Ciberseguridad en la Unión Europea
Como el ciberespacio no tiene fronteras, los Estados deben actuar juntos tanto en el frente operativo como en el legislativo. La Unión Europea sigue siendo la organización internacional más avanzada en este ámbito.
Las principales normas de ciberseguridad de la UE
El RGPD / GDPR
El Reglamento General de Protección de Datos (RGPD) regula todas las organizaciones con sistemas de tratamiento de datos personales si están establecidas en la Unión Europea o en el extranjero cuando sus actividades se dirigen directamente a personas residentes en este territorio. El RGPD establece 8 reglas de oro a tener en cuenta:
- La legalidad del tratamiento de datos;
- La finalidad del tratamiento (precisa y legítima);
- Minimización de los datos recogidos;
- La protección particular de los datos sensibles;
- Retención limitada de datos;
- Seguridad física, humana y de software en torno a los datos;
- Transparencia;
- El derecho de las personas a conservar el control de sus datos.
En caso de incumplimiento de las disposiciones del RGPD, el artículo 83 permite a la autoridad de control imponer multas administrativas. Pueden llegar a ser de hasta 20 millones de euros o el 4% de la facturación mundial anual de una empresa.
El nuevo acuerdo sobre la transferencia transatlántica de datos
Este nuevo acuerdo se produce tras la censura del Tribunal de Justicia de la Unión Europea (TJUE) a Safe Harbor y Privacy Shield, que consideró que EE.UU. no ofrecía suficientes garantías para la protección de los datos personales. El 25 de marzo de 2022, la Comisión Europea presentó un nuevo acuerdo político sobre la transferencia de datos personales a Estados Unidos. Sin embargo, se aconseja precaución, ya que todavía no hay nada legal, este acuerdo sigue siendo puramente "político".
Sin embargo, para muchos expertos, este acuerdo sólo se traducirá en una nueva censura del Tribunal de Justicia Europeo. De hecho, no se han producido cambios sustanciales en la legislación estadounidense que sugieran un posible cumplimiento de la normativa europea de protección de datos. Una tercera censura confirmaría el adagio "no hay dos sin tres". Este resultado haría que las empresas que se encuentran en un limbo legal en lo que respecta a la transferencia de datos transatlántica estuvieran aún más ansiosas.
La Directiva sobre privacidad electrónica.
En la política de cookies, se trata de bases de datos que recogen los datos de navegación de los usuarios. La Directiva sobre privacidad electrónica exige que los usuarios de Internet puedan rechazar tan fácilmente como aceptar las cookies de seguimiento comercial "preferentes". El famoso "continuar sin aceptar", aunque a veces sigue siendo difícil de encontrar... Pero cuidado con la Agence espagnole de protection des données (AEPD), que nunca está lejos.
La nueva directiva RIS/NIS 2
Una de las aportaciones más importantes de esta directiva es el establecimiento de umbrales para la clasificación de las empresas como operadores de servicios esenciales (OSE). Con la antigua Directiva SRI, los Estados eran libres de elegir las empresas que consideraban estratégicas. En definitiva, estas nuevas medidas se aplicarán a todas las medianas y grandes empresas europeas de sectores estratégicos, independientemente de las listas estatales.
En cuanto a las normas emblemáticas de la directiva NIS, se trata sobre todo de identificar los sistemas de información esenciales (EIS) propios, asegurarlos y declarar cualquier incidente significativo a la INCIBE-CERT
Apoyo a los actores Europeos
Certificación europea para el reconocimiento mutuo
El "Ciberseguridad Act", aprobada en 2019, ha:
- Se establece un mandato permanente para la ENISA, la Agencia Europea de Ciberseguridad.
- Definir un marco europeo de certificación.
La certificación europea acredita la solidez de un producto (software, equipos, etc.). Esta certificación está reconocida en toda la Unión Europea. ¿El objetivo?
- Para el usuario, tener garantías de protección en el producto.
- Para el promotor, promocionar sus productos, especialmente en otros Estados miembros.
Existen 3 niveles de garantía a los que se adjunta una certificación:
- El nivel básico: productos de consumo no sensibles (por ejemplo, un reloj conectado).
- El promotor podrá autoevaluar sus productos.
- El nivel sustancial: cuando el riesgo se convierte en medio y puede requerir la intervención del ciberseguro (por ejemplo, la nube).
- Los productos tendrán que ser declarados conformes por un tercero de confianza acreditado (lista disponible en el sitio web de la Comisión Europea).
- Nivel alto: para productos especialmente sensibles (por ejemplo, dispositivos médicos conectados, armas, vehículos).
- Los productos tendrán que someterse a una prueba de conformidad y penetración (pentest) bajo el control de un organismo público que emitirá la certificación.
En última instancia, el tipo de nivel se refiere a la protección que se le otorga. Por ejemplo, el nivel de alta garantía certifica que el producto ha superado las pruebas de seguridad más exigentes.
Principales actores de la ciberseguridad en la UE
La ENISA
La ciberseguridad ha sido una de las principales prioridades de la Unión Europea desde 2004, cuando se creó la Agencia Europea de Seguridad de las Redes y de la Información (ENISA). Su función :
- Para promover un alto nivel común de ciberseguridad en toda Europa;
- Para actuar como organismo europeo de certificación de productos digitales. Esta "etiqueta", concedida por ENISA tras una inspección, permite a las organizaciones promover su creación en toda la Unión Europea (véase III.A);
- Impulsar la cooperación operativa dentro de la Unión Europea en su papel de secretaría de los equipos de respuesta a incidentes.
El EC3
Ante la urgente necesidad de combatir las ciberamenazas, en 2013 se creó el Centro Europeo de Ciberdelincuencia (EC3), desarrollado por Europol. Coordina el funcionamiento de los servicios policiales de los veintisiete Estados miembros.
En la lucha por la seguridad de hoy y de mañana, el EC3 define cada año las acciones prioritarias contra la ciberdelincuencia organizada. Estas prioridades se recogen en el plan de acción operativo "EMPACT" para el periodo 2022-2025, que se centra en el desmantelamiento de las redes delictivas de alto nivel en la Unión Europea.
La cooperación policial en el seno del EC3 es bastante amplia, con la participación de policías de la Unión Europea, de terceros países y de agentes privados. Por ejemplo, en octubre de 2021, el EC3 llevó a cabo una operación emblemática llamada "Dark HunTOR" contra el tráfico de drogas en la web oscura. Se detuvo a unos 150 sospechosos y se incautaron 27 millones de euros en criptomonedas y 230 kilos de droga.
Eurojust
Otras agencias europeas apoyarán la lucha contra la ciberdelincuencia. A este respecto, la Agencia Europea de Justicia (Eurojust) desempeñará un importante papel en la centralización de las acciones judiciales de los Estados miembros. Por ejemplo, antes de las operaciones policiales que condujeron al desmantelamiento de la tristemente célebre red de comunicación encriptada EncroChat, Eurojust hizo posible que los Estados afectados coordinaran las actuaciones y los registros y evitaran los conflictos de jurisdicción.
La red CyCLONe
Creada en 2020, la red CyCLONe (Cyber Crisis Liaison Organisation Network) reúne a los responsables de los organismos nacionales encargados de las crisis cibernéticas, así como a la ENISA y a la Comisión Europea. ¿El objetivo?
- Reforzar los vínculos entre las agencias nacionales de ciberseguridad de la Unión Europea (por ejemplo, mediante ejercicios de gestión de crisis cibernéticas);
- Desarrollar el principio de asistencia mutua (análisis y respuesta a los incidentes).