Dictamen del Comité Económico y Social Europeo sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148 y sobre la propuesta de Directiva del Parlamento Europeo y del Consejo sobre la resiliencia de las entidades críticas [COM(2020) 823 final — 2020/0359 (COD) — COM(2020) 829 final — 2020/0365 (COD)]

• Section: Serie C
• Issuing Organization: Comité Económico y Social

16.7.2021 ES Diario Oficial de la Unión Europea C 286/170

Ponente: Maurizio MENSI

Consulta Parlamento Europeo, 21.1.2021-11.2.2021 Consejo, 26.1.2021-19.2.2021 Fundamento jurídico Artículo 114 del Tratado de Funcionamiento de la Unión Europea Sección competente Transportes, Energía, Infraestructuras y Sociedad de la Información Aprobado en sección 14.4.2021 Aprobado en el pleno 27.4.2021 Pleno n.o 560 Resultado de la votación (a favor/en contra/abstenciones) 243/0/5

1.1. El CESE valora positivamente los esfuerzos de la Comisión por aumentar la resiliencia de las entidades públicas y privadas frente a las amenazas de los incidentes, ataques cibernéticos y físicos y coincide en la necesidad de reforzar la industria y la capacidad de innovación de la UE de manera inclusiva, siguiendo una estrategia basada en cuatro pilares: la protección de datos, los derechos fundamentales, la seguridad y la ciberseguridad.

1.2. No obstante, el CESE señala que, dados la pertinencia y el carácter sensible de los objetivos perseguidos por ambas propuestas, habría sido preferible el instrumento de un reglamento más que el de una directiva. Sin embargo, nada indica las razones por las que la Comisión no incluyó esta hipótesis en las diferentes opciones consideradas.

1.3. El CESE observa que algunas disposiciones de las dos propuestas de Directiva se solapan, ya que están estrechamente relacionadas y son complementarias, pues una se centra en los aspectos de ciberseguridad y la otra en la seguridad física. Pide, por tanto, que se estudie la conveniencia de fusionar las dos propuestas en un texto único, en aras de la simplificación y la concentración funcional.

1.4. El CESE comparte el enfoque propuesto de abandonar la distinción entre operadores de servicios esenciales y proveedores de servicios digitales establecida en la Directiva SRI original, pero considera oportuno proporcionar, por lo que respecta a su ámbito de aplicación, indicaciones más claras y precisas para determinar las entidades sujetas a la observancia de la Directiva. En particular, deben definirse con mayor precisión los criterios de distinción entre entidades «esenciales» y «importantes», así como los requisitos que deben cumplir, a fin de evitar enfoques divergentes a nivel nacional que supongan obstáculos a la competencia y a la libre circulación de bienes y servicios, con el riesgo de perjudicar a las empresas y afectar a los intercambios comerciales.

1.5. Dada la complejidad objetiva del sistema establecido en las dos propuestas, el CESE considera importante que la Comisión aclare con precisión el ámbito de aplicación de los dos conjuntos de normas, especialmente cuando disposiciones diferentes regulan situaciones o entidades idénticas.

1.6. El CESE considera que la claridad de todas las disposiciones normativas constituye un objetivo irrenunciable, junto a los objetivos de reducir la burocracia y la fragmentación simplificando los procedimientos, los requisitos de seguridad y las obligaciones de notificación de los incidentes. Con esta misma finalidad, podría resultar oportuno, en beneficio de los ciudadanos y las empresas, fusionar en un único texto las dos propuestas de Directiva, evitando un ejercicio de interpretación y aplicación en ocasiones complejo.

1.7. El CESE reconoce el papel esencial, destacado en la propuesta de Directiva, de los órganos de gestión de las entidades «esenciales» e «importantes», cuyos miembros deben seguir periódicamente cursos de formación específicos con el fin de adquirir conocimientos y competencias suficientes para conocer y gestionar los distintos riesgos cibernéticos y evaluar su impacto. Asimismo, considera que la propuesta debe indicar el contenido mínimo de dichos conocimientos y capacidades, a fin de proporcionar orientación a nivel europeo sobre las capacidades de formación que se consideran adecuadas y evitar que el contenido de los diferentes cursos de formación difiera de un país a otro.

1.8. El CESE se muestra de acuerdo con el importante papel que desempeña la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en la configuración institucional y operativa general de la ciberseguridad a nivel europeo. A este respecto, considera que, además del informe bienal sobre la situación de la ciberseguridad en la Unión, este organismo debe publicar en línea información periódica y actualizada sobre incidentes de ciberseguridad, además de avisos sectoriales específicos, con el fin de proporcionar una herramienta de información útil adicional que permita a las entidades afectadas por la SRI 2 proteger mejor sus empresas.

1.9. El CESE apoya la propuesta de confiar a la ENISA la tarea de crear un Registro Europeo de Vulnerabilidades y considera que la comunicación de esta información, es decir las vulnerabilidades e incidentes graves, debe ser obligatoria y no voluntaria, de modo que se convierta en un instrumento útil también para las entidades adjudicadoras en el marco de los procedimientos de contratación pública a nivel europeo, en particular para los productos y tecnologías 5G.

2.1. El 16 de diciembre de 2020 se presentó la nueva Estrategia de Ciberseguridad de la Unión Europea junto con dos propuestas legislativas: la revisión de la Directiva (UE) 2016/1148 (1) sobre la seguridad de las redes y sistemas de información en la Unión (SRI 2) y una nueva Directiva relativa a la resiliencia de las entidades críticas. La Estrategia, que es un componente fundamental de la Comunicación «Configurar el futuro digital de Europa» (2), del Plan de recuperación para Europa y de la Estrategia de la UE para una Unión de la Seguridad, tiene por objeto reforzar la resiliencia colectiva de Europa frente a las amenazas informáticas y garantizar que todos los ciudadanos y empresas puedan beneficiarse de unos servicios y unas herramientas digitales fiables y seguros.

2.2. Es necesario actualizar las medidas existentes en la Unión con vistas a proteger los servicios y las infraestructuras críticos frente a los riesgos informáticos y físicos. Los riesgos relacionados con la seguridad informática no dejan de evolucionar con el aumento de la digitalización y la interconexión. De ahí la necesidad de revisar el marco normativo en vigor de acuerdo con la lógica de la Estrategia Europea de Seguridad, superando la dicotomía entre en línea y fuera de línea...