Participación Pública sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la seguridad de la información en las instituciones, órganos y organismos de la Unión (COM/2022/119) y sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen medidas destinadas a garantizar un elevado nivel común de ciberseguridad en las instituciones, los órganos y los organismos de la Unión (COM/2022/122)
Objetivos de las normas
La Comisión Europea ha presentado dos normas que ordenan medidas comunes en materia de ciberseguridad y seguridad de la información para todas las instituciones, órganos, organismos y agencias de la Unión Europea. Las dos normas propuestas pretenden reforzar la resiliencia y las capacidades de respuesta de ciberamenazas y ciberincidentes para garantizar la seguridad de la administración pública.
Por un lado, la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la seguridad de la información en las instituciones, órganos y organismos de la Unión (en adelante, Propuesta de Reglamento de seguridad de la información) tiene por objetivo establecer un conjunto mínimo de reglas de seguridad para garantizar el intercambio seguro de información entre las instituciones, órganos, organismos y agencias de la Unión Europea y con los Estados Miembros.
Por otro lado, la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen medidas destinadas a garantizar un elevado nivel común de ciberseguridad en las instituciones, los órganos y los organismos de la Unión (en adelante, Propuesta de Reglamento de ciberseguridad) tiene el objetivo de crear un marco de gobernanza, gestión y control de riesgos en el ámbito de la ciberseguridad.
Contenido de las normas
La Propuesta de Reglamento de seguridad de la información instaura un conjunto de prácticas y medidas normalizadas de protección de los flujos de información, cuyos elementos esenciales son los siguientes:
- Establecer un sistema de gobernanza eficaz que fomente la cooperación entre todos los sujetos de la Unión involucrados mediante la creación de un Grupo interinstitucional de coordinación de seguridad de la información. Este Grupo reúne a las autoridades de seguridad de las instituciones y órganos y elabora recomendaciones sobre la aplicación del Reglamento.
- Mejorar la coherencia de las normas de seguridad de la información de todas las instituciones y órganos de la Unión e incentivar la adopción de normas internas por cada uno de ellos adaptadas a su propio entorno de seguridad.
- Determinar un enfoque común para la categorización de la información que esté basado en el nivel de confidencialidad.
- Establecer categorías de información no clasificada, definiendo marcas y condiciones de tratamiento para proteger la información.
- Estructurar la gestión de la información clasificada (ICUE) abordando la seguridad en el personal de la Unión, la seguridad física, la gestión de la información, la protección de los sistemas de comunicación e información, la seguridad industrial y la puesta en común de ICUE e intercambio de información clasificada. También se establecen las normas de protección ICUE en relación con su ámbito específico.
El contenido esencial de la Propuesta de Reglamento de ciberseguridad es el siguiente:
- Adoptar medidas destinadas a garantizar un elevado nivel común de ciberseguridad, que obligue a las instituciones, órganos, organismos y agencias de la UE a implantar un marco de gobernanza, gestión y control de riesgos en el ámbito de ciberseguridad; definir un código básico de medidas de seguridad, llevar a cabo evaluaciones periódicas, poner en marcha un plan de mejora y compartir información sobre incidentes con el CERT-UE.
- Crear un Consejo interinstitucional de ciberseguridad que impulse y supervise la aplicación del Reglamento y proporcione la dirección estratégica de la actividad del CERT-UE.
- Reforzar el mandato del CERT-UE de manera que contribuya a la seguridad del entorno informático ofreciendo asesoramiento y ayuda para prevenir, detectar, mitigar y responder a los ciberincidentes, proporcionando una función de centro de coordinación para el intercambio de información.
- Cambiar el nombre del “Equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la Unión Europea” a “Centro de ciberseguridad”, manteniendo su abreviatura CERT-UE.
Plazo y presentación de comentarios
Con objeto de identificar los aspectos de la propuesta legislativa que tienen mayor incidencia para España e incentivar la participación de los ciudadanos y sectores nacionales afectados, se abre un proceso de participación pública para recabar comentarios sobre los documentos presentados por la Comisión Europea, cuyo enlace se encuentra al final de esta página.
Se podrán presentar comentarios en el plazo de 15 días hábiles, hasta el día 2 de junio inclusive.
La dirección de correo electrónico para enviar los comentarios es: audiencia@economia.gob.es
Enlaces
Se remiten juntos los enlaces debido a las sinergias entre ambas propuestas.
Enlace a la Propuesta de Reglamento de seguridad de la información