La presidència del Consell Europeu i els negociadors del Parlament han arribat a un acord provisional sobre un reglament destinat a garantir un nivell alt i comú de ciberseguretat a les institucions, òrgans, oficines i agències de la UE.
Les mesures van ser proposades per la Comissió el mes de març de l’any 2022 en el context d’un augment significatiu del nombre de ciberatacs sofisticats que van afectar l’administració pública de la UE en els darrers anys.
El nou reglament crearà un marc comú per a totes les entitats de la UE en l’àmbit de la ciberseguretat i millorarà la seva capacitat de resiliència i resposta a incidents. Les noves normes han d’ajudar les entitats de la UE a prevenir i contrarestar els ciberatacs, que s’han tornat cada cop més freqüents en els últims anys.
Per garantir uns estàndards comuns elevats entre les institucions de la UE, les noves normes exigeixen que estableixin un marc de governança, gestió de riscos i control en l’àmbit de la ciberseguretat.
Totes les entitats de la Unió també hauran d’implementar mesures de ciberseguretat per abordar els riscos identificats, realitzar avaluacions periòdiques de la maduresa de la ciberseguretat i posar en marxa un pla de ciberseguretat.
Amb el nou reglament, també es reforçarà el mandat de l’Equip de Resposta a Emergències Informàtiques de la UE (CERT-EU) i passarà a denominar-se Servei de Ciberseguretat per a les Institucions, Òrgans, Oficines i Agències de la Unió, mantenint l’acrònim actual.
CERT-EU assessorarà totes els organismes de la UE i els ajudarà a prevenir i detectar les incidències i donar-hi resposta. També actuarà com a centre d’intercanvi d’informació i coordinació sobre ciberseguretat i resposta a incidents. Totes les entitats de la UE hauran de compartir informació no classificada relacionada amb incidents amb CERT-EU sense demora indeguda.
A més, el nou reglament ha d’establir un Consell de Ciberseguretat interinstitucional per impulsar-ne i supervisar-ne l’aplicació per part de les diverses agències de la Unió.
El nou consell també supervisarà la implementació del CERT-EU de les prioritats i objectius generals i li proporcionarà una direcció estratègica. El consell estarà format per representants de totes les institucions i òrgans assessors de la UE, el Banc Europeu d’Inversions, el Centre Europeu de Competència en Ciberseguretat, l’Agència de la Unió Europea per a la Ciberseguretat (ENISA), el Supervisor Europeu de Protecció de Dades, l’Agència de la UE per al Programa Espacial, així com representants de la xarxa d’agències de la UE. La secretaria del consell anirà a càrrec de la Comissió Europea.
L’acord provisional s’acabarà ara en la fase tècnica i després es presentarà als ambaixadors de la UE dels estats membres per a la seva confirmació. Un cop confirmat tant al Consell com al Parlament, serà adoptat formalment per totes dues institucions.
En les seves conclusions del 20 de juny de 2019, el Consell Europeu va convidar les institucions de la UE, juntament amb els estats membres, a treballar en mesures per millorar la resiliència i la cultura de seguretat de la UE davant les amenaces cibernètiques i híbrides de fora de la Unió, i a protegir millor les xarxes d’informació i comunicació de la UE, i els seus processos de presa de decisions, d’activitats malicioses de tot tipus.
El reglament és una de les mesures previstes a l’Estratègia de ciberseguretat de la UE per a la dècada digital, presentada per la Comissió i l’Alt Representant de la Unió per a Afers Exteriors i Política de Seguretat el desembre de l’any 2020 per reforçar la resiliència col·lectiva de la UE davant les ciberamenaces.
En les seves conclusions del 22 de març de 2021 sobre aquesta estratègia, el Consell va subratllar que la ciberseguretat és vital per al funcionament de l’administració i les institucions públiques tant a nivell nacional com de la UE i per a la nostra societat i l’economia en el seu conjunt.
_____
Esta entrada en español / This post in English / Post en français