Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala

• Section: Diario Oficial
• Issuing Organization: Comisión de las Comunidades Europeas

19.9.2017 ES Diario Oficial de la Unión Europea L 239/36

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 292,

Considerando lo siguiente:

(1) La utilización de las tecnologías de la información y la comunicación, así como la dependencia de las mismas, constituyen un elemento esencial en todos los sectores de actividad económica, ya que tanto nuestras empresas como nuestros ciudadanos están más interconectados y son más interdependientes que nunca, en todos los sectores y por encima de todas las fronteras. Los Estados miembros y las instituciones de la UE deben estar bien preparados para el caso de que se produzca un incidente de ciberseguridad que afecte a organizaciones de más de un Estado miembro, o incluso de toda la Unión, con posibles perturbaciones graves del mercado interior y, más en general, de las redes y los sistemas de información en que se basan la economía, la democracia y la sociedad de la Unión.

(2) Un incidente de ciberseguridad puede considerarse una crisis a escala de la Unión cuando la perturbación causada por el incidente sea demasiado fuerte como para que el Estado miembro interesado lo resuelva por sí mismo o cuando afecte a dos o más Estados miembros con un impacto tan amplio de relevancia técnica o política que requiera una coordinación y una respuesta oportuna a nivel político de la Unión.

(3) Los incidentes de ciberseguridad pueden desencadenar una crisis más generalizada, que afecte a sectores de actividad más allá de las redes y los sistemas de información y las redes de comunicaciones; cualquier respuesta adecuada debe basarse en actividades de mitigación tanto de carácter cibernético como de otro tipo.

(4) Los incidentes de ciberseguridad son imprevisibles y a menudo se producen y evolucionan en plazos muy breves, por lo que las entidades afectadas y las que tienen responsabilidades en cuanto a la respuesta y a la mitigación de los efectos del incidente deben coordinar su respuesta con rapidez. Por otra parte, los incidentes de ciberseguridad con frecuencia no se limitan a una zona geográfica específica y pueden producirse simultáneamente o extenderse de manera instantánea en muchos países.

(5) Una respuesta eficaz ante los incidentes y crisis de ciberseguridad a gran escala a nivel de la UE requiere una cooperación rápida y eficaz entre todas las partes interesadas pertinentes y se basa en la preparación y en las capacidades de cada uno de los Estados miembros, así como en una acción común coordinada apoyada en las capacidades de la Unión. Una respuesta oportuna y efectiva a los incidentes se basa, por tanto, en la existencia de procedimientos y mecanismos de cooperación previamente establecidos y, en la medida de lo posible, bien ensayados, en los que se hayan definido claramente las funciones y responsabilidades de los agentes clave a nivel nacional y de la Unión.

(6) En sus conclusiones (1) sobre la protección de infraestructuras críticas de información, de 27 de mayo de 2011, el Consejo invitaba a los Estados miembros de la UE a «[potenciar] la colaboración entre Estados miembros y [contribuir], basándose en las experiencias y los resultados nacionales en materia de gestión de crisis y en cooperación con la ENISA, al desarrollo de mecanismos europeos de cooperación en caso de incidentes informáticos con vistas a su ensayo en el marco del próximo ejercicio CyberEurope en 2012».

(7) La Comunicación de 2016 «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora» (2) animaba a los Estados miembros a sacar el máximo partido de los mecanismos de cooperación de la Directiva SRI (3) y a potenciar la cooperación transfronteriza relativa a la preparación ante un ciberincidente a gran escala. Añadía que un enfoque coordinado de la cooperación ante las crisis entre los diferentes elementos del ecosistema cibernético, descrito en un «plan director», mejoraría la preparación y que dicho plan también debería velar por las sinergias y la coherencia con los mecanismos existentes de gestión de crisis.

(8) En las Conclusiones del Consejo (4) sobre la citada Comunicación, los Estados miembros invitaban a la Comisión a presentar un plan director de ese tipo para su consideración por los órganos y otras partes interesadas. Sin embargo, la Directiva SRI no contempla un marco de cooperación de la Unión en el caso de incidentes y crisis de ciberseguridad a gran escala.

(9) La Comisión consultó a los Estados miembros en dos talleres de consulta distintos celebrados en Bruselas los días 5 de abril y 4 de julio de 2017 con representantes, procedentes de los Estados miembros, de los equipos de respuesta a incidentes de seguridad informática (CSIRT), el Grupo de cooperación establecido por la Directiva SRI y el Grupo horizontal del Consejo sobre cuestiones cibernéticas, así como representantes del Servicio Europeo de Acción Exterior (SEAE), la ENISA, Europol/EC3 y la Secretaría General del Consejo (SGC).

(10) El Plan director de la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala a nivel de la Unión que se recoge en el anexo de la presente Recomendación es resultado de las consultas mencionadas y complementa la Comunicación sobre «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora».

(11) El Plan director describe y fija los objetivos y los modos de cooperación entre los Estados miembros y las instituciones, órganos y organismos de la UE (en lo sucesivo denominados «instituciones de la UE») en cuanto a la respuesta a incidentes y crisis de ciberseguridad a gran escala y cómo los mecanismos existentes de gestión de crisis pueden hacer pleno uso de las entidades de ciberseguridad existentes a nivel de la UE.

(12) En la respuesta a una crisis de ciberseguridad en el sentido del considerando 2, la coordinación de la respuesta a nivel político de la Unión en el Consejo utilizará el Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC) (5); la Comisión utilizará el proceso de coordinación de crisis intersectoriales de alto nivel ARGUS (6). Si la crisis tiene una importante dimensión de política exterior o de Política Común de Seguridad y Defensa (PCSD), se activará el Mecanismo de Respuesta a las Crisis (CRM) del Servicio Europeo de Acción Exterior (SEAE) (6).

(13) En determinados ámbitos hay mecanismos de gestión de crisis sectoriales a escala de la UE que permiten la cooperación en caso de incidentes o crisis de ciberseguridad. Por ejemplo, en el marco del Sistema Europeo de Radionavegación por Satélite (GNSS), la Decisión 2014/496/PESC del Consejo (7) ya define las funciones respectivas del Consejo, el Alto Representante, la Comisión, la Agencia del GNSS Europeo y los Estados miembros dentro de la cadena de competencias operativas establecidas para reaccionar ante una amenaza para la Unión, para los Estados miembros o para el GNSS, también en caso de ciberataques. Por lo tanto, la presente Recomendación debe entenderse sin perjuicio de estos mecanismos.

(14) Los Estados miembros tienen la responsabilidad primaria de la respuesta en caso de incidentes o crisis de ciberseguridad a gran escala que les afecten. La Comisión, el Alto Representante y otras instituciones o servicios de la UE tienen, sin embargo, una función importante, derivada del Derecho de la Unión o de la posibilidad de que los incidentes y crisis de ciberseguridad afecten a todos los sectores de actividad económica dentro del mercado único, a la seguridad y las relaciones internacionales de la Unión, y a las propias instituciones.

(15) A nivel de la Unión, entre los agentes clave que intervienen en respuesta a las crisis de ciberseguridad se incluyen las recientemente establecidas estructuras y mecanismos de la Directiva SRI, en particular la red de equipos de respuesta a incidentes de seguridad informática (CSIRT), así como las agencias y órganos pertinentes, a saber, la Agencia de Seguridad de las Redes y de la Información de la Unión Europa (ENISA), el Centro Europeo de Ciberdelincuencia de Europol (Europol/EC3), el Centro de Análisis de Inteligencia de la UE (INTCEN), la Dirección de Información del Estado Mayor de la Unión Europea (EMUE INT) y la Sala de Guardia (SITROOM) que trabajan conjuntamente como la SIAC (Capacidad Única de Análisis de Inteligencia), la Célula de Fusión de la UE contra las Amenazas Híbridas (dentro del INTCEN), el Equipo de respuesta a emergencias informáticas de las instituciones de la UE (CERT-UE) y el Centro de Coordinación de la Respuesta a Emergencias de la Comisión Europea.

(16) La cooperación entre los Estados miembros a la hora de responder a los incidentes de ciberseguridad a nivel técnico se hace a través de la red de CSIRT establecida por la Directiva SRI. La ENISA se encarga de las labores de secretaría de la Red y apoya activamente la cooperación entre los CSIRT. Los CSIRT nacionales y el CERT-UE cooperan e intercambian información de forma voluntaria, también, en caso necesario, en respuesta a incidentes de ciberseguridad que afecten a uno o más Estados miembros. A instancias del representante del CSIRT de un Estado miembro, pueden debatir y, cuando sea posible, determinar una respuesta coordinada a un incidente que se haya detectado dentro de la jurisdicción de ese Estado miembro. Los procedimientos pertinentes se establecerán en los procedimientos de trabajo normalizados de la Red de CSIRT (8).

(17) La red de CSIRT también está encargada de debatir, explorar e identificar más formas de cooperación operativa, también en relación con las categorías de riesgos e incidentes, alertas tempranas, asistencia mutua, principios y modalidades de coordinación, cuando los Estados miembros responden a incidentes y riesgos transfronterizos.

(18) El Grupo de cooperación establecido por el artículo 11 de la Directiva SRI está encargado de proporcionar orientación...