Mandato y marco normativo de ENISA
El Reglamento (UE) 2019/881, comúnmente conocido en el momento de su adopción como la Ley de Ciberseguridad, sirve como Mandato y Marco Regulatorio de ENISA. Delinea la estructura y las responsabilidades clave de ENISA, la Agencia de Ciberseguridad de la Unión Europea, al tiempo que establece un marco de certificación de ciberseguridad para productos, servicios y procesos de TIC en toda la UE. Este reglamento es un componente fundamental de la estrategia de la UE para mejorar la ciberseguridad y crear un mercado único digital armonizado.
Estructura y secciones principales
- Mandato de la ENISA: El Reglamento establece de forma permanente la ENISA, reforzando su papel de apoyo a los Estados miembros y a las instituciones de la UE para mejorar la ciberseguridad, servir de centro de conocimientos especializados y reducir la fragmentación del mercado. La ENISA tiene la misión de ayudar en el desarrollo y aplicación de las políticas de la UE, promover el desarrollo de capacidades, apoyar la cooperación operativa y sensibilizar a la opinión pública sobre los riesgos de la ciberseguridad.
- Marco de certificación de la ciberseguridad: Una parte importante del Reglamento se dedica a crear un marco europeo de certificación de la ciberseguridad. Este marco pretende establecer unos esquemas de certificación comunes en toda la UE para aumentar la confianza en los productos, servicios y procesos de las TIC. Estos regímenes están diseñados para indicar los niveles de garantía de seguridad (básico, sustancial o alto) y pretenden unificar el panorama de la certificación, sustituyendo los regímenes nacionales por un planteamiento coherente a escala de la UE.
- Estructura administrativa: La ENISA opera bajo un Consejo de Administración, un Consejo Ejecutivo y un Grupo Consultivo, garantizando su funcionamiento eficaz y alineado con sus responsabilidades ampliadas. Además, se crea un Grupo Europeo de Certificación de la Ciberseguridad (ECCG) para ayudar en el desarrollo y la aplicación del marco de certificación de la ciberseguridad.
- Revisión y evaluación: El reglamento incluye disposiciones para la evaluación periódica del impacto de ENISA y la eficacia de los sistemas de certificación. La primera revisión exhaustiva se programó para 2024, y las siguientes tendrán lugar cada cinco años.
- Derogación del Reglamento anterior: El Reglamento deroga el anterior Reglamento (UE) nº 526/2013, lo que refleja la evolución del enfoque de la UE en materia de ciberseguridad y la creciente importancia de una respuesta sólida y unificada a las ciberamenazas.
La Directiva CER representa un importante paso adelante en los esfuerzos de la UE por salvaguardar las infraestructuras críticas frente a una amplia gama de amenazas. Al establecer obligaciones claras tanto para los Estados miembros como para las entidades críticas, la Directiva pretende crear un entorno más resistente y seguro en toda la Unión.