La tensión entre Europa y China se expande mucho más allá de la política comercial o de Defensa. El sector digital bien lo sabe. Bruselas venía denunciando en los últimos meses las debilidades que suponían las dependencias tecnológicas de Pekín y cómo esto podía tener repercusiones en la protección de los datos de los ciudadanos europeos. Por ello, el gabinete de la vicepresidenta de la Comisión Europea, Henna Virkkunen, estaba preparando una nueva regulación sobre ciberseguridad, que finalmente se presentará la próxima semana.
Virkkunen ha diseñado un plan con el que pretende avisar a los Estados miembro para que reduzcan, en la medida de lo posible, los contratos con proveedores asiáticos como podría ser Huawei en materia de telecomunicaciones.
España conoce el asunto
De hecho, en septiembre pasado, la vicepresidenta trasladó su inquietud al Gobierno español por las dependencias que se podrían estar generando en el país con un proveedor que consideran de “alto riesgo”. A raíz del contrato con la empresa china para el almacenamiento de interceptaciones telefónicas del sistema SITEL, la Comisión manifestó que podría incrementar el riesgo de influencia foránea.
Asimismo, en su momento se recordó que en junio de 2023 la Comisión Europea ya había identificado a los operadores chinos Huawei y ZTE como poseedores de “riesgos significativos mayores” en comparación con otros proveedores de tecnología 5G, comprometiéndose a limitar su acceso a financiación europea y a proteger las redes de comunicaciones corporativas del continente.
Claves de la Ley
Así, estaba previsto que la vicepresidenta presentase durante esta semana la reforma de la ley de ciberseguridad, ideada en su momento para garantizar un mercado interior seguro en el ámbito digital. La normativa se dividió principalmente en dos vertientes: el fortalecimiento de la agencia ENISA y la creación de un marco de certificación común. Demócrata ha podido confirmar que el Ministerio para la Transición Digital, que dirige Óscar López, ha mantenido contactos con la Comisión en la tramitación de la nueva legislación. "España ha participado en las reuniones como es habitual cuando el Ejecutivo comunitario prepara una nueva legislación. En cualquier caso, no conoceremos el texto final de la propuesta", afirman fuentes del gabinete del ministro.
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) dejó de tener un mandato temporal para convertirse en una institución permanente. Fundamentalmente se encarga de actuar como centro de conocimientos técnicos, asistir a los Estados miembro en la aplicación de políticas y fomentar la cooperación operativa frente a incidentes transfronterizos.
Noticia destacada
Bruselas multa con 120 millones a X por incumplimientos en la Ley de Servicios Digitales
5 minutos
En cuanto al Marco Europeo de Certificación de la Ciberseguridad, se creó un mecanismo para establecer esquemas de certificación voluntarios válidos en todo el continente. El objetivo era que las empresas certificasen sus productos, servicios y procesos de TIC una sola vez, obteniendo reconocimiento en todos los Estados miembros y evitando la fragmentación del mercado.
Desde 2019, el contexto de ciberamenazas y dependencias ha evolucionado drásticamente, lo que ha llevado a la Comisión Europea a iniciar una revisión profunda de la ley para simplificar el marco legislativo.
Hace un año se adoptó una medida específica para permitir la certificación de servicios críticos como la respuesta a incidentes, pruebas de penetración, auditorías de seguridad y consultoría. Lo que perseguían los legisladores comunitarios era garantizar la fiabilidad de los proveedores que ayudan a las compañías a recuperarse de ataques. Ahora, lo que se pretende es que la nueva ley de Ciberseguridad que se apruebe funcione en perfecta sintonía con normativas más recientes como la ley de Inteligencia Artificial o el reglamento DORA para el sector financiero.
Noticia destacada
¿Cómo afectará la nueva legislación digital europea a ciudadanos y empresas?
5 minutos
Pese a que el marco actual es mayoritariamente voluntario, la Comisión está evaluando si ciertos productos o servicios de sectores críticos deberían pasar a tener una certificación obligatoria.
Los puntos en tensión
Un documento interno del Parlamento Europeo, al que ha tenido acceso Demócrata, refleja que existe un amplio acuerdo entre las partes interesadas sobre la necesidad de que la revisión de la normativa simplifique el panorama regulatorio para reducir los costes de cumplimiento. Asimismo, existe un punto de convergencia significativo en la necesidad de homogeneizar las definiciones y los requisitos de notificación de incidentes entre los grandes actos legislativos, como la Directiva NIS2, el Reglamento de Ciberresiliencia (CRA) y el RGPD.
En la Eurocámara se está analizando la necesidad de reforzar el mandato de la Agencia de Ciberseguridad en determinados puntos clave. Debido al aumento de ciberataques, el organismo ha visto ampliadas sus funciones operativas y de apoyo técnico. Además, este aumento de responsabilidades debería ir acompañado de recursos financieros y personal suficiente para garantizar su eficacia.
Se espera que la Agencia actúe finalmente como un centro de coordinación que promueva la coherencia en la implementación de las leyes de ciberseguridad en todos los Estados miembros.
El debate sobre la certificación
Sin embargo, uno de los puntos más complejos de la revisión se encuentra en el Marco Europeo de Certificación de Ciberseguridad. El proceso para desarrollar esquemas de certificación, como el servicio en la nube o 5G, se considera demasiado lento y opaco.
El sector viene insistiendo en que los esquemas deben alinearse con estándares internacionales para asegurar que las empresas que operan globalmente no enfrenten costes excesivos.
Una vez se dé luz verde, según apuntan fuentes, la próxima semana, el Parlamento deberá mediar en un debate profundamente dividido sobre los requisitos de soberanía en certificaciones como el esquema de servicios en la nube.
Noticia destacada
Los diez retos para que España lidere la agenda económica y digital en Bruselas
4 minutos
Los defensores de la soberanía argumentan que es crucial para la autonomía estratégica de la UE incluir medidas como la localización de datos en Europa y que las sedes corporativas estén en suelo europeo para proteger datos sensibles. Mientras, los más favorables al mercado abierto, como las grandes empresas tecnológicas —entre ellos Microsoft, Amazon y Google—, sostienen que estos criterios no son técnicos sino subjetivos y que podrían restringir el acceso al mercado y la innovación.
Así, el sector apoya los esquemas de certificación, pero ha trasladado a la Comisión condiciones estrictas que podrían salvaguardar su eficacia. De primeras, defienden el carácter voluntario y piden aplicar el principio “once-only”. Esto viene a ser que si un producto o servicio ya ha sido certificado bajo un esquema europeo, no se deberían exigir, bajo su criterio, auditorías o evidencias adicionales para cumplir con otras leyes.
En repetidas ocasiones, como ocurrió con el Ejecutivo nacional, la Comisión ha exigido a las capitales romper las dependencias con proveedores “de riesgo”. Sin embargo, las alertas en la mayoría de los casos no han obtenido respuestas y, por ello, el plan ahora sería desplegar la legislación a sectores clave como la atención médica y la energía.