El Tribunal de Cuentas Europeo (TCE) ha publicado la quinta edición de este informe (PDF) en el que destaca que: «en general, el nivel de preparación no es es proporcional a las amenazas». Mal vamos.


El TCE recomienda la introducción de normas vinculantes en ciberseguridad, y que el equipo interinstitucional de respuesta a emergencias informáticas (CERT-UE) disponga de más recursos. La Comisión Europea debería también fomentar una mayor cooperación entre órganos de la UE, y, por otra parte, el CERT-UE y la Agencia de la Unión Europea para la Ciberseguridad deberían prestar mayor atención a los órganos con menor experiencia en la gestión de la ciberseguridad.

Entre 2018 y 2021, los incidentes de seguridad significativos se multiplicaron por diez en los órganos de la UE; además, el trabajo a distancia ha aumentado considerablemente el número de posibles puntos de acceso. En general, la causa de los incidentes significativos son complejos ciberataques que implican normalmente el uso de nuevos métodos y tecnologías, y pueden requerir semanas o incluso meses de investigación y de recuperación. Un ejemplo fue el ciberataque a la Agencia Europea de Medicamentos, en el que se filtraron y manipularon datos delicados con el propósito de socavar la confianza en las vacunas.

En palabras de Bettina Jakobsen, Miembro del Tribunal de Cuentas Europeo responsable del informe, «las instituciones, órganos y organismos de la UE son un blanco atractivo para los posibles atacantes, en particular para los grupos capaces de ejecutar ataques sigilosos muy sofisticados con fines de ciberespionaje y otros objetivos perversos. Estos ataques pueden tener importantes consecuencias políticas, dañar la reputación general de la UE y socavar la confianza en sus instituciones. La UE debe intensificar sus esfuerzos para proteger sus propias organizaciones.» La principal constatación de los auditores fue que las instituciones, órganos y organismos de la UE no siempre cuentan con una protección adecuada frente a los ciberataques. Estos no atienden a las cuestiones de ciberseguridad de manera coherente, no siempre establecen controles básicos y buenas prácticas clave de ciberseguridad, ni imparten formación en ciberseguridad de forma sistemática. La asignación de recursos a la ciberseguridad es muy dispar, y algunos órganos de la UE gastan mucho menos que otros similares. Aunque las diferencias en los niveles de ciberseguridad podrían justificarse teóricamente por los distintos perfiles de riesgo de cada organización y el grado variable de sensibilidad de los datos gestionados, los auditores hacen hincapié en que los puntos débiles de un solo órgano de la UE pueden exponer otras organizaciones a amenazas de ciberseguridad (los órganos de la UE están conectados entre sí, y a menudo con otras organizaciones públicas y privadas en los Estados miembros).

El Equipo de Respuesta a Emergencias Informáticas (CERT-UE) y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) son las dos principales entidades de la UE encargadas de prestar apoyo en materia de ciberseguridad. Sin embargo, por la limitación de recursos o la prioridad de otros ámbitos, no han podido facilitar toda la ayuda necesaria a los órganos de la UE. Los auditores también señalan deficiencias en el intercambio de información. Por ejemplo, no todos los órganos de la UE comunican a su debido tiempo las vulnerabilidades ni los incidentes significativos de ciberseguridad que les han afectado y que pueden tener un impacto sobre otros.

Información de referencia

Actualmente no existe un marco legal para la seguridad de la información y la ciberseguridad en las instituciones, órganos y organismos de la UE. No están sujetos a la legislación más amplia de la Unión en materia de ciberseguridad (Directiva SRI 2016) ni a su propuesta de revisión (Directiva SRI2). Tampoco existe información completa sobre el importe invertido por los órganos de la UE en ciberseguridad. La normativa común sobre seguridad de la información y ciberseguridad de todos los órganos de la UE figura en la Comunicación sobre la Estrategia de la UE para una Unión de la Seguridad para el período 2020-2025, que publicó la Comisión en julio de 2020. En la Estrategia de Ciberseguridad de la UE para la Década Digital, publicada en diciembre de 2020, la Comisión se comprometió a proponer un reglamento relativo a las normas de ciberseguridad comunes para los órganos de la UE. También propuso el establecimiento de un nuevo fundamento legal para que el CERT-UE refuerce su mandato y su financiación.

FuenteTribunal de Cuentas Europeo
Artículo anteriorGuía de protección de datos para los colegios profesionales y consejos de colegios
Artículo siguienteEspaña podría ahorrar 60.000 millones mejorando la eficiencia del gasto público
Enrique Pampliega
Con más de tres décadas dedicadas a integrar la geología con las tecnologías digitales, he desempeñado múltiples funciones en el Ilustre Colegio Oficial de Geólogos (ICOG) desde 1990. Mi trayectoria incluye roles como jefe de administración, responsable de marketing y calidad, community manager y delegado de protección de datos. He liderado publicaciones como El Geólogo y El Geólogo Electrónico, y he gestionado proyectos digitales innovadores, como la implementación del visado electrónico, la creación de sitios web para el ICOG, la ONG Geólogos del Mundo y la Red Española de Planetología y Astrobiología, ente otros. También fui coordinación del GEA-CD (1996-1998), una recopilación y difusión de software en CD-ROM para docentes y profesionales de las ciencias de la Tierra y el medio ambiente. Además de mi labor en el ICOG, he participado como ponente en eventos organizados por Unión Profesional y la Unión Interprofesional de la Comunidad de Madrid, abordando temas como la calidad en el ámbito colegial o la digitalización en el sector. También he impartido charlas sobre búsqueda de empleo y el uso de redes sociales en instituciones como la Universidad Complutense o el Colegio de Caminos de Madrid. En 2003, inicié el Blog de epampliega, que en 2008 evolucionó a Un Mundo Complejo. Este espacio personal se ha consolidado como una plataforma donde exploro una amplia gama de temas, incluyendo geología, economía, redes sociales, innovación y geopolítica. Mi compromiso con la comunidad geológica fue reconocido en 2023, cuando la Asamblea General del ICOG me distinguió como Geólogo de Honor. En 2025 comienzo una colaboración mensual con una tribuna de actualidad en la revista OP Machinery.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí