Mientras Bruselas se prepara para presentar la versión revisada de la Ley de Ciberseguridad de la UE, se abre una oportunidad poco frecuente para reforzar sus cimientos y crear una legislación más ambiciosa, centrada en fomentar la interoperabilidad con el fin de mejorar la resiliencia en toda la Unión. El sector de la ciberseguridad ha experimentado enormes cambios desde que la Ley se aprobó en 2019. La amplia disponibilidad de la IA generativa y el posterior auge de la IA agéntica han hecho que los actores maliciosos encuentren formas mucho más ingeniosas de lanzar ataques y vulnerar las defensas.

Junto con la diversificación de los vectores de ataque, la enorme velocidad de la industria tecnológica y la digitalización generalizada hacen que la creación de una regulación de ciberseguridad actualizada sea cada vez más compleja. Por este motivo, cualquier revisión de la Ley de Ciberseguridad de la UE debería centrarse en dotar al bloque de los medios necesarios para navegar e implementar de forma eficaz las normas de ciberseguridad y los marcos de certificación en los 27 Estados miembros, alineándolos con los marcos internacionales, reforzando la colaboración público-privada y favoreciendo su adopción en el mercado.

Aunque la Ley de Ciberseguridad original fue una iniciativa regulatoria bienvenida y sin duda ha elevado la postura de ciberseguridad de la UE, todavía se puede hacer más para impulsar la resiliencia. En la actualidad, existen varias normativas de ciberseguridad que se están implementando a ritmos distintos, con diferentes niveles de madurez y, en algunos casos, de al menos 27 maneras distintas en los Estados miembros. Las modificaciones locales, combinadas con la falta de definiciones armonizadas y de requisitos de notificación coherentes, están teniendo el efecto contrario al que pretendía el acervo normativo europeo en materia de ciberseguridad. La Unión Europea está desplegando actualmente el Paquete Ómnibus Digital, cuyo objetivo es alinear los distintos requisitos de notificación de incidentes establecidos en la numerosa legislación existente. Para lograr plenamente este objetivo, los colegisladores deben garantizar que el mandato revisado de ENISA esté alineado con sus nuevas obligaciones derivadas de NIS2 y de la Ley de Resiliencia Cibernética.

Como primer paso para resolver este problema de fragmentación, es imprescindible conceder a ENISA un aumento significativo de recursos y financiación acorde con la misión que se le está encomendando. Con los recursos adecuados, ENISA podría colaborar más estrechamente con las agencias nacionales de ciberseguridad para desarrollar de manera eficaz marcos sólidos y transfronterizos, y ofrecer normas y directrices unificadas con la urgencia que exige nuestro entorno de amenazas. Más allá de la coordinación, el papel de ENISA en la supervisión del panorama de amenazas y en la provisión de inteligencia central debería reforzarse de forma significativa en la revisión, para garantizar que las organizaciones se mantengan por delante de los riesgos emergentes.

Por último, la revisión de la Ley de Ciberseguridad debería centrarse en agilizar el desarrollo de nuevos esquemas de certificación de las TIC, un proceso que ha demostrado ser complejo en los últimos años, con tan solo un esquema de la UE adoptado hasta la fecha. Respaldar un marco que fomente la aportación de expertos y de las partes interesadas en la definición de los criterios técnicos podría ser un componente clave para una adopción y un despliegue más rápidos y escalables de estos esquemas.

En definitiva, cualquier revisión de la Ley de Ciberseguridad de la UE debería abordar los problemas de fragmentación y aislamiento mediante el impulso de la armonización y la colaboración. Los actores de las amenazas no van a quedarse de brazos cruzados, y es necesario dotar a ENISA de la capacidad para actuar como la fuerza unificadora que impulse la inteligencia de amenazas transfronteriza y establezca una base de prácticas comunes que se adopten en toda la región.

Por Casper Klynge, director de Alianzas Gubernamentales, Zscaler EMEA