo. Será regularmente probado en “ciber“ y otros ejercicios de manejo de crisis.
- Más solidaridad: en el futuro, podría considerarse la posibilidad de un nuevo Fondo de respuesta ante emergencias de ciberseguridad para los Estados miembros que hayan aplicado responsablemente todas las medidas de ciberseguridad exigidas por la legislación de la UE. El Fondo podría proporcionar ayuda de emergencia para ayudar a los Estados miembros, al igual que el Mecanismo de Protección Civil de la UE se utiliza para ayudar en casos de incendios forestales o desastres naturales.
- Mayor capacidad de ciberdefensa. Se alienta a los Estados miembros a incluir la ciberdefensa en el marco de la cooperación estructurada permanente (PESCO) y el Fondo Europeo de Defensa para apoyar proyectos de defensa cibernética. El Centro Europeo de Investigación y Competencia en Ciberseguridad también podría desarrollarse aún más con una dimensión de ciberdefensa. Para abordar la brecha de habilidades en defensa cibernética, la UE creará una plataforma de educación y capacitación en defensa cibernética en 2018. La UE y la OTAN impulsarán conjuntamente la investigación en ciberdefensa y la cooperación en innovación. Se profundizará la cooperación con la OTAN, incluida la participación en ejercicios paralelos y coordinados.
- Cooperación internacional reforzada: la UE reforzará su respuesta a los ciberataques implementando el Marco para una respuesta diplomática conjunta de la UE a actividades cibernéticas maliciosas, apoyando un marco estratégico para la prevención de conflictos y la estabilidad en el ciberespacio. Esto se combinará con los nuevos esfuerzos de creación de capacidad cibernética para ayudar a los terceros países a abordar las amenazas cibernéticas.
CREANDO UNA RESPUESTA EFECTIVA DE LA LEY CRIMINAL
Una respuesta más eficaz de las fuerzas del orden, centrada en la detección, la rastreabilidad y el enjuiciamiento de los ciberdelincuentes es fundamental para crear un desincentivo eficaz para cometer tales delitos.
La Comisión propone aumentar la disuasión mediante nuevas medidas para luchar contra el fraude y la falsificación de medios de pago distintos del efectivo.
La Directiva propuesta reforzará la capacidad de las autoridades encargadas de hacer cumplir la ley para hacer frente a esta forma de delito al ampliar el alcance de los delitos relacionados con los sistemas de información a todas las transacciones de pago, incluidas las transacciones a través de monedas virtuales. La ley también introducirá normas comunes sobre el nivel de las
penas y aclarará el alcance de la jurisdicción de los Estados miembros en dichos delitos.
Para intensificar la investigación efectiva y el enjuiciamiento de la delincuencia cibernética, la Comisión también presentará propuestas para facilitar el acceso transfronterizo a pruebas electrónicas a principios de 2018. Además, en octubre, la Comisión presentará sus reflexiones sobre el papel de Encriptación en investigaciones criminales.
FONDO
Las cifras recientes muestran que las amenazas digitales evolucionan rápidamente y que el público percibe el delito cibernético como una amenaza importante.
Mientras que los ataques de ransomware han aumentado en un 300% desde 2015, el impacto económico del cibercrimen se quintuplicó entre 2013 y 2017, y podría seguir. Aumentan en un factor de cuatro para 2019, sugieren los estudios. El 87% de los europeos considera que el cibercrimen es un desafío importante para la seguridad interna de la UE.
La Agenda Europea de Seguridad y la revisión intermedia de la Estrategia del Mercado Único Digital orientan el trabajo de la Comisión en este ámbito y exponen las principales acciones para impulsar la ciberseguridad. Las medidas propuestas hoy complementan las normas ya existentes y llenan las lagunas donde ha evolucionado el panorama de amenazas desde la adopción de la Estrategia de ciberseguridad de 2013 de la UE, cumpliendo la prioridad clave de ayudar a los Estados miembros a garantizar la seguridad interna en virtud de la Declaración y Hoja de Ruta de Bratislava.
