La Ley de Solidaridad Cibernética de la UE ya está en camino: esto es lo que significa

Por Phil Muncaster • 14 de enero de 2025

La UE no carece de legislación en materia de ciberseguridad. Durante el año pasado, ha introducido leyes que abarcan dispositivos inteligentes, seguridad de la IA, servicios financieros, “importante” y “esencial” entidades y certificaciones de seguridadSin embargo, hasta ahora no ha habido una estrategia continental para ayudar a prepararse, detectar y responder a incidentes cibernéticos a gran escala en toda la UE. Ley de Solidaridad Cibernética de la UE, que se espera que cobre un impulso significativo en 2025.

Promete mucho, pero afortunadamente para la mayoría de las organizaciones del Reino Unido, les exigirá poco.

Por qué lo necesitamos

Aunque la Comisión Europea propuso la Ley de Solidaridad Cibernética en abril de 2023, las semillas de su creación se plantaron hace un año cuando Se seleccionaron tres consorcios de Centros de Operaciones de Seguridad (SOC) transfronterizosNo es casualidad que a principios de ese año Rusia invadiera Ucrania. La amenaza de incursiones digitales respaldadas por el Estado y grupos de ciberdelincuentes bien financiados que operan con impunidad desde jurisdicciones fuera de su alcance sin duda habrán consolidado los planes para llevar a cabo el acto.

Como lo reconocen la NIS 2, la DORA, la Ley de Ciberseguridad, la Ley de Ciberresiliencia, la Ley de Inteligencia Artificial y otras leyes, los ciberataques representan una amenaza social y económica creciente para la UE. Podrían amenazar la estabilidad del sistema financiero y los servicios de salud vitales, como lo demuestran las interrupciones de TI relacionadas con el ransomware en los hospitales de toda la región. También amenazan con difundir información errónea y socavar las elecciones, por no mencionar la seguridad nacional. Y las violaciones de datos están alimentando una epidemia de fraude. Fraude en los pagos solo valía 2 millones de euros en el primer semestre de 2023, mientras que la UE estima que el cibercrimen en general cuesta 5.5 billones de euros anuales. Este último representa más de una cuarta parte del PIB total de la UE.

Según Microsoft, estas tendencias están convergiendo. En su reciente informe Informe de Defensa Digital 2024El gigante tecnológico advirtió que las líneas entre la actividad de los estados nacionales y la de los delitos cibernéticos se están difuminando cada vez más. Esto significa que hay más actores estatales motivados por el lucro, como Corea del Norte e Irán, y grupos patrocinados por el estado que utilizan tácticas, técnicas y procedimientos de delitos cibernéticos. Quizás lo más preocupante es que también significa que los piratas informáticos respaldados por el estado subcontratan operaciones a grupos de delitos cibernéticos, presumiblemente para una negación plausible. Microsoft ya ha observado que los piratas informáticos del Kremlin recurren a la ayuda de Storm-0593 para atacar a organizaciones ucranianas.

A medida que el panorama de amenazas se vuelve más fluido y opaco a medida que aumentan las tensiones geopolíticas, es justo que la UE busque construir un aparato de respuesta a incidentes y ciberresiliencia a nivel regional.

¿Qué exigirá la ley?

La ley consta de tres elementos principales. Su objetivo es introducir:

Un escudo europeo de ciberseguridad: También conocido como Sistema Europeo de Alerta de Ciberseguridad, comprenderá una serie de Centros de Operaciones de Seguridad (SOC) nacionales y transnacionales en todo el bloque, diseñados para aprovechar el poder de la IA y el análisis para detectar y compartir advertencias de amenazas.

Un mecanismo de emergencia cibernética: Diseñado para mejorar la preparación y la respuesta ante incidentes, principalmente a través de una Reserva de Ciberseguridad de la UE. Estará compuesta por “proveedores de confianza” preseleccionados del sector privado que pueden desplegarse a petición de la UE o de los Estados miembros para ayudar en caso de incidentes de seguridad importantes.

El Mecanismo de Emergencia Cibernética también promete apoyar la idea de la asistencia mutua entre los Estados miembros afectados por incidentes, así como la selección y la realización periódica de pruebas de vulnerabilidad de sectores de infraestructuras críticas, como la atención sanitaria y las finanzas. Los sectores que se someterán a pruebas se seleccionarán de acuerdo con una evaluación de riesgos común a nivel de la UE.

Un mecanismo de revisión de incidentes de ciberseguridad: Diseñado para evaluar y revisar incidentes graves a petición de la Comisión Europea o de las autoridades nacionales. La agencia de seguridad ENISA llevará a cabo la revisión y entregará un documento de lecciones aprendidas que contenga recomendaciones para mejorar la postura de seguridad del bloque.

Jeff Le, vicepresidente de asuntos gubernamentales globales y políticas públicas de la plataforma de riesgo de terceros SecurityScorecard, le dice a ISMS.online que la iniciativa puede necesitar más de los 1.1 millones de euros (920 millones de libras esterlinas) que actualmente tiene asignados.

“En EE.UU., el sistema de ayuda mutua es más maduro y merece una consideración significativa en la UE en caso de un incidente catastrófico que paralice a los estados miembros”, añade.

“ENISA debería asumir un papel más amplio que el de los programas y tratar de aumentar su participación en el liderazgo intelectual. En particular, se necesitan asociaciones más profundas con el NIST y otros organismos de normalización globales para centrarse en las métricas, normas y marcos de seguridad de la resiliencia de la cadena de suministro, a medida que se hace evidente el impulso a la armonización”.

Le añade que los informes de incidentes de la UE también podrían beneficiarse de una alineación más estrecha con los regímenes globales de informes de incidentes de infraestructura crítica, como el proceso CIRCIA de EE.UU.

“Los informes deberían estar más alineados y se debería explicar claramente qué información es esencial para los responsables de las políticas y los CISO”, sostiene. “Dados los problemas recientes con Volt y Salt Typhoon en la infraestructura crítica, también debería hacerse mayor hincapié en la evaluación de las telecomunicaciones. Si bien se mencionan otros sectores, no se menciona este espacio vulnerable”.

Cómo prepararse para ello

La ley exigirá poco a la mayoría de las empresas del Reino Unido.

“Tras el Brexit, el Reino Unido no formará parte de los mecanismos de cooperación introducidos por la Ley de Solidaridad Cibernética”, explican a ISMS.online Sarah Pearce y David Dumont, socios de Hunton Andrews Kurth.

“La ley no se aplicará a todas las organizaciones, sino solo a aquellas que operan en sectores altamente críticos. Como mínimo, las organizaciones deben mantenerse al día con los avances y evaluar si se encuentran o no dentro del alcance de la legislación. Las que se encuentren dentro del alcance pueden estar sujetas a 'pruebas de preparación coordinadas', por lo que el CISO y otros equipos internos relevantes deberán incluir dichas pruebas en sus programas de gobernanza”.

Sin embargo, ISMS.online entiende que solo las organizaciones de infraestructura crítica con operaciones en la UE podrían estar sujetas a estos requisitos.

Edward Machin, asesor de Ropes & Gray, también advierte que si estas pruebas revelan vulnerabilidades críticas a las amenazas cibernéticas, dichas organizaciones pueden estar expuestas a “riesgos más amplios de aplicación y reputación” relacionados con el incumplimiento de otras leyes cibernéticas de la UE.

“Los CISO de sectores industriales críticos que se han estado preparando para otras leyes cibernéticas de la UE deberían descubrir que esos preparativos los mantienen en buena posición para responder a posibles solicitudes de pruebas que se realicen en virtud de la Ley de Solidaridad Cibernética”, le dice a ISMS.online.

“Dado que otras leyes cibernéticas de la UE tienen y tendrán un mayor impacto para los CISO en el día a día, sugeriría centrarse en esas leyes por el momento, al tiempo que se mantiene un seguimiento atento de la ley”.

El Parlamento Europeo y el Consejo alcanzaron un acuerdo provisional sobre la legislación en marzo de 2024, y el texto provisional se publicó ese mismo mes. Sin embargo, no está claro cuándo podrán adoptarlo formalmente los legisladores. Se espera que haya mucho más en 2025.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 November 2025

El NCSC dice que “es hora de actuar”, pero ¿cómo?

El NCSC afirma: “Es hora de actuar”, pero ¿cómo?

Es inusual ver una carta abierta de un líder empresarial al comienzo de un informe gubernamental sobre ciberseguridad. Especialmente de alguien cuya empresa ha sido objeto de...

Phil Muncaster

La seguridad cibernética 16 October 2025

Lo que un ataque npm dice sobre los riesgos del software de código abierto

La historia de la seguridad de código abierto está repleta de ejemplos de fallos catastróficos y cuasi accidentes. Una campaña de criptomalware descubierta en...

Phil Muncaster

La seguridad cibernética 9 October 2025

¿Puede el Reino Unido crear un banner multimillonario para el sector de garantía de inteligencia artificial?

¿Puede el Reino Unido crear un sector de garantía de inteligencia artificial multimillonario?

El gobierno apuesta por la IA. Anunciado en enero, su Plan de Acción de Oportunidades de IA busca impulsar el crecimiento económico y mejorar la calidad de vida...

Phil Muncaster