18/01/2025
3 min readEl 15 de enero de 2024 se han publicado dos Reglamentos que dan un paso más en la ciberprotección de la Unión Europea.
El Reglamento (UE) 2025/38 del Parlamento y del Consejo, de 19 de diciembre de 2024, por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos, en concreto a incidentes de ciberseguridad significativos y a gran escala.
Para llevar adelante sus objetivos el Reglamento prevé los siguientes instrumentos:
La creación de una red de centros cibernéticos paneuropea o “Sistema Europeo de Alerta de Ciberseguridad” para desarrollar capacidades coordinadas de detección y conciencia situacional, reforzando las capacidades de la Unión de detección de amenazas y puesta en común de información;
La creación de un Mecanismo de Emergencia en materia de Ciberseguridad para ayudar a los Estados miembros a prepararse, responder a incidentes de ciberseguridad significativos y a gran escala. Como parte de este Mecanismo, deberá crearse gradualmente una Reserva de Ciberseguridad de la UE, compuesta por servicios de proveedores de servicios de seguridad gestionados de confianza para apoyar la respuesta e iniciar acciones de recuperación en caso de incidentes de ciberseguridad significativos, a gran escala o equivalentes a gran escala que afecten a los Estados miembros, a las instituciones, órganos y organismos de la Unión o a terceros países asociados al Programa Europa Digital;
La creación de un Mecanismo Europeo de Revisión de Incidentes de Ciberseguridad para revisar y evaluar incidentes de ciberseguridad significativos o a gran escala específicos.
El Departamento de Seguridad Nacional es el punto de contacto de España con la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en el proyecto piloto del Mecanismo de Emergencia en materia de Ciberseguridad (ENISA Cybersecurity Support Action).
El Reglamento (UE) 2025/37 del Parlamento europeo y del Consejo de 19 de diciembre de 2024 por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados.
Con esta modificación, se incluye la posibilidad de elaboración de esquemas europeos de certificación para los servicios de seguridad gestionados, además de los ya incluidos referentes a productos, servicios y procesos de TIC.
Como indica la directiva NIS2, los proveedores de servicios de pruebas de penetración, las auditorías de seguridad y la consultoría desempeñan un papel especialmente importante prestando asistencia a las entidades en sus esfuerzos de prevención, detección, respuesta y recuperación en relación con los incidentes. No obstante, los propios proveedores de servicios de seguridad gestionados también han sido víctimas de ciberataques y plantean un riesgo especial como consecuencia de su estrecha integración en las actividades de sus clientes.
La certificación de los servicios de seguridad gestionados sería de aplicación en el marco del proceso de selección de la Reserva de Ciberseguridad de la UE establecida por el Reglamento Europeo de Cibersolidaridad y constituiría, además, un indicador de calidad fundamental para las entidades públicas y privadas que tengan intención de contratar esos servicios.