El 3 de diciembre de 2024 ENISA publicó el primer informe sobre el estado de la ciberseguridad en la Unión, de conformidad con lo establecido en el artículo 18 de la directiva NIS2. 

El informe ofrece una visión general basada en evidencias de la situación de la madurez en materia de ciberseguridad en la Unión Europea, así como una evaluación de sus capacidades de ciberseguridad. El informe también incluye recomendaciones para abordar las deficiencias detectadas y aumentar el nivel de ciberseguridad en la UE.

El análisis realizado se basa en diversas fuentes, entre las que se incluyen, entre otras, el Índice de Ciberseguridad de la UE, la serie de informes de inversión en NIS2, la prospectiva 2030 y el informe sobre el panorama de amenazas de ENISA, además de una amplia consulta con los 27 Estados miembros de la UE y la Comisión Europea.

Los principales hallazgos

El nivel de amenaza a la ciberseguridad en la UE durante el periodo de referencia se evaluó como sustancial. Es decir, es probable que las entidades sean objetivo directo de los agentes de la amenaza o estén expuestas a brechas a través de vulnerabilidades recién descubiertas, lo que hace posible que puedan ocurrir perturbaciones graves en entidades críticas e importantes o en las instituciones de la UE.

Por lo que se refiere a las capacidades de ciberseguridad a nivel de la UE, los Estados miembros han desarrollado estrategias de ciberseguridad que presentan una alineación general de objetivos. 

En cuanto a los sectores críticos en la UE, estos se caracterizan por ser más heterogéneos en términos de tamaño y criticidad lo que complica la supervisión y la implementación uniforme de las medidas de ciberseguridad.

Además, se aprecia con carácter general un aumento en cuanto a concienciación entre los ciudadanos de la UE. 

Por lo que se respecta al nivel de competencias digitales de las generaciones más jóvenes parece ser mayor, a pesar de las variaciones en la disponibilidad de programas educativos y la madurez educativa entre los Estados miembros.

El informe identifica cuatro áreas prioritarias:

• Implementación de políticas

• Gestión de cibercrisis,

• Cadena de suministro 

• Habilidades

Recomendaciones 

El resultado clave del informe son las seis recomendaciones siguientes que cubren las cuatro áreas prioritarias mencionadas anteriormente, además de las capacidades de los operadores de sectores críticos, la concienciación sobre la ciberseguridad y las medidas de ciberhigiene:

1. Reforzar el apoyo técnico y financiero prestado a las instituciones, órganos y agencias de la Unión Europea y a las autoridades nacionales competentes, así como a las entidades incluidas en el ámbito de aplicación de la Directiva NIS2.

2. Revisar el marco de la UE para la respuesta coordinada a los ciberincidentes a gran escala, como ha solicitado el Consejo de la UE.

3. Reforzar la mano de obra cibernética de la UE mediante la creación de la Academia de Competencias en Ciberseguridad de la UE y, en particular, mediante el establecimiento de un enfoque común de la UE para la formación en ciberseguridad, la identificación de las necesidades futuras en materia de capacidades y la creación de un sistema europeo de certificación de las capacidades en materia de ciberseguridad.

4. Abordar la seguridad de la cadena de suministro en la UE mediante la intensificación de las evaluaciones de riesgos coordinadas a escala de la UE y el desarrollo de un marco político horizontal de la UE para la seguridad de la cadena de suministro destinado a abordar los retos de ciberseguridad a los que se enfrentan tanto el sector público como el privado.

5. Mejorar la comprensión de las especificidades y necesidades sectoriales, mejorar el nivel de madurez en materia de ciberseguridad de los sectores cubiertos por la Directiva NIS y utilizar el futuro Mecanismo de Emergencia de Ciberseguridad que se establecerá en virtud de la Ley de Cibersolidaridad para la preparación y la resiliencia sectoriales, centrándose en los sectores débiles o sensibles y los riesgos identificados a través de evaluaciones de riesgos a escala de la UE.

6. Promover un enfoque unificado, armonizando los esfuerzos nacionales, para lograr un alto nivel común de concienciación sobre la ciberseguridad y la ciberhigiene entre los profesionales y los ciudadanos.