Autor: Notes de seguretat

Acord europeu en favor de la ciberseguretat

Notes de seguretatDeixa un comentari

Per intentar una millora de la resiliència cibernètica de la Unió Europea, permetent l’adopció futura d’esquemes de certificació europeus per als anomenats serveis de seguretat gestionats, els representants dels estats membres (Coreper) van assolir una posició comuna sobre la proposta de modificació específica de la normativa sobre ciberseguretat (CSA) de la UE de 2019.

Els serveis de seguretat gestionats, prestats als clients per empreses especialitzades, són crucials per a la prevenció, detecció, resposta i recuperació dels incidents de ciberseguretat. Poden consistir, per exemple, en la detecció o la resposta a incidències, les anomenades proves de penetració o les auditories de seguretat, o la consultoria.

Presentada juntament amb una proposta d’acte de cibersolidaritat de la Unió per reforçar les capacitats de ciberseguretat a la UE, l’esmena dirigida a la CSA pretén incloure els esquemes europeus de certificació de ciberseguretat per als serveis de seguretat gestionats en l’àmbit d’aplicació del reglament CSA de 2019.

Per tant, aquesta modificació permetrà establir esquemes europeus de certificació per a aquests serveis. Ajudarà a augmentar la seva qualitat i comparabilitat, a afavorir l’aparició de proveïdors de serveis de ciberseguretat de confiança i evitar la fragmentació del mercat interior atès que alguns estats membres ja han iniciat l’adopció d’esquemes nacionals de certificació de serveis de seguretat gestionats.

La posició del Consell conté les esmenes principals següents a la proposta de la Comissió:

• Aclareix la definició de serveis de seguretat gestionats i l’alineació amb la directiva revisada de sistemes d’informació de xarxa (NIS 2).

• El text alinea els objectius de seguretat d’aquests esquemes de certificació amb els objectius de seguretat d’altres esquemes d’acord amb l’actual Llei de ciberseguretat.

• El text inclou modificacions a l’annex de la Llei de ciberseguretat, que conté una llista de requisits que han de complir els organismes d’avaluació de la conformitat.

• S’han introduït una sèrie de modificacions tècniques i de redacció per garantir que totes les disposicions rellevants de la normativa CSA vigent s’apliquen també als serveis de seguretat gestionats.

La Llei de ciberseguretat, aprovada el 2019, va establir el primer marc de certificació de ciberseguretat per a tots els estats membres. La certificació de ciberseguretat és voluntària, llevat que la legislació de la Unió o dels estats membres n’especifiqui el contrari.

La proposta de la Comissió, aprovada el 18 d’abril del 2023, té com a objectiu una modificació específica de l’àmbit d’aplicació de l’acta de ciberseguretat, que permetria a la Comissió adoptar actes d’execució sobre esquemes europeus de certificació de ciberseguretat per als serveis de seguretat gestionats, a més de la informació i la tecnologia, productes (TIC), serveis TIC i processos TIC, que estan coberts per l’actual Llei de ciberseguretat.

Com a informació complementària per a aquest acord, s’annexen els documents previs:

Reglament que modifica la CSA pel que fa als serveis de seguretat gestionats, mandat de negociació del Consell, 15 de novembre de 2023

Modificació específica del CSA (CSA+), proposta de la Comissió, 18 d’abril de 2023

Informació general de la Comissió, 18 d’abril de 2023

Directiva revisada de xarxes i sistemes d’informació (NIS 2), 27 de desembre de 2022

_____

Esta entrada en español / This post in English / Post en français

Acuerdo europeo en favor de la ciberseguridad

Notes de seguretatDeixa un comentari

Para intentar una mejora de la resiliencia cibernética de la Unión Europea, permitiendo la adopción futura de esquemas de certificación europeos para los llamados servicios de seguridad gestionados, los representantes de los estados miembros (Coreper) alcanzaron una posición común sobre la propuesta de modificación específica de la normativa sobre ciberseguridad (CSA) de la UE de 2019.

Los servicios de seguridad gestionados, prestados a los clientes por empresas especializadas, son cruciales para la prevención, detección, respuesta y recuperación de los incidentes de ciberseguridad. Pueden consistir, por ejemplo, en la detección o respuesta a incidencias, las llamadas pruebas de penetración o las auditorías de seguridad, o la consultoría.

Presentada junto con una propuesta de acto de cibersolidaridad de la Unión para reforzar las capacidades de ciberseguridad en la UE, la enmienda dirigida a la CSA pretende incluir los esquemas europeos de certificación de ciberseguridad para los servicios de seguridad gestionados en el ámbito de aplicación del reglamento CSA de 2019.

Por tanto, esta modificación permitirá establecer esquemas europeos de certificación para estos servicios. Ayudará a aumentar su calidad y comparabilidad, a favorecer la aparición de proveedores de servicios de ciberseguridad de confianza y a evitar la fragmentación del mercado interior dado que algunos estados miembros ya han iniciado la adopción de esquemas nacionales de certificación de servicios de seguridad gestionados.

La posición del Consejo contiene las siguientes enmiendas principales a la propuesta de la Comisión:

• Aclara la definición de servicios de seguridad gestionados y la alineación con la directiva revisada de sistemas de información de red (NIS 2).

• El texto alinea los objetivos de seguridad de estos esquemas de certificación con los objetivos de seguridad de otros esquemas de acuerdo a la actual Ley de ciberseguridad.

• El texto incluye modificaciones en el anexo de la Ley de ciberseguridad, que contiene una lista de requisitos que deben cumplir los organismos de evaluación de la conformidad.

• Se han introducido una serie de modificaciones técnicas y de redacción para garantizar que todas las disposiciones relevantes de la normativa CSA vigente se apliquen también a los servicios de seguridad gestionados.

La Ley de ciberseguridad, aprobada en 2019, estableció el primer marco de certificación de ciberseguridad para todos los estados miembros. La certificación de ciberseguridad es voluntaria, salvo que la legislación de la Unión o de los estados miembros especifique lo contrario.

La propuesta de la Comisión, aprobada el 18 de abril de 2023, tiene como objetivo una modificación específica del ámbito de aplicación del acta de ciberseguridad, que permitiría a la Comisión adoptar actos de ejecución sobre esquemas europeos de certificación de ciberseguridad para los servicios de seguridad gestionados, además de la información y la tecnología, productos (TIC), servicios TIC y procesos TIC, que están cubiertos por la actual Ley de ciberseguridad.

Como información complementaria para este acuerdo, se anexan los documentos previos:

Reglamento que modifica la CSA en lo que se refiere a los servicios de seguridad gestionados, mandato de negociación del Consejo, 15 de noviembre de 2023

Modificación específica del CSA (CSA+), propuesta de la Comisión, 18 de abril de 2023

Información general de la Comisión, 18 de abril de 2023

Directiva revisada de redes y sistemas de información (NIS 2), 27 de diciembre de 2022

_____

Aquest apunt en català / This post in English / Post en français

European agreement in favour of cybersecurity

Notes de seguretatDeixa un comentari

In order to improve the European Union’s cyber resilience, enabling the future adoption of European certification schemes for so-called ‘managed security services’, Member States’ representatives (Coreper) reached a common position on the proposal for a targeted amendment to the EU Cybersecurity Act (CSA) of 2019.

Managed security services, which are provided to customers by specialised companies, are essential for the prevention, detection, response, and recovery from cybersecurity incidents. They may involve, for example, incident detection or response, so-called penetration testing or security audits, or consultancy.

Presented together with a proposal for a Union cybersolidarity act to strengthen cybersecurity capabilities in the EU, the amendment addressed to the CSA aims to include European cybersecurity certification schemes for managed security services in the scope of the 2019 CSA regulation.

This amendment will therefore make it possible to establish European certification schemes for these services. It will help to increase their quality and comparability, promote the emergence of trusted cybersecurity service providers and avoid fragmentation of the internal market, as some Member States have already initiated the adoption of national certification schemes for managed security services.

The Council’s position entails the following main amendments to the Commission’s proposal:

– It clearly explains the definition of managed security services and the alignment with the revised Network and Information Systems (NIS 2) directive.

– The text aligns the security objectives of these certification schemes with the security objectives of other schemes under the current Cybersecurity Act.

– The text includes amendments to the Annex to the Cybersecurity Act, which contains a list of requirements to be met by conformity assessment bodies.

– A number of technical and editorial changes have been introduced to ensure that all relevant provisions of the current CSA regulations also apply to managed security services.

The Cybersecurity Act, which entered into force in 2019, established the first cybersecurity certification framework for all member states. Unless otherwise specified by Union or Member State legislation, the cybersecurity certification is voluntary.

The Commission’s proposal, adopted on April 18, 2023, targets a specific amendment to the scope of the Cybersecurity Act, which would allow the Commission to adopt implementing acts on European cybersecurity certification schemes for managed security services, in addition to information and technology, (ICT) products, ICT services and ICT processes, which are covered by the current Cybersecurity Act.

As complementary information for this agreement, the previous documents are attached:

Regulation amending the CSA as regards managed security services, Council negotiating mandate, 15 November, 2023

Specific modification of the CSA (CSA+), proposed by the Commission, 18 April, 2023

General Commission Information, 18 April, 2023

Revised Network and Information Systems Directive (NIS 2), 27 December, 2022

_____

Aquest apunt en català / Esta entrada en español / Post en français

Accord européen en faveur de la cybersécurité

Notes de seguretatDeixa un comentari

Afin d’améliorer la cyber-résilience de l’Union européenne en permettant l’adoption future de schémas de certification européens pour les services de sécurité gérés, les représentants des États membres (Coreper) sont parvenus à adopter une position commune sur la proposition d’un amendement spécifique au règlement de l’UE sur la cybersécurité (CSA) 2019.

Les services de sécurité gérés, que les entreprises spécialisées fournissent à leurs clients, sont essentiels pour la prévention, la détection, l’intervention et la récupération en cas d’incidents de cybersécurité. Il peut s’agir, par exemple, de détection ou de réponse à un incident, de tests de pénétration ou d’audits de sécurité, ou encore de services de conseil.

Présenté en même temps qu’une proposition d’acte législatif sur la cybersolidarité de l’Union ayant pour but de renforcer les capacités de cybersécurité dans l’UE, l’amendement relatif au CSA vise à inclure les schémas européens de certification de la cybersécurité pour les services de sécurité gérés dans le champ d’application du règlement CSA de 2019.

Par conséquent, cet amendement permettra d’établir des schémas de certification européens pour ces services. Cette modification contribuera ainsi à améliorer la qualité et à accroître la comparabilité des services, à favoriser l’émergence de fournisseurs de services de cybersécurité de confiance et à éviter la fragmentation du marché intérieur, étant donné que certains États membres ont déjà commencé à adopter des schémas de certification nationaux pour les services de sécurité gérés.

La position du Conseil englobe les principales modifications suivantes relatives à la proposition de la Commission :

• Elle clarifie la définition des services de sécurité gérés et l’alignement sur la directive révisée sur les systèmes d’information en réseau (directive SRI 2).

• Le texte aligne les objectifs de sécurité de ces schémas de certification sur les objectifs de sécurité des autres systèmes prévus par l’actuelle loi sur la cybersécurité.

• Le texte comprend des modifications à l’annexe de la loi sur la cybersécurité, qui contient une liste d’exigences à respecter par les organismes d’évaluation de la conformité.

• Un certain nombre de modifications d’ordre technique et rédactionnel ont été introduites afin de garantir que toutes les dispositions pertinentes du règlement CSA actuel s’appliquent également aux services de sécurité gérés.

La loi sur la cybersécurité, adoptée en 2019, a établi le premier cadre de certification de la cybersécurité pour tous les États membres. La certification en matière de cybersécurité est volontaire, sauf disposition contraire de la législation de l’Union ou des États membres.

La proposition de la Commission, adoptée le 18 avril 2023, vise à modifier spécifiquement le champ d’application de la loi sur la cybersécurité, permettant ainsi à la Commission d’adopter des actes d’exécution sur les schémas européens de certification de la cybersécurité pour les services de sécurité gérés, en plus des produits basés sur les technologies de l’information et de la communication (TIC), des services TIC et des processus TIC, qui sont couverts par l’actuelle loi sur la cybersécurité.

Les documents susmentionnés sont annexés à titre d’information complémentaire concernant cet accord :

Règlement modifiant le CSA en ce qui concerne les services de sécurité gérés, mandat de négociation du Conseil, 15 novembre 2023.

Modification ciblée du CSA (CSA+), proposition de la Commission, 18 avril 2023

Informations générales de la Commission, 18 avril 2023

Directive révisée sur les réseaux et des systèmes d’information (SRI 2), 27 décembre 2022

_____

Aquest apunt en català / Esta entrada en español / This post in English

Avui és dia festiu a Catalunya.

Notes de seguretatDeixa un comentari

No publiquem apunt. Ens veiem dilluns.

_____

Esta entrada en español / This post in English / Post en français

Hoy es dia festivo en Cataluña.

Notes de seguretatDeixa un comentari

No publicamos entrada. Nos vemos el lunes.

_____

Aquest apunt en català / This post in English / Post en français

Today is bank holiday in Catalonia.

Notes de seguretatDeixa un comentari

We don’t publish any post. See you on Monday.

_____

Aquest apunt en català / Esta entrada en español / Post en français

Aujourd’hui c’est un jour férié en Catalogne.

Notes de seguretatDeixa un comentari

Nous ne publions pas la note. Rendez-vous lundi.

_____

Aquest apunt en català / Esta entrada en español / This post in English

El Consell Europeu advoca per protegir els drets fonamentals en l’àmbit digital

Notes de seguretatDeixa un comentari

El Consell ha aprovat unes conclusions sobre l’apoderament digital per protegir i fer complir els drets fonamentals en l’era digital.

Actualment, la digitalització impregna tots els aspectes de les nostres societats i vides personals. És vital que aquest món digital sigui un lloc on es respectin els drets fonamentals i on les persones puguin fer valer els seus drets.

El text reafirma que els drets fonamentals s’apliquen igualment, sigui en línia i fora de línia, i tothom hauria de tenir l’oportunitat i el suport per adquirir les competències digitals bàsiques per tal de poder comprendre i exercir els seus drets. Aquestes competències també són necessàries per gaudir de tot el potencial dels serveis públics i privats, que cada cop es presten més en línia.

Les conclusions se centren al voltant de dos pilars: l’apoderament digital de les persones i dels sectors clau i la construcció d’un entorn digital segur on es protegeixin els drets fonamentals.

1. Apoderament digital de persones i sectors clau:

En el context que, segons dades d’Eurostat, el 46% dels ciutadans europeus no tenen prou competències digitals bàsiques, el Consell convida els estats membres a prendre mesures, com ara:

• Promoure l’alfabetització mediàtica i digital adequada.

• Prendre mesures per garantir que tothom pugui accedir en igualtat de condicions als serveis públics en línia.

• Sensibilitzar sobre la importància de protegir la privadesa.

• Assignar finançament per donar suport a l’educació, la formació i el desenvolupament d’habilitats en mitjans digitals adaptats a les necessitats de diferents grups de persones.

2. Construcció d’un entorn digital segur on es protegeixin els drets fonamentals:

El nostre entorn digital es pot veure amenaçat per diverses amenaces, com ara la desinformació en línia, que provoca una erosió de la confiança en les institucions i els mitjans. L’augment del discurs d’odi, els delictes d’odi i la ciberdelinqüència també posa en risc els nostres drets fonamentals en línia.

I tot i que la intel·ligència artificial pot tenir efectes positius significatius, si no té prou transparència i si s’utilitza sense les garanties i controls de qualitat adequats, també pot presentar reptes per al respecte dels drets fonamentals i la lluita contra les discriminacions.

Per desenvolupar un entorn digital segur, el Consell sol·licita als estats membres que, entre d’altres coses, continuïn lluitant contra el discurs d’odi en línia, sobretot millorant la capacitat de les autoritats judicials i policials per investigar i perseguir aquest tipus de delictes en línia.

Es convida també a la Comissió Europea a combatre la desinformació en línia i el contingut il·legal mitjançant la supervisió i l’aplicació de les regles de la Llei de serveis digitals recentment aprovada, i avaluant periòdicament l’aplicació del Codi de pràctiques reforçat sobre desinformació de l’any 2022, així com el Codi de conducta.

_____

Esta entrada en español / This post in English / Post en français

El Consejo Europeo aboga por proteger los derechos fundamentales en el ámbito digital

Notes de seguretatDeixa un comentari

El Consejo ha aprobado unas conclusiones sobre el empoderamiento digital para proteger y hacer cumplir los derechos fundamentales en la era digital.

Actualmente, la digitalización impregna todos los aspectos de nuestras sociedades y vidas personales. Es vital que este mundo digital sea un lugar en el que se respeten los derechos fundamentales y donde las personas puedan hacer valer sus derechos.

El texto reafirma que los derechos fundamentales se aplican igualmente, sea online y fuera de línea, y todo el mundo debería tener la oportunidad y el apoyo para adquirir las competencias digitales básicas para poder comprender y ejercer sus derechos. Estas competencias también son necesarias para disfrutar de todo el potencial de los servicios públicos y privados, que cada vez se prestan más online.

Las conclusiones se centran en torno a dos pilares: el empoderamiento digital de las personas y de los sectores clave y la construcción de un entorno digital seguro donde se protejan los derechos fundamentales.

1. Empoderamiento digital de personas y sectores clave:

En el contexto de que, según datos de Eurostat, el 46% de los ciudadanos europeos no tienen suficientes competencias digitales básicas, el Consejo invita a los estados miembros a tomar medidas, como:

• Promover la adecuada alfabetización mediática y digital.

• Tomar medidas para garantizar que todo el mundo pueda acceder en igualdad de condiciones a los servicios públicos online.

• Sensibilizar sobre la importancia de proteger la privacidad.

• Asignar financiación para apoyar la educación, la formación y el desarrollo de habilidades en medios digitales adaptados a las necesidades de distintos grupos de personas.

2. Construcción de un entorno digital seguro donde se protejan los derechos fundamentales:

Nuestro entorno digital puede verse amenazado por varias amenazas, como la desinformación online, que provoca una erosión de la confianza en las instituciones y los medios. El aumento del discurso de odio, los delitos de odio y la ciberdelincuencia también pone en riesgo nuestros derechos fundamentales online.

Y aunque la inteligencia artificial puede tener efectos positivos significativos, si no tiene suficiente transparencia y si se utiliza sin las garantías y controles de calidad adecuados, también puede presentar retos para el respeto de los derechos fundamentales y la lucha contra las discriminaciones.

Para desarrollar un entorno digital seguro, el Consejo solicita a los estados miembros que, entre otras cosas, sigan luchando contra el discurso de odio online, sobre todo mejorando la capacidad de las autoridades judiciales y policiales para investigar y perseguir este tipo de delitos online.

Se invita también a la Comisión Europea a combatir la desinformación online y el contenido ilegal mediante la supervisión y aplicación de las reglas de la Ley de servicios digitales recientemente aprobada, y evaluando periódicamente la aplicación del Código de prácticas reforzado sobre desinformación del año 2022, así como el Código de Conducta.

_____

Aquest apunt en català / This post in English / Post en français