En el Diario Oficial de la Unión Europea de 18 de agosto de 2023 se publicó el Dictamen del Comité Económico y Social Europeo (CESE), aprobado en Pleno de 14 de junio, sobre la Comunicación Conjunta al Parlamento Europeo y al Consejo, que lleva por título “Política de ciberdefensa de la UE”.
En este Dictamen de iniciativa, el CESE desarrolla una serie de aspectos relacionados con, principalmente, la cooperación internacional y, en particular, la coordinación europea, y la inversión en ciberseguridad, lo que hace a través de varios puntos.
La coordinación como refuerzo de la ciberdefensa
A juicio de este organismo, el carácter transnacional de los ciberataques hace necesaria una mayor coordinación entre los países de la Unión Europea para reducir la fragmentación actual y garantizar que los Estados miembros estén preparados para cooperar e invertir conjuntamente. Esto es especialmente importante en el caso de futuros casos en los que un Estado miembro pudiera ser objeto de un ataque y todos los demás debieran poder prestarle apoyo inmediato.
El Comité destaca algunas de las iniciativas recientemente anunciadas para reforzar la ciberseguridad a nivel europeo, entre las que se encuentran:
- La creación de un Centro de Coordinación de la Ciberdefensa de la UE.
- El desarrollo del proyecto CyDEf-X.
- La creación de equipos de respuesta telemática rápida.
- El desarrollo de una Iniciativa de Cibersolidaridad europea.
- El desarrollo de esquemas de certificación de la ciberseguridad para productos, servicios y procesos TIC.
Asegurar el ecosistema europeo de defensa
La cooperación entre los ecosistemas civiles y militares se ha convertido en un aspecto esencial y estratégico, especialmente tras la invasión rusa, y a juicio del CESE, tal cooperación debe aportar beneficios en términos de una gestión de crisis más eficaz, así como un progreso continuo y la interoperabilidad, evitando duplicar o multiplicar los mismos esfuerzos e inversiones.
Para lograr tal objetivo, se destaca la importancia de las inversiones en ciberdefensa, las cuales -a juicio del CESE- deben destinarse de manera prioritaria a la protección de los ciudadanos y las infraestructuras críticas de la UE.
Invertir en capacidades de ciberdefensa
La inversión en I+D es vital y el CESE acoge con satisfacción los fondos específicos existentes en el marco del programa Europa Digital, el Fondo Europeo de Defensa, Horizonte Europa y los planes nacionales de recuperación. No obstante, las expectativas son las de crear más proyectos transnacionales centrados en la cooperación y la interoperabilidad entre los sistemas de ciberdefensa de todos los Estados miembros, así como más sinergias entre los instrumentos de financiación, en particular para respaldar a las pymes innovadoras.
El CESE también percibe que las alianzas público-privadas han demostrado ser el enfoque más eficaz para mejorar la ciberseguridad de todo el ecosistema digital, y para reforzar el principio de soberanía digital. Pero esta colaboración también exige que las instituciones públicas también compartan su inteligencia con el sector privado. Con respecto a este aspecto, habría que -a mi entender- llevar a cabo un análisis del eventual impacto que este tipo de actuaciones pudiera tener en el derecho europeo de la competencia.
Ataques cuánticos
El CESE señala que, para hacer frente a los futuros intentos de piratería informática procedentes de ordenadores cuánticos, la UE debe invertir inmediatamente en tecnologías punteras como la criptografía postcuántica.
A estos efectos, se considera indispensable que Europa adopte un enfoque de autonomía a medio plazo y aboga firmemente por que las empresas con sede en la UE desarrollen instalaciones de investigación y producción. Este escenario requiere incrementar los recursos europeo en I+i digital y promover la inversión de operadores y proveedores en nuevas funcionalidades técnicas de seguridad, también en relación con nuevas tendencias como la realidad aumentada y el metaverso.
El papel de las PyMES
También las pymes tienen un espacio en ese Dictamen, a las que se dirige para señala que este tipo de entidades deben recibir una atención específica y tener acceso a programas de financiación que mejoren su preparación frente a los ciberataques, así como a programas de asistencia, formación y educación que les ayuden a conocer los riesgos de ciberseguridad y cómo protegerse.
La academia de cibercapacidades
La Comisión estima que el actual déficit de capacidades en ciberseguridad asciende a medio millón de personas, y el CESE valora positivamente la propuesta de crear una Academia de Cibercapacidades.
A la vista de que el CESE considera que los esfuerzos de captación de los estados miembros no han resultado eficaces, se propone que la Comisión coordine y financie programas de formación a gran escala y programas de EFP a escala de la UE en los que participen todos los Estados miembros y se centren en ofrecer mano de obra cualificada a todas las agencias y organismos que participan en la ciberdefensa, así como a las redes civiles privadas.
Concienciación y sensibilización ciudadana
Además, el CESE considera que es fundamental sensibilizar a los ciudadanos sobre la ciberseguridad con el fin de reducir la exposición a ciberataques, especialmente en lo que respecta a los ciberdelitos básicos contra la población en general.
El Dictamen pide que se elaboren planes de estudios educativos en materia de ciberseguridad y programas de formación en ciberseguridad a lo largo de toda la vida orientados a mejorar las cibercompetencias y hacer que la ciberseguridad resulte más familiar y atractiva para los ciudadanos, especialmente para las generaciones más jóvenes.
El CESE está a favor de integrar las reflexiones sobre ciberseguridad en todas las futuras políticas públicas de la UE, así como de informar al público en general sobre las ciberamenazas, en particular a través de programas de formación gratuitos para toda la población, aplicaciones gratuitas de información para teléfonos móviles o mediante acciones de comunicación durante los horarios de televisión de máxima audiencia. En paralelo a estas acciones, debe promoverse un avance cultural generalizado en todos los niveles de la sociedad hacia un enfoque «orientado hacia la ciberseguridad».
Contratar solo a proveedores confiables
El CESE considera imprescindible garantizar las evaluaciones del perfil de riesgo de los proveedores y aplicar restricciones pertinentes a los considerados de alto riesgo, incluidas las prohibiciones necesarias de los activos y aplicaciones clave considerados críticos y sensibles en una evaluación de riesgos coordinada a escala de la UE, así como la certificación de los proveedores de equipos y programas informáticos de confianza.
Intercambio de información
El CESE considera necesario crear una plataforma de comunicación de mejores prácticas dentro de la UE, en la que los Estados miembros más avanzados en ciberseguridad puedan compartir sus conocimientos con el resto de países y facilitar su adopción inmediata. También considera que es necesaria una mayor cooperación entre los agentes estatales y no estatales en toda la UE para mejorar la ciberseguridad de los productos y servicios en el mercado interior, lo que probablemente se logre con la aprobación del Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales.
El CESE también propone la creación de una plataforma común de la UE para la denuncia de incidentes de ciberseguridad, incluida una lista negra de la UE de todos los activistas de la ciberdelincuencia.
Mayor colaboración con la OTAN
El CESE considera que la estrecha cooperación con nuestros aliados de la OTAN en el ámbito militar debe centrarse no solo en el desarrollo de capacidades y la detección precoz, sino también en proyectos conjuntos de I+D+i, el intercambio de mejores prácticas y los intercambios entre expertos, amplios programas de formación y simulaciones de ciberataques.
Proteger los derechos humanos
El Comité considera que los debates a escala mundial y con nuestros socios internacionales deberían sentar las bases para promover un ciberespacio global y abierto que proteja los derechos humanos, las libertades fundamentales y el Estado de Derecho, y que se centre en el desarrollo de normas internacionales vinculantes en sectores con un rápido desarrollo digital.
El CESE aconseja al Alto Representante que revise los ciberdiálogos bilaterales existentes y emprenda nuevas negociaciones con otros países y organizaciones internacionales pertinentes con el fin de promover un marco mundial para la aplicación del Derecho internacional en el ciberespacio, sobre la base de una estricta condición de reciprocidad.
Por último, el Comité considera que la UE está en las mejores condiciones para liderar los debates internacionales sobre el futuro de la ciberseguridad, especialmente en el marco de los debates de las Naciones Unidas, debido a su sólida base de libertades democráticas fundamentales. La UE también debe comprometerse en la lucha contra los regímenes totalitarios que controlan los datos de los ciudadanos y vulneran sus derechos y libertades, y debe posicionarse firmemente contra cualquier tipo de sistema de puntuación social contra los ciudadanos.
El CESE concluye que no puede haber una verdadera democracia sin una protección eficaz de los datos personales, y considera que una gestión responsable y eficiente de los datos es vital para convertir la hiperconectividad en un activo.