Dictamen del Comité Económico y Social Europeo sobre el tema Ciberataques en la UE — (Dictamen de iniciativa)

SectionDictamen de propia iniciativa

16.12.2014    ES Diario Oficial de la Unión Europea C 451/31

Ponente: Thomas McDonogh

El 27 de febrero de 2014, de conformidad con el apartado 2 del artículo 29 de su Reglamento interno, el Comité Económico y Social Europeo decidió elaborar un dictamen de iniciativa sobre el tema

Ciberataques en la UE.

La Sección Especializada de Transportes, Energía, Infraestructuras y Sociedad de la Información, encargada de preparar los trabajos en este asunto, aprobó su dictamen el 18 de junio de 2014.

En su 500o pleno de los días 9 y 10 de julio de 2014 (sesión del 10 de julio), el Comité Económico y Social Europeo aprobó por 135 votos a favor y 1 en contra el presente dictamen.

1.1 El Comité desea que se cree una autoridad a escala de la UE responsable de la ciberseguridad, de forma análoga a la autoridad central de la industria aeronáutica, la Agencia Europea de Seguridad Aérea (AESA), a fin de fortalecer el liderazgo que se requiere en el nivel de la UE para hacer frente a la complejidad que entraña poner en práctica una política de ciberseguridad eficaz a escala europea.

1.2 Los ciudadanos informados y con poder de decisión son esenciales para alcanzar un elevado nivel de seguridad cibernética en Europa. La educación de los ciudadanos en materia de ciberseguridad personal y protección de datos debería constituir una parte fundamental de todos los planes de estudios en la escuela y de los programas de formación en el lugar de trabajo. Además, la UE debería impulsar programas de información pública e iniciativas sobre estas cuestiones en toda la Unión.

1.3 Las empresas deberían estar obligadas por ley a mantener un enfoque proactivo para protegerse de los ataques cibernéticos, lo que incluye unas tecnologías de la información y de las comunicaciones (TIC) seguras y con capacidad de resistencia y una formación del personal sobre las políticas de seguridad semejante a la que existe sobre asuntos de salud y seguridad.

1.4 Todos los Estados miembros deberían contar con un organismo encargado de informar, educar y apoyar al sector de las pymes en las cuestiones relacionadas con la ciberseguridad. Las grandes empresas pueden adquirir fácilmente los conocimientos que precisan, pero las pymes necesitan apoyo.

1.5 Es preciso ampliar el mandato de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) y proporcionar financiación para asumir una responsabilidad más directa en materia de educación para la ciberseguridad y programas de concienciación especialmente dirigidos a los ciudadanos y a las pequeñas y medianas empresas.

1.6 Las empresas y las organizaciones han de incrementar el nivel de concienciación acerca de la responsabilidad en materia de ciberseguridad a nivel directivo. Es preciso comunicar explícitamente a los directores de todas las organizaciones las responsabilidades empresariales potenciales derivadas de la adopción de unas políticas y medidas inadecuadas en materia de ciberseguridad.

1.7 Debido a su papel fundamental en la prestación de servicios en línea, todos los proveedores de servicios de internet de la UE deben asumir la responsabilidad específica de proteger a sus clientes frente a los ciberataques. Esta responsabilidad debería definirse y consagrarse en la legislación a escala de la UE.

1.8 Para garantizar que se materialice rápidamente el gran potencial de crecimiento económico derivado de la expansión dinámica de la computación en nube (1), también deben imponerse requisitos y obligaciones especiales de seguridad a escala de la UE a los proveedores de servicios en nube.

1.9 El Comité considera que las medidas voluntarias son insuficientes, ya que es necesario imponer obligaciones reglamentarias rigurosas a los Estados miembros para garantizar la armonización, la gobernanza y el cumplimiento de la ciberseguridad en Europa, al tiempo que es necesario legislar para hacer obligatoria la notificación de los incidentes significativos en materia de seguridad cibernética para todas las empresas y organizaciones, no solo para los proveedores de infraestructuras críticas. Esto contribuiría a incrementar la respuesta de Europa a las amenazas, y aumentaría el conocimiento y la comprensión de los ciberataques, con el fin de poder desarrollar mejores defensas.

1.10 El Comité recomienda firmemente que la UE adopte un enfoque relacionado con el diseño (design-led approach) para abordar la amenaza de los ciberataques, garantizando que todas las tecnologías y servicios utilizados en Europa para facilitar la conectividad a internet y los servicios en línea sean diseñados para ofrecer el máximo nivel posible de seguridad frente a los ciberataques. Las consideraciones basadas en el diseño deberían centrarse especialmente en la interfaz hombre-máquina.

1.11 El CESE desea que las organizaciones europeas de normalización elaboren normas esenciales de ciberseguridad y las difundan para todos los servicios de las TIC y tecnologías de conexión a redes. Estas normas deberían incluir un código de conducta vinculante para garantizar que todos los equipos de TIC y servicios de internet que se vendan a los ciudadanos europeos respondan a las normas más exigentes.

1.12 La UE debe actuar sin demora para asegurarse de que todos los Estados miembros pongan en marcha un equipo de respuesta a emergencias informáticas (CERT) plenamente operativo para proteger a Europa frente a los ciberataques.

1.13 El Comité solicita que el Centro Europeo de Ciberdelincuencia (EC3) en Europol reciba la financiación adicional que necesita para reforzar la cooperación entre las fuerzas de policía europeas y las no pertenecientes a la UE, a fin de aumentar la capacidad de Europa para capturar y enjuiciar a los ciberdelincuentes.

1.14 En resumen, el CESE considera que la política de la UE en materia de ciberseguridad debe hacer especial hincapié en los siguientes aspectos: liderazgo firme de la UE; políticas de ciberseguridad que refuercen la seguridad y, al mismo tiempo, preserven la intimidad y otros derechos fundamentales; concienciación de los ciudadanos y fomento de la protección proactiva; gobernanza integral de los Estados miembros; actuación empresarial responsable e informada, estrecha cooperación entre los gobiernos, el sector privado y los ciudadanos; adecuados niveles de inversión, buenas normas técnicas y suficientes inversiones en investigación, desarrollo e innovación; un compromiso internacional. En este sentido, el Comité reitera sus recomendaciones sobre la política de ciberseguridad expresadas en numerosos dictámenes anteriores (2) y pide a la Comisión que efectúe un seguimiento de las medidas solicitadas en ellos.

2.1 La economía de internet genera más de una quinta parte del crecimiento del PIB de la UE y doscientos millones de europeos compran en línea cada año. Dependemos de internet y de la tecnología digital conexa para mantener nuestra energía vital, la...

To continue reading

Request your trial

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT