13967/1/16 REV 1 bfs/mfh/ml 1 DG D 2B

Transcripción

1 Consejo de la Unión Europea Bruselas, 7 de noviembre de 2016 (OR. en) 13967/1/16 REV 1 NOTA PUNTO «I/A» De: Secretaría General del Consejo CYBER 122 COMPET 558 IND 229 RECH 302 TELECOM 213 A: Comité de Representantes Permanentes/Consejo N.º doc. prec.: 11911/3/16 REV 3 N. doc. Ción.: 11013/16 Asunto: Proyecto de Conclusiones del Consejo sobre «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora» - adopción 1. En la reunión celebrada el 22 de julio de 2016 por el Grupo «Amigos de la Presidencia» (Cuestiones Cibernéticas) (en lo sucesivo, «el Grupo»), la Comisión presentó su Comunicación «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora» 1. Con ella se pretende apoyar el crecimiento del sector europeo de la ciberseguridad y reforzar la cooperación entre los Estados miembros, especialmente en caso de un ciberataque grave, a la vez que se optimiza el uso de los diversos recursos disponibles. 1 Documento 11013/ /1/16 REV 1 bfs/mfh/ml 1 DG D 2B ES

2 2. El debate posterior a la presentación de la Comisión, que se basó en una lista de mensajes clave elaborada por la Presidencia 2, ha puesto claramente de manifiesto la importancia de anticipar con un pensamiento estratégico los asuntos expuestos en la Comunicación, así como la necesidad de asumir un compromiso político para alcanzar los objetivos que en ella se fijan. 3. En la reunión del Grupo de 17 de septiembre, la Presidencia presentó el primer proyecto de Conclusiones del Consejo 3, que desarrollaba la lista de mensajes clave e incorporaba las observaciones y las contribuciones por escrito de los Estados miembros. El debate inicial ha permitido racionalizar la estructura y afinar los mensajes, al tiempo que se ha tenido debidamente en cuenta el proceso de aplicación en curso de la Directiva sobre ciberseguridad, recientemente adoptada. 4. Gracias a las dos rondas adicionales de debates que tuvieron lugar en las reuniones del Grupo de 7 y 28 de octubre de 2016 y a las contribuciones escritas remitidas por las delegaciones ha sido posible completar las negociaciones en el nivel del Grupo y elaborar el texto transaccional definitivo En vista de lo que antecede, se ruega al Coreper que invite al Consejo a adoptar el proyecto de Conclusiones del Consejo sobre «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora» que figura en el anexo Documento DS 1373/16. Documento 11911/16. Documento 11911/3/16 REV /1/16 REV 1 bfs/mfh/ml 2 DG D 2B ES

3 ANEXO Proyecto de Conclusiones del Consejo Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora EL CONSEJO DE LA UNIÓN EUROPEA, RECORDANDO: sus Conclusiones sobre la Comunicación conjunta de la Comisión y de la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, titulada «Estrategia de ciberseguridad de la Unión Europea: un ciberespacio abierto, protegido y seguro» 5 ; el Marco político de ciberdefensa de la UE 6 ; sus Conclusiones sobre la ciberdiplomacia 7 ; la Comunicación de la Comisión titulada «Una Estrategia para el Mercado Único Digital de Europa» 8 ; sus Conclusiones sobre sobre la lucha contra las amenazas híbridas 9 ; sus Conclusiones sobre el Plan de Acción sobre Administración Electrónica ; la Comunicación de la Comisión «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora» 11 ; sus Conclusiones relativas a la Estrategia Global sobre Política Exterior y de Seguridad de la Unión Europea 12 ; Documento 12109/13. Documento 15585/14. Documento 6122/15. COM(2015) 192 final de 6 de mayo de Documento 7857/16. Documento 12080/16. COM(2016) 410 final de 5 de julio de Documento 13202/ /1/16 REV 1 bfs/mfh/ml 3

4 OBSERVANDO: el resultado de la Conferencia de Alto Nivel sobre Ciberseguridad celebrada en Ámsterdam en mayo de 2016; los resultados de la serie de Conferencias Mundiales sobre el Ciberespacio, celebradas en 2011 (Londres), 2012 (Budapest), 2013 (Seúl) y 2015 (La Haya). RECONOCE QUE: 1. los Estados miembros, la Comisión y otras entidades de la UE, con arreglo al principio de subsidiaridad, han estado colaborando estrechamente para impulsar la ciberseguridad y la ciberresiliencia europeas, tanto en el ámbito de la UE como en la esfera nacional, especialmente desde la adopción de la Estrategia de ciberseguridad de la UE; y que es indispensable seguir colaborando intensamente para proteger a la UE de las ciberamenazas, al tiempo que se mantiene un enfoque integral y coherente de la ciberseguridad; 2. las ciberamenazas y las vulnerabilidades siguen evolucionando e intensificándose, lo cual requerirá una cooperación continuada y más estrecha, sobre todo a la hora de dar respuesta a incidentes de ciberseguridad transfronterizos y de gran envergadura; 3. la ciberseguridad es crucial para el buen funcionamiento del mercado único digital, ya que los incidentes de ciberseguridad no solo pueden causar trastornos graves en la sociedad moderna y un considerable daño económico a las empresas europeas, sino que, por su propia naturaleza, también pueden minar la confianza de los ciudadanos y de las empresas de la sociedad digital y generar reticencia a usar las tecnologías digitales; 13967/1/16 REV 1 bfs/mfh/ml 4

5 4. la recién adoptada Directiva sobre ciberseguridad 13, por la que se crean nuevos mecanismos de cooperación, la Estrategia de ciberseguridad de la UE (que se actualizará a su debido tiempo) y el Reglamento ENISA (que se revisará en breve) son los elementos básicos del marco de la UE sobre ciberresiliencia, en el cual se abordará eficazmente la ciberseguridad de los Estados miembros y de las entidades de la UE; 5. contar con las capacidades adecuadas en materia de ciberseguridad, mediante la enseñanza y la formación, destinadas tanto a prevenir los incidentes de seguridad como a mitigar y dar respuesta a las repercusiones de dichos incidentes, es uno de los aspectos clave para lograr resiliencia en ciberseguridad, al tiempo que se fomenta la colaboración entre los Estados Miembros, la Comisión, el Servicio Europeo de Acción Exterior, la Agencia de Seguridad de las Redes y de la Información de la UE (ENISA), Europol, Eurojust, la Agencia Europea de Defensa y, cuando proceda, la OTAN; 6. tanto la cooperación estratégica y operativa como el intercambio de información intersectorial en los Estados miembros y, allende fronteras, en el seno la UE son vitales para preservar la ciberseguridad, prevenir los incidentes de ciberseguridad y mitigar sus repercusiones. Tal cooperación no solo contribuye a lograr una mayor preparación y resiliencia, sino también a comprender mejor las interdependencias, por ejemplo a través de la aplicación del Programa Europeo de Protección de Infraestructuras Vitales; 7. el cálculo del volumen de riesgos compartidos y de incidentes de ciberseguridad de gran envergadura depende del grado de interdependencia transfronteriza y transectorial, tanto en el sector público como en el privado; 8. es importante garantizar una vía adecuada de captación de fondos para apoyar a las pymes y a las empresas emergentes del sector de la seguridad, en particular su acceso a la financiación y a la inversión, concretamente en sus fases iniciales de desarrollo; 9. el valor añadido de crear una asociación público-privada contractual sobre ciberseguridad, con arreglo a Horizonte 2020, radica en estimular la competitividad y la innovación en el sector europeo de la ciberseguridad; 13 Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión (DO L 194 de , p. 1) /1/16 REV 1 bfs/mfh/ml 5

6 10. los rápidos avances tecnológicos en el ámbito digital, que se traducen en un elevado número de productos, servicios y soluciones de tecnologías de la información y la comunicación (TIC), desencadenan no solo nuevos retos sociales y económicos, sino también retos en materia de seguridad, especialmente en relación con los datos, y deberán abordarse y estudiarse con mayor detenimiento en el contexto del mercado único digital; 11. el robo cibernético de secretos comerciales puede ser perjudicial para la capacidad del sector europeo de innovar y competir, por lo que deben analizarse con más atención sus repercusiones; 12. los Estados miembros comparten el objetivo común de contribuir a la autonomía estratégica de Europa, tal como se pone de manifiesto en las Conclusiones del Consejo relativas a la Estrategia Global sobre Política Exterior y de Seguridad, también en el ámbito del ciberespacio; HACE HINCAPIÉ EN QUE: 13. compete a cada Estado miembro tomar las medidas necesarias para garantizar la protección de sus intereses vitales en materia de seguridad respetando plenamente los Tratados; 14. los Estados miembros deberán transponer de manera prioritaria la Directiva sobre ciberseguridad a sus respectivos marcos legislativos nacionales para reflejar de forma efectiva la cooperación prevista en el recién establecido Grupo de cooperación y en la Red de equipos de respuesta a incidentes de seguridad informática, que contribuirá a reforzar la ciberresiliencia, la ciberseguridad y la gestión de incidentes de gran envergadura; 15. la mejora de la seguridad de las redes y de la información de las entidades de la UE debe considerarse parte integrante de la prioridad de reforzar la ciberseguridad en toda la UE; 16. es necesario adoptar medidas de capacitación cibernética y de fomento de la confianza para prevenir y limitar el riesgo de incidentes de ciberseguridad y generar confianza en el mercado único digital; 13967/1/16 REV 1 bfs/mfh/ml 6

7 17. emplear instrumentos diplomáticos, jurídicos y técnicos y potenciar la cooperación en el seno de la UE y en la esfera nacional son medidas necesarias para responder satisfactoriamente a los incidentes de ciberseguridad, tales como las operaciones cibernéticas de coacción, y para combatir la ciberdelincuencia; 18. la UE debe adaptar plenamente los planteamientos de seguridad y privacidad desde el diseño para desarrollar, suministrar y poner en funcionamiento productos y servicios de ciberseguridad eficaces, de calidad, asequibles e interoperables, y tomar medidas para que el mercado de dichos productos y servicios sea más integrado y global; 19. impulsar el diálogo sobre ciberseguridad con el sector podría contribuir a detectar lagunas en los mecanismos de certificación y validación de ciberseguridad, así como en los sistemas de etiquetado, que han de tener en cuenta las normas y los principios aceptados internacionalmente; 20. para poner eficazmente en funcionamiento los sistemas europeos de ciberresiliencia es necesario mantener la coherencia entre las respectivas medidas y las políticas, los instrumentos financieros y los programas de la UE; 21. la asociación público-privada contractual sobre ciberseguridad debe estar abierta a nuevos participantes, las condiciones de admisión deben ser transparentes y la información sobre dichas condiciones ha de seguir siendo accesible; 13967/1/16 REV 1 bfs/mfh/ml 7

8 PIDE A LA COMISIÓN QUE: 22. cumpla los objetivos fijados en la Comunicación «Reforzar el sistema de ciberresiliencia de Europa», en particular: a) remitiendo para su consideración a los órganos creados en virtud de la Directiva sobre ciberseguridad y a otras partes interesadas pertinentes, especialmente ENISA, en el primer semestre de 2017 un plan director de cooperación destinado a dar respuesta a los ciberincidentes de gran envergadura que se produzcan en el ámbito de la UE, al tiempo que se tiene en cuenta la función complementaria del plan director; b) concluyendo la evaluación de ENISA, como muy tarde a finales de 2017, y proponiendo lo antes posible todo aspecto pertinente para la renovación del mandato de ENISA (incluida su ampliación para que abarque las tareas previstas en la Directiva sobre ciberseguridad); c) creando una plataforma de formación en ciberseguridad, en estrecha cooperación con los Estados miembros, el Servicio Europeo de Acción Exterior, Europol, Eurojust, ENISA, la Agencia Europea de Defensa y otras entidades pertinentes de la UE; d) analizando las condiciones jurídicas y organizativas necesarias para permitir que los Estados miembros realicen controles periódicos de detección de vulnerabilidades en la infraestructura de red accesible al público; e) explorando la posibilidad de crear un sistema de certificación y etiquetado de ciberseguridad, a la vez que se analizan los sistemas eficaces de seguridad que ya existen, si procede, con vistas a proponer a más tardar en 2017 medidas, incluidas medidas legislativas, destinadas a hacer frente a estos desafíos; f) sensibilizando a la comunidad de la ciberseguridad sobre los mecanismos de financiación existentes y fomentando el uso de instrumentos de la UE destinados a apoyar a las pymes innovadoras; g) explorando formas de facilitar el acceso de las pymes y las empresas emergentes, especialmente en sus fases iniciales de desarrollo, a la financiación y a la inversión (por ejemplo, mediante una plataforma específica de inversión en ciberseguridad); h) cuando proceda, evaluando el funcionamiento actual de los centros sectoriales de puesta en común y análisis de la información (ISAC) europeos y elaborando propuestas para reforzar estas estructuras, en colaboración con los Estados miembros y, cuando sea pertinente, con los centros ISAC nacionales existentes; i) promoviendo un enfoque de seguridad desde el diseño en las inversiones en grandes infraestructuras que tengan un componente digital y estén cofinanciadas por los fondos de la UE; 13967/1/16 REV 1 bfs/mfh/ml 8

9 23. consulte a los Estados miembros antes de crear nuevos mecanismos o estructuras (por ejemplo, un «centro logístico de información» o un grupo consultivo de alto nivel) o antes de adoptar nuevos instrumentos (como un plan director de cooperación) que guarden relación con la ciberseguridad por su función, sus metas o sus tareas complementarias; 24. informe anualmente por escrito al Consejo sobre los progresos realizados. INVITA A LOS ESTADOS MIEMBROS A: 25. poner plenamente en marcha los mecanismos de cooperación en materia de ciberseguridad y potenciar la cooperación transfronteriza sobre la preparación para prevenir, gestionar y mitigar las repercusiones de los incidentes de ciberseguridad de gran envergadura, de conformidad con los principios y las disposiciones previstas en la Directiva sobre ciberseguridad; 26. participar activamente en la asociación público-privada contractual destinada a reforzar la competitividad, la investigación y la innovación de las empresas europeas del sector; 27. cooperar con la Comisión en la creación de un marco europeo abierto, teniendo en cuenta la creación de un marco global de certificación de productos y servicios de ciberseguridad, en línea con las normas internacionales y basado en la participación de expertos, que abarcaría una amplia variedad de sistemas y soluciones TIC en cualquier nivel de seguridad y que sería de aplicación en todos los Estados miembros, con vistas a crear un verdadero mercado único digital seguro y poner a Europa en la vanguardia de la normalización mundial; 28. cooperar con la Comisión y otros interlocutores pertinentes en la consecución de los objetivos estratégicos fijados en estas Conclusiones /1/16 REV 1 bfs/mfh/ml 9

10 INVITA A LAS PARTES INTERESADAS PERTINENTES A: 29. adoptar las mejores prácticas en el ámbito de la ciberseguridad, apoyar la sensibilización y la adquisición de competencias y mejorar la formación en el ámbito de la ciberseguridad; 30. considerar la posibilidad de aumentar la inversión en mercados de productos y servicios de ciberseguridad de gran calidad, al tiempo que se ahonda en la cooperación con autoridades públicas, incluidos los equipos nacionales de respuesta a emergencias informáticas, si procede; 31. aprovechar al máximo la asociación público-privada contractual sobre ciberseguridad y los centros ISAC europeos para fomentar la cooperación en el sector, especialmente en los ámbitos de la investigación y la innovación, la normalización, la certificación, el etiquetado, la inversión conjunta y la consolidación del sector; 32. contribuir proactivamente al cumplimiento de los objetivos estratégicos fijados en estas Conclusiones para reforzar la resiliencia del sector europeo; 33. incorporar más soluciones de ciberseguridad a todos los sectores y a todo tipo de usuarios /1/16 REV 1 bfs/mfh/ml 10