Introducción
El pasado 14 de septiembre, como cada año a mediados de este mes, la presidencia de la Comisión Europea pronunció ante todos los eurodiputados el discurso sobre el Estado de la Unión Europea (SOTEU). Un discurso extenso, cercano a la hora de duración, que tiene como objetivo presentar las principales prioridades políticas, los objetivos e iniciativas del próximo año legislativo, así como hacer balance de todo lo vivido a nivel comunitario en los últimos doce meses.
Así pues, la presidenta de la Comisión Europea, Ursula von der Leyen, expuso en el hemiciclo del Parlamento Europeo las líneas maestras que marcarán la política comunitaria en este curso que se abre. Y, como cabía esperar, la invasión rusa en Ucrania, junto con la crisis energética que azota a los países europeos, fueron los dos temas de mayor calado y recurrencia en el que ha sido su tercer Debate sobre el Estado de la Unión como presidenta. De hecho, “Ucrania” fue la segunda palabra más usada por von der Leyen en su alegato, empatada con “unión” y únicamente por detrás de “Europa”.
Sin embargo, von der Leyen también trató de inyectar dosis de optimismo y defendió una unión más fuerte que pueda superar las crisis actuales. Citando a la difunta Reina Isabel II, señaló: “Tendremos éxito, y ese éxito nos pertenecerá a cada uno de nosotros“.
Otro de los temas clave que abordó la presidenta fueron las dos transiciones protagonistas en la actualidad: la digital y la verde. La preocupación por el futuro es elevada y una de las prioridades de la Unión Europea es seguir una estrategia digital que funcione para las personas y las empresas, al tiempo que contribuya a alcanzar el objetivo de alcanzar una Europa climáticamente neutra en 2050.
Centrándonos en la transformación digital de Europa, el discurso sobre el Estado de la Unión siguió en la línea del objetivo que tiene la Comisión de lograr que ésta sea la “Década Digital”. Europa aspira a consolidar su soberanía digital y establecer las normas, en lugar de seguir las de otros, centrándose claramente en los datos, la tecnología y las infraestructuras. En palabras de la presidenta, “el futuro de nuestros hijos necesita tanto que invirtamos en sostenibilidad como que lo hagamos de manera sostenible. Tenemos que financiar la transición hacia una economía digital y con cero emisiones netas”.
La Ley de Ciber-Resiliencia
Aunque una de las sorpresas de la alocución de von der Leyen fue la ausencia a referencias sobre ciberseguridad, el marco del Debate del Estado de la Unión también propició la presentación formal por parte de la Comisión Europea de la Ley de Ciber-Resiliencia. Esta ley, que precisamente fue anunciada por primera vez por la presidenta en el discurso sobre el Estado de la Unión de septiembre de 2021, pretende ser uno de los ejes clave de la estrategia digital europea de los próximos años.
Podemos definir la ciber-resiliencia como la capacidad de prevenir, dar respuesta y recuperarse ante un ciberataque o una filtración de datos. Aunque los productos de la Internet de las Cosas (IoT) crean un amplio espectro de oportunidades al conectar personas, información y lugares, también aumentan el riesgo de incidentes de ciberseguridad que afectan a sistemas enteros y de los cuales ya encontramos ejemplos a diario en todo el mundo.
Según recalcan distintas autoridades europeas, resulta necesario actuar con firmeza en este ámbito para que la economía y la sociedad de la UE estén preparadas para el futuro. En este sentido, una de las iniciativas propuestas para aumentar la Ciber-Resiliencia en la Unión Europea sería la implementación de un marco uniforme de estándares de ciberseguridad para el software y todo tipo de dispositivos.
Como ha anunciado la propia Comisión Europea, la ciberseguridad se ha erigido en una de las prioridades de trabajo del organismo comunitario, así como uno de los ejes sobre los que construir la Europa digital e interconectada de la próxima década. Los cálculos de los organismos europeos apuntan a que las filtraciones de datos implican unos costes anuales cercanos a los 10.000 millones de euros, mientras que los intentos de interrumpir el tráfico en internet conllevan unos costes de al menos 65.000 millones de euros. En palabras del Comisario de Mercado Interior, el francés Thierry Breton, esta Ley de Ciber-Resiliencia es un “elemento clave del marco estratégico, político y legislativo en el terreno de la ciberseguridad … y contribuirá a proteger la economía europea y nuestra seguridad colectiva”
En palabras de la Comisión, las medidas de prevención de la Ley pretenden fortalecer la protección de los usuarios, contribuyendo a:
- Mejorar la resiliencia de la red, aumentando la protección y la seguridad informática de dispositivos y redes.
- Proteger la privacidad de los consumidores, pues cada dispositivo conectado deberá garantizar la protección de privacidad.
- Reducir el riesgo de fraudes económicos con la introducción de nuevos sistemas para garantizar la transparencia y el control de pagos.
Sin embargo, “un enfoque común” sigue siendo difícil de definir, ya que las partes interesadas se oponen a la definición de una solución única. ¿Cómo se puede clasificar el riesgo asociado a un dispositivo, especialmente cuando se utiliza en contextos tan diversos como el hogar o las entidades públicas y, a veces, se utiliza de forma imprevista? ¿En qué medida debe evaluarse la ciberseguridad de estos dispositivos? ¿Quién debe llevar a cabo la evaluación para alcanzar el máximo nivel de seguridad? ¿Y cómo pueden participar todas las partes interesadas en el refuerzo del marco de ciberseguridad en todo el mundo?
Priorización de la ciberseguridad
Esta Ley complementará el marco legislativo ya existente de la Unión Europea. Dentro de éste, encontramos la Ley de Seguridad de 2002 o la directiva sobre la seguridad de las redes y los sistemas de información, entre otras. Junto con la presente ley, verán la luz otras normas encuadradas dentro de la Estrategia de Ciberseguridad de la Unión Europea para 2022, como la Ley Europea de Chips y la Ley de Libertad de Prensa. También, en esta construcción de un marco legislativo adaptado a los fenómenos digitales que marcarán el futuro, y que en muchos casos ya están marcando el presente, los organismos comunitarios están trabajando para alcanzar la primera regulación sobre inteligencia artificial con la AI ACT; o recientemente anunciaron el acuerdo para la Markets in Crypto Assets (MiCA), que establecerá el tablero de juego sobre el que sector de los criptoactivos funcionará, sin olvidar las ya analizadas DSA y DMA.
Próximos pasos
Ahora corresponde al Parlamento Europeo y al Consejo examinar el proyecto de Ley de Ciber-Resiliencia. Si llega a adoptarse, los operadores económicos y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos. Una excepción a esta regla es la obligación de informar a los fabricantes sobre las vulnerabilidades e incidentes explotados activamente, que se aplicaría un año después de la fecha de entrada en vigor, ya que requiere menos ajustes organizativos que el resto. La ley contempla sancionar con elevadas multas a aquellas empresas que no la respeten.
La Unión Europea vive en un ciclo de adaptación constante a circunstancias cambiantes y volátiles, una frase que toma especial sentido y relevancia en el contexto actual. Así, con el avance del mundo digital surgen respuestas en forma de leyes o directivas para protegerse de las potenciales externalidades negativas que suponen dichos avances, siendo la Ley de Ciber-Resiliencia un ejemplo paradigmático de ello. En un Debate del Estado de la Unión marcado por una guerra, una crisis energética y unas perspectivas socioeconómicas complejas, podemos ver cómo la innovación no se detiene. Y, con ella, tampoco lo hace la regulación.
