REGLAMENTO (UE) 2021/887 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 20 de mayo de 2021
por el que se establecen el Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad y la Red de Centros Nacionales de Coordinación
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 173, apartado 3, y su artículo 188, párrafo primero,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
De conformidad con el procedimiento legislativo ordinario (2),
Considerando lo siguiente:
(1) | La mayor parte de la población de la Unión está conectada a internet. La vida cotidiana de las personas y la economía se están volviendo cada vez más dependientes de las tecnologías digitales. Los ciudadanos y las empresas están cada vez más expuestos a incidentes ciberseguridad graves y numerosas empresas en la Unión sufren al menos un incidente de ciberseguridad cada año. Ello pone de manifiesto la necesidad de resiliencia, de mejorar la capacidad tecnológica e industrial y de aplicar normas elevadas en materia de ciberseguridad y buscar soluciones globales, que tengan en cuenta las personas, los productos, los procesos y la tecnología en la Unión, así como la necesidad de un liderazgo de la Unión en los ámbitos de la ciberseguridad y de la autonomía digital. La ciberseguridad también puede mejorarse incrementando la toma de conciencia de las ciberamenazas y mediante el desarrollo de las competencias, capacidades, y medios en toda la Unión, al tiempo que se toman debidamente en consideración las implicaciones y las preocupaciones sociales y éticas. |
(2) | La Unión ha ido incrementando de forma constante sus actividades para hacer frente a los crecientes desafíos en materia de ciberseguridad, de conformidad con la Estrategia de ciberseguridad presentada por la Comisión y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad (en lo sucesivo, «Alto Representante») en su Comunicación conjunta al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones de 7 de febrero de 2013 titulada «Estrategia de ciberseguridad de la Unión Europea: un ciberespacio abierto, protegido y seguro» (en lo sucesivo, «Estrategia de ciberseguridad de 2013»). El objetivo de la Estrategia de ciberseguridad de 2013 es fomentar un ecosistema de la ciberseguridad fiable, seguro y abierto. En 2016, la Unión adoptó las primeras medidas en el ámbito de la ciberseguridad con la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (3) sobre la seguridad de las redes y sistemas de información. |
(3) | En septiembre de 2017, la Comisión y el Alto Representante presentaron una Comunicación conjunta al Parlamento Europeo y al Consejo titulada «Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE», con el fin de seguir reforzando la resiliencia, la capacidad de disuasión y la respuesta de la Unión en relación con los ciberataques. |
(4) | En la Cumbre Digital de Tallin, celebrada en septiembre de 2017, los jefes de Estado o de Gobierno pidieron que la Unión se convirtiera en un líder mundial en ciberseguridad para 2025, a fin de garantizar la confianza, la seguridad y la protección de los ciudadanos, consumidores y empresas en línea y permitir una internet libre, más segura y legal, y declararon su intención de hacer un mayor uso de soluciones de código abierto y estándares abiertos a la hora de crear o renovar sistemas y soluciones de las tecnologías de la información y la comunicación (TIC), en particular evitando el efecto de cautividad, incluidos los desarrollados o promovidos por programas de la Unión en materia de interoperabilidad y normalización, como ISA2. |
(5) | El Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad (en lo sucesivo, «Centro de Competencia») establecido en el presente Reglamento debe contribuir a aumentar la seguridad de las redes y de los sistemas de información, incluidas internet y otras infraestructuras fundamentales para el funcionamiento de la sociedad, como los sistemas de transportes, los sistemas sanitarios y energéticos, las infraestructuras digitales, los sistemas hidrológicos, los mercados financieros y los sistemas bancarios. |
(6) | Una perturbación grave de las redes y de los sistemas de información puede afectar a los distintos Estados miembros y a la Unión en su conjunto. Por consiguiente, un elevado nivel de seguridad de las redes y de los sistemas de información en toda la Unión es fundamental tanto para la sociedad como para la economía. Actualmente, la Unión depende de proveedores de ciberseguridad no europeos. Sin embargo, es de interés estratégico para la Unión velar por que se conserven y desarrollen capacidades tecnológicas y de investigación esenciales en materia de ciberseguridad para garantizar la seguridad de las redes y de los sistemas de información de los ciudadanos y empresas y, en particular, para proteger las redes y los sistemas de información esenciales, así como para prestar servicios clave de ciberseguridad. |
(7) | La Unión dispone de un amplio arsenal de conocimientos especializados y experiencia en investigación, tecnología y desarrollo industrial en materia de ciberseguridad, pero los esfuerzos de la industria y del mundo de la investigación están fragmentados y carecen de coordinación y de una misión común, lo que dificulta la competitividad y la protección eficaz de las redes y sistemas en ese ámbito. Es preciso poner en común tales esfuerzos y conocimientos especializados, conectarlos en red y usarlos de manera eficiente para reforzar y complementar las capacidades de investigación, tecnológicas e industriales, así como las competencias existentes a escala nacional y de la Unión. Si bien el sector de las TIC se enfrenta a importantes retos, como satisfacer la demanda de trabajadores cualificados, puede beneficiarse de representar la diversidad del conjunto de la sociedad y alcanzar una representación equilibrada en lo que respecta a género, diversidad étnica y no discriminación de las personas con discapacidad, al igual que de facilitar el acceso a conocimientos y formación a futuros expertos en ciberseguridad, incluida la formación de tales expertos en contextos no formales, por ejemplo en proyectos de programas informáticos libres y de código abierto, proyectos de tecnología cívica, empresas emergentes y microempresas. |
(8) | Las pymes son partes interesadas fundamentales del sector de la ciberseguridad de la Unión y pueden ofrecer soluciones punteras gracias a su agilidad. Sin embargo, las pymes no especializadas en ciberseguridad también tienden a ser más vulnerables a los incidentes de ciberseguridad ya que es necesario un alto nivel de inversión y conocimientos para aplicar unas soluciones efectivas en materia de ciberseguridad. Por consiguiente, es preciso que el Centro de Competencia y la Red de Centros Nacionales de Coordinación (en lo sucesivo, «Red») presten apoyo a las pymes facilitando su acceso a los conocimientos y mediante un acceso adaptado a los resultados de la investigación y el desarrollo, para que puedan protegerse lo suficiente y para que las pymes que se dedican a la ciberseguridad sean competitivas y contribuyan al liderazgo de la Unión en ese ámbito. |
(9) | Los conocimientos especializados no se encuentran únicamente en los contextos industriales y de investigación. Los proyectos no comerciales y precomerciales, denominados «proyectos de tecnología cívica» utilizan estándares abiertos, datos abiertos y programas informáticos libres y de código abierto en interés de la sociedad y el bien público. |
(10) | El ámbito de la ciberseguridad es diverso. Por lo tanto, las partes interesadas pueden incluir partes interesadas de entidades públicas, los Estados miembros y la Unión, así como de la industria, de la sociedad civil, como sindicatos, asociaciones de consumidores, el sector de los programas informáticos libres y de código abierto y la comunidad académica y de investigación, así como otras entidades. |
(11) | En sus Conclusiones adoptadas en noviembre de 2017, el Consejo pedía a la Comisión que presentara con prontitud una evaluación de impacto sobre las opciones posibles para crear una red de centros de competencia en ciberseguridad y sobre un centro europeo de competencia e investigación en ciberseguridad, y que propusiera para mediados de 2018 el instrumento jurídico correspondiente para la creación de dicha red y dicho centro. |
(12) | La Unión sigue careciendo de capacidades y medios tecnológicos e industriales suficientes para proteger de manera autónoma su economía y sus infraestructuras vitales y convertirse en líder mundial en el ámbito de la ciberseguridad. Hay un nivel insuficiente de coordinación y cooperación estratégicas y duraderas entre la industria, los investigadores en ciberseguridad y los gobiernos. La Unión adolece de una inversión insuficiente y de un acceso limitado a los conocimientos, competencias e instalaciones en materia de ciberseguridad, y pocos son los resultados de la investigación y la innovación de la Unión en ciberseguridad que se plasman en soluciones comercializables o que se implantan en gran medida en todos los sectores de la economía. |
(13) | Crear el Centro de Competencia y la Red, con el mandato de adoptar medidas en apoyo de las tecnologías industriales, así como en el ámbito de la investigación y la innovación, es la mejor manera de realizar los objetivos del presente Reglamento, al tiempo que ofrece |
...