Council Decision (CFSP) 2019/797 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States
| Published date | 17 May 2019 |
| Subject Matter | politica estera e di sicurezza comune,política exterior y de seguridad común,politique étrangère et de sécurité commune |
| Official Gazette Publication | Gazzetta ufficiale dell'Unione europea, L 129 I, 17 maggio 2019,Diario Oficial de la Unión Europea, L 129 I, 17 de mayo de 2019,Journal officiel de l'Union européenne, L 129 I, 17 mai 2019 |
| 17.5.2019 | ES | Diario Oficial de la Unión Europea | LI 129/13 |
DECISIÓN (PESC) 2019/797 DEL CONSEJO
de 17 de mayo de 2019
relativa a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de la Unión Europea, y en particular su artículo 29,
Vista la propuesta de la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad,
Considerando lo siguiente:
| (1) | El 19 de junio de 2017, el Consejo adoptó unas conclusiones sobre un marco para una respuesta diplomática conjunta a las actividades cibernéticas malintencionadas (en lo sucesivo, «conjunto de instrumentos de ciberdiplomacia»), en las que el Consejo manifestaba su preocupación por la capacidad y disposición crecientes de agentes estatales y no estatales de perseguir sus objetivos mediante actividades cibernéticas malintencionadas y afirmaba que existe una creciente necesidad de proteger la integridad y la seguridad de la Unión, sus Estados miembros y sus ciudadanos frente a las ciberamenazas y las actividades cibernéticas malintencionadas. |
| (2) | El Consejo subrayó que comunicar claramente las posibles consecuencias de una respuesta diplomática conjunta de la Unión a dichas actividades cibernéticas malintencionadas tiene influencia en el comportamiento de los agresores potenciales en el ciberespacio, reforzando así la seguridad de la Unión y de sus Estados miembros. También afirmó que las medidas adoptadas en el marco de la política exterior y de seguridad común (PESC), incluidas, si procede, las medidas restrictivas, adoptadas con arreglo a las correspondientes disposiciones de los Tratados, son aptas de cara a un marco para una respuesta diplomática conjunta de la Unión a las actividades cibernéticas malintencionadas, con el objetivo de fomentar la cooperación, facilitar la lucha contra las amenazas inmediatas y a largo plazo, e influir en el comportamiento de los agresores potenciales a largo plazo. |
| (3) | El 11 de octubre de 2017 el Comité Político y de Seguridad aprobó las directrices de aplicación del conjunto de instrumentos de ciberdiplomacia, que hacen referencia a cinco categorías de medidas, incluidas las medidas restrictivas, dentro de dicho conjunto de instrumentos, así como el proceso para recurrir a ellas. |
| (4) | Las conclusiones del Consejo adoptadas el 16 de abril de 2018 sobre actividades cibernéticas malintencionadas condenaban firmemente el uso malintencionado de las tecnologías de la información y la comunicación (TIC) y hacen hincapié en que la utilización de las TIC con fines malintencionados es inaceptable, ya que menoscaba la estabilidad, la seguridad y los beneficios que ofrecen internet y el uso de las TIC. El Consejo recordaba que el conjunto de instrumentos de ciberdiplomacia contribuye a la prevención de conflictos, la cooperación y la estabilidad en el ciberespacio al establecer medidas enmarcadas en la PESC, incluidas medidas restrictivas, que pueden utilizarse para prevenir las actividades cibernéticas malintencionadas y responder a ellas. Afirmaba que la Unión seguirá sosteniendo firmemente que el Derecho internacional es aplicable al ciberespacio y hacía hincapié en que el respeto del Derecho internacional vigente, en particular la Carta de las Naciones Unidas, es esencial para mantener la paz y la estabilidad. El Consejo subrayaba también que los Estados no deben recurrir a intermediarios para cometer hechos internacionalmente ilícitos utilizando las TIC, y deben tratar de garantizar que su territorio no sea utilizado por agentes no estatales para cometer tales hechos, como se indica en el informe de 2015 del Grupo de Expertos Gubernamentales de las Naciones Unidas sobre los Avances en la Información y las Telecomunicaciones en el Contexto de la Seguridad Internacional. |
| (5) | El 28 de junio de 2018, el Consejo Europeo adoptó unas conclusiones en las que destacaba la necesidad de reforzar las capacidades contra las amenazas en materia de ciberseguridad procedentes de fuera de la Unión. El Consejo Europeo pidió a las instituciones y a los Estados miembros que pusieran en marcha las medidas indicadas en la comunicación conjunta de la Comisión y la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, de 13 de junio de 2018, titulada «Aumentar la resiliencia y desarrollar las capacidades para hacer frente a las amenazas híbridas», incluido el uso práctico del conjunto de instrumentos de ciberdiplomacia. |
| (6) | El 18 de octubre de 2018, el Consejo Europeo adoptó unas conclusiones en las que pedía que se impulsaran los trabajos sobre la capacidad para responder a los ciberataques, y disuadir de que estos se cometan, con medidas restrictivas de la Unión, con arreglo a las conclusiones del Consejo de 19 de junio de 2017. |
| (7) | En este contexto, la presente Decisión establece un marco para unas medidas restrictivas específicas destinadas a impedir y contrarrestar los ciberataques con un efecto significativo que constituyan una amenaza externa para la Unión o sus Estados miembros. Cuando se estimen necesarias para el cumplimiento de los objetivos de la PESC en las disposiciones pertinentes del artículo 21 del Tratado de la Unión Europea, la presente Decisión también permite que se apliquen medidas restrictivas en respuesta a ciberataques con un efecto significativo contra terceros Estados u organizaciones internacionales. |
| (8) | Para que tengan un efecto preventivo y disuasorio, las medidas restrictivas específicas deben centrarse en los ciberataques contemplados en el ámbito de aplicación de la presente Decisión que se hayan llevado a cabo deliberadamente. |
| (9) | Hay que diferenciar las medidas restrictivas específicas de la imputación de responsabilidad por los ciberataques a un tercer Estado. La aplicación de medidas restrictivas específicas no implica tal imputación, que constituye una decisión política soberana adoptada en función de cada caso. Cada Estado miembro es libre de adoptar su propia determinación con respecto a la imputación de ciberataques a un tercer Estado. |
| (10) | Es necesario que la Unión vuelva a actuar con el fin de aplicar determinadas medidas. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
1. La presente Decisión se aplica a los ciberataques con un efecto significativo, incluidas las tentativas de ciberataque con un efecto significativo potencial, que constituyan una amenaza externa para la Unión o para sus Estados miembros.
2. Entre los ciberataques que constituyen una amenaza externa se incluyen aquellos que:
| a) | se originen, o se cometan, desde el exterior de la Unión; |
| b) | utilicen infraestructura fuera de la Unión; |
| c) | hayan sido cometidos por una persona física o jurídica, una entidad o un organismo establecidos o que tengan actividad fuera de la Unión; o |
| d) | hayan sido cometidos con el apoyo, bajo la dirección o bajo el control de una persona física o jurídica que tenga actividad fuera de la Unión. |
3. A tal fin, los ciberataques son acciones que implican cualesquiera de los siguientes elementos:
| a) | acceso a sistemas de información; |
| b) | intromisión en sistemas de información; |
| c) | intromisión en datos; o |
| d) | interceptación de datos, |
cuando dichas acciones no estén debidamente autorizadas por el propietario o por otro titular de derechos del sistema o de datos o de parte del mismo, o no estén permitidas por el Derecho de la Unión o de un Estado miembro.
4. Entre los ciberataques que constituyen una amenaza para los Estados miembros se incluyen los que afecten a los sistemas de información relacionados, entre otros aspectos, con:
| a) | las infraestructuras críticas, incluidos los cables submarinos y los objetos lanzados al espacio ultraterrestre, que resulten esenciales para el mantenimiento de funciones vitales de la sociedad, o para la salud, la seguridad, la protección y el bienestar económico o social de las personas; |
| b) |
To continue reading
Request your trial