Nuevas normas sobre seguridad de la información
Propuesta de Reglamento sobre la seguridad de la información en las instituciones, órganos y organismos de la Unión
Contexto
Debido a la creciente cantidad de información sensible no clasificada y de información clasificada de la Unión Europea (ICUE) que las instituciones, órganos y organismos de la Unión deben compartir entre sí, y ante la drástica evolución del panorama de amenazas, la Administración europea está expuesta a ataques en todos sus ámbitos de actividad. La información que manejan nuestras instituciones, órganos y organismos es muy valiosa para muchos agentes de amenazas diferentes y necesita una protección adecuada.
Los Estados miembros ya han pedido a nuestras instituciones que avancen en esa dirección. Una característica clave de la Agenda Estratégica para 2019-2024, adoptada por el Consejo Europeo en junio de 2019, es proteger a nuestras sociedades de las amenazas dirigidas contra la información tratada por la administración europea. En sus conclusiones, el Consejo Europeo invitó a «las instituciones de la UE, junto con los Estados miembros, a elaborar medidas destinadas a reforzar la resiliencia, a mejorar la cultura de seguridad de la UE frente a las amenazas híbridas y las ciberamenazas procedentes de fuera de la UE y a proteger mejor de todo tipo de actividades malintencionadas las redes de información y comunicación de la UE y los procesos decisorios de esta».
En julio de 2020, la Comisión adoptó su Estrategia de la UE para una Unión de la Seguridad, en la cual se comprometió a complementar los esfuerzos nacionales en el ámbito de la seguridad. En este compromiso se inscribe la iniciativa de armonizar los marcos jurídicos internos para la seguridad de la información en todas las instituciones, órganos y organismos de la Unión.
Objetivos
El objetivo general de esta propuesta es crear un conjunto normalizado de normas de seguridad de la información de alto nivel para todas las instituciones, órganos y organismos de la Unión a fin de garantizar un grado de protección reforzado y coherente frente a las amenazas cambiantes que afectan a esa información.
El objetivo general se traduce en cuatro objetivos específicos:
- establecer categorías de información armonizadas y exhaustivas basadas en el nivel de confidencialidad;
- detectar las carencias en materia de seguridad y aplicar las medidas necesarias;
- crear un foro de cooperación eficiente para la seguridad de la información entre las instituciones, órganos y organismos de la Unión;
- modernizar las políticas de seguridad de la información, teniendo en cuenta las tendencias actuales, como la transformación digital y el teletrabajo.
Preguntas y respuestas
¿Por qué propone la Comisión un Reglamento sobre la seguridad de la información en las instituciones, órganos y organismos de la Unión?
En la actualidad, cada institución, órgano u organismo de la Unión tiene sus propias normas de seguridad de la información, salvo que no las hayan adoptado en absoluto. La fragmentación del marco jurídico aplicable ha dado lugar a diferencias significativas entre los niveles de protección que estas organizaciones pueden garantizar para la información que manejan. Esta situación aumenta el riesgo de que los atacantes vulneren la seguridad en el eslabón más débil y lo utilicen como punto de partida para nuevos ataques contra otras instituciones u organismos.
Con la creación de un conjunto único de normas sobre seguridad de la información en todas las instituciones, órganos y organismos de la Unión, la Comisión propone una base de referencia común con normas estrictas para la protección de la información tratada. Además, las normas armonizadas facilitarán el intercambio de información entre las instituciones, órganos y organismos, así como con los Estados miembros.
¿A quién se aplicará el Reglamento propuesto?
La presente propuesta establece normas aplicables a la administración de la Unión (instituciones, órganos y organismos). Podrá imponer indirectamente obligaciones a las personas que desempeñen funciones en nombre de esta administración o sobre una base contractual (excluidos los comisarios, los representantes de los Estados miembros en el seno del Consejo, los miembros del Parlamento Europeo, los jueces de los tribunales de la Unión o los miembros del Tribunal de Cuentas Europeo).
La propuesta de Reglamento no se aplica a los Estados miembros.
¿Qué categorías de información cubre esta propuesta de Reglamento?
La propuesta abarca la información clasificada y no clasificada de la UE, y se aplica a los siguientes niveles de confidencialidad:
- tres niveles de información no clasificada: uso público, normal y sensible no clasificada;
- cuatro niveles de ICUE: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENCIAL, SECRET UE/EU SECRET, TRES SECRET UE/EU TOP SECRET.
¿Se revisarán las normas propuestas?
La Comisión evaluará el Reglamento cada cinco años, a partir de la fecha en que comienza a aplicarse, a fin de valorar sus efectos reales y la necesidad de adoptar nuevas medidas.
Además, la Comisión presentará periódicamente informes sobre la aplicación de este Reglamento al Parlamento Europeo y al Consejo.
¿Cuáles son las siguientes etapas?
La propuesta de la Comisión seguirá el proceso legislativo ordinario en el Parlamento Europeo y el Consejo para su adopción.
En la reunión informal de ministros de Telecomunicaciones celebrada en Nevers el 9 de marzo de 2022 se hizo un llamamiento a las instituciones, agencias y organismos de la UE para que siguieran reforzando su ciberseguridad y su seguridad de la información, dado que la UE se ha convertido en un actor estratégico clave cuyo papel en la escena internacional requiere proteger sus datos y sus redes contra las amenazas cibernéticas.
Documentos
Impact analysis accompanying the proposal
JRC study on information security in the age of EU institutions digitalisation
Enlaces relacionados
The EU Security Union Strategy: European Security Union
Decisiones de la Comisión
Estrategia de la UE para una Unión de la Seguridad: Unión Europea de la Seguridad | Comisión Europea (europa.eu)
El objetivo de la seguridad en la Comisión es permitir que esta opere en un entorno seguro y protegido. Esta institución debe garantizar la seguridad de las personas, los activos y la información en la Comisión sobre la base de la Decisión (UE, Euratom) 2015/443 de la Comisión, sobre la seguridad de la Comisión, y la Decisión (UE, Euratom) 2015/444 de la Comisión, sobre las normas de seguridad para la protección de la información clasificada de la UE. Esto incluye, en particular, la integridad física de las personas y los bienes, la integridad, confidencialidad y disponibilidad de la información y de los sistemas de comunicación e información, así como el funcionamiento sin obstáculos de las operaciones de la Comisión.
En este contexto, la Comisión puede tener que tratar datos personales. Tales actividades de tratamiento se realizan de conformidad con el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE.
Declaraciones de confidencialidad sobre los procedimientos pertinentes en materia de seguridad:
Documents
- Descargarfrançais(731.92 KB - PDF)
- Descargarfrançais(495.62 KB - PDF)