F. Pérez Bes, socio de Derecho Digital en Ecix RegTech
El Servicio de Estudios del Parlamento Europeo ha emitido una publicación llamada Ten Issues to watch in 2023, donde se analiza exhaustivamente las 10 principales problemáticas a afrontar por parte de Europa a lo largo de 2023. Cabe destacar que la ciberseguridad se constituye como una de ellas. Así, en particular, el Capítulo séptimo va dedicado a la ciberresiliencia en la Unión Europea (UE), donde se exponen los principales retos y desafíos que presenta esta cuestión.
La reciente invasión de Ucrania ha dado protagonismo a la necesidad de ciberresiliencia en Europa, debido al aumento del número y de la sofisticación de los ciberataques, llegando -incluso- a alcanzar la preocupante cifra de un ataque de ransomware cada 11 segundos. Las previsiones auguran que esta intensidad seguirá aumentando en 2023, pudiendo llegarse a un ataque cada dos segundos, lo que previsiblemente provocaría un volumen de pérdidas que pueden llegar hasta los 10.5 billones de dólares.
En esta línea de aportación de datos estadísticos, el Informe de ENISA titulado «Threat Landscape«, publicado en 2022, concluye que en Europa se roban 10 terabytes de datos cada mes. Mientras que el Informe anual sobre Internet elaborado por CISCO determina que los ataques de DDoS han alcanzado la cifra de 15.4 millones en el inicio de 2023, afectando principalmente a sectores como proveedores de servicios médicos, aeropuertos, ministerios, cadenas hoteleras, bancos, cableados o gaseoductos, proveedores de servicios en línea o cadenas de suministro.
A la vista de que esta situación probablemente se agrave en los próximos meses, el documento advierte de que la protección de las infraestructuras críticas debe ser un objetivo primordial para la Unión Europea. Por ello, la Dirección del CER (Entidades Críticas y Resiliencia en la UE), junto con la revisión de la Directiva NIS2, han comenzado a actuar como punta de lanza contra estas amenazas, tratando de forzar la cooperación de los estados miembros para prevenir las mismas, más especialmente ahora, tras la reciente publicación, el pasado 27 de diciembre de 2022, de la nueva Directiva de mejora de la resiliencia de entidades críticas.
Otro punto urgente es el refuerzo de las infraestructuras 5G, puesto que muchos servicios esenciales dependen de ellas, especialmente los servicios digitales. Por ello, se ha promovido una política de ciberdefensa específica para la UE, junto con el desarrollo de infraestructuras para la resiliencia, interconectividad y seguridad por satélite (Iris2), que tendrán por objeto la defensa de la conectividad de las infraestructuras críticas, y que se prevé que esté operativo en 2024.
Asimismo, se hace referencia a la promoción de la capacidad operacional de las empresas europeas, con especial incidencia en aquellas centradas en el desarrollo de la infraestructura de supercomputación de la UE, cuyo objetivo principal consiste en el desarrollo de los seis primeros ordenadores cuánticos, previstos para la segunda mitad del 2023.
Resulta imprescindible, también, la protección de los dispositivos conectados, como las aplicaciones de seguridad en hogares, cámaras inteligentes o juguetes conectados a internet, puesto que ofrecen a los ciberdelincuentes una gran exposición de ataque. Por ello, la Ley de Ciberresiliencia de la Unión impone una serie de obligaciones a los proveedores de estos servicios y productos, con el objeto de proteger a los consumidores y a la seguridad nacional de los países.
La protección de la cadena de suministro es otro de los elementos clave para la ciberseguridad en 2023. En este sentido, se busca garantizar un nivel adecuado de seguridad respecto de las operaciones realizadas por los vendedores/operadores de alto riesgo, como es el caso de Huawei, que deberán adaptar sus políticas de ciberseguridad a tales medidas. Del mismo modo, tendrá lugar la consolidación de los esquemas de certificación en ciberseguridad de la Unión Europea para ciberseguridad de los productos TIC y para los servicios en nube.
Por último, el otro elemento a destacar es el de la necesidad de captar y retener talento, donde va a ser necesario poder superar el déficit de competencias en ciberseguridad que, según este informe, existe a día de hoy, aportando por el fomento de un marco europeo de competencias en ciberseguridad.
