Establecida en 2004 por el reglamento de la UE 460/2004 (derogado por el Reglamento (UE) nº 526/2013), ENISA es una de las muchas agencias de la Unión Europea y tiene la importante responsabilidad de fomentar una cultura de Seguridad de la TI, competencia digital, ciber resiliencia y preparación cibernética.

La red de información y seguridad a la que contribuye la agencia está diseñada en beneficio de las sociedades de la UE en su conjunto, con referencia a los ciudadanos, las empresas, el sector público y el mercado laboral.

Desde su establecimiento formal, y siguiendo la Ley de Ciberseguridad, el papel de ENISA es ayudar a la Comisión Europea, los Estados miembros y las comunidades de la UE a adoptar y adoptar los estándares de ciberseguridad más recientes en vista de las amenazas presentes y futuras.

Según el Reglamento (UE) 2019/881, ENISA está compuesta por los siguientes organismos:

• Consejo de administración: garantiza el cumplimiento de la agencia con su estatuto y reglamento de fundación.

• Comité Ejecutivo: representa al órgano de toma de decisiones e instruye al consejo de administración sobre las decisiones a adoptar.

• Director ejecutivo: el DE gestiona la agencia y es responsable de sus funciones de forma independiente

• Redes de funcionarios de enlace nacionales: sirven de puente y median en la comunicación entre la agencia y cada estado miembro.

• Grupo Asesor: incluye un grupo externo de expertos que sustenta a ENISA en la planificación y desarrollo de programas de trabajo, gestión de partes interesadas y objetivos estratégicos

• Grupos de trabajo ad hoc: el DE selecciona expertos externos para abordar asuntos científicos / técnicos específicos (es decir, el borrador y la consolidación de una evaluación a escala multinacional)

Las áreas de interés de ENISA son muchas, pero se pueden dividir esencialmente en 7 grupos principales de actividades:

• Empoderar a las comunidades: ENISA reúne a partes interesadas nacionales e internacionales son relevantes para la ciberseguridad y mejora sus sinergias para escalar más fácilmente los nuevos modelos de ciberseguridad.

• Políticas de ciberseguridad: ENISA aporta fenómenos cualitativos y cuantitativos basados en evidencias que pueden informar mejor sobre las nuevas políticas sobre TI, innovación y desarrollo.

• Cooperación operativa - ENISA fortalece el eje entre los muchos actores socioeconómicos que pueden tener un impacto (o son impactados por) en un nuevo desarrollo innovador en el dominio de las TIC y, lo más importante, la ciberseguridad.

• Desarrollo de capacidades: ENISA proporciona un uso fácil e intuitivo sobre ciberseguridad a disposición de todos los ciudadanos y / o empresas privadas.

• Soluciones fiables: ENISA monitoriza y evalúa nuevos productos y servicios digitales que abordan soluciones de ciberseguridad para sociedades, mercados y economías.

• Previsión: ENISA contribuye a desarrollar nuevas estrategias de mitigación de la exposición de las sociedades y economías de la UE a las ciberamenazas

• Conocimiento: ENISA representa un punto de encuentro vibrante para que profesionales y expertos intercambien sus mejores prácticas

Como representante formal del sector privado, ¿por qué debería ni siquiera fijarse en ENISA?

Tómese su tiempo para explorar la plataforma y familiarizarse con todos los recursos disponibles.

La Organización Europea para la Ciberseguridad (ESCO) se encuentra entre las principales partes interesadas de la UE en el ámbito de la seguridad de las tecnologías de la información y la preparación cibernética. El principal objetivo de la organización sigue siendo promover un ecosistema de la UE dedicado a fomentar la investigación y la concienciación en el ámbito de la ciberseguridad.

• ESCO es un socio privilegiado tanto de la Comisión Europea como de ENISA, uniendo instituciones públicas y privadas que operan a nivel nacional e internacional

• ESCO apoya la implementación de estrategias clave de ciberseguridad destinadas a sostener la "ciber-transición" de las organizaciones públicas y privadas.

• ESCO ayuda a los organismos y agencias de la UE a desarrollar nuevas políticas y recomendaciones que encuentren aplicación a nivel nacional.

Las áreas de interés de ESCO se asignan a grupos de trabajo específicos (GT):

• GT1 – Gestión de la normalización, certificación y cadenas de suministros

• GT2 – Despliegue de mercado, inversiones y colaboración internacional

• GT3 – Ciberresiliencia de la economía, las infraestructuras y los servicios

• GT4 – Apoyo a PYMES, coordinación con países y regiones

• GT5 – Educación, formación, concienciación y ciber autonomías

• GT6 – Agencia de innovación e investigación estratégica (AIIE) y tecnologías de ciberseguridad

De manera más general, la ESCO aborda todos los dominios transversales de referencias para ayudar al surgimiento de una cultura de ciberseguridad sólida y extendida en la UE

Cada grupo de trabajo es responsable de la publicación y promoción de una gran cantidad de informes que proporcionan una gran cantidad de información útil.

Los análisis de ESCO son sólidos y fiables, los usuarios pueden acceder a ellos de forma gratuita y obtener información realmente útil y las muchas áreas de interés diferentes abordadas por ESCO.

No dude en navegar por la sección de publicaciones así como por el resto de actividades que lleva a cabo la organización.

En diciembre de 2020, la Comisión Europea y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad lanzaron la nueva Estrategia de Ciberseguridad de la UE para la Década Digital (2019-2024).  Estrategia de ciberseguridad de la UE para la Década Digital (2019-2024).

La estrategia representa un componente clave de otras tres prioridades de la UE a largo plazo (Dar forma al futuro digital de Europa, el Plan de recuperación para Europa y la Estrategia de la Unión de la Seguridad de la UE) que responden a la necesidad de fomentar la preparación tecnológica y la competitividad de las sociedades y economías de la UE.

La ciber resiliencia de la UE es un elemento central de la nueva estrategia de ciberseguridad y permite a los Estados miembros de la UE adoptar e implementar nuevas normas de rendimiento para garantizar un entorno digital seguro para sus ciudadanos y empresas. La estrategia se basa en tres pilares clave: resiliencia, capacidad operativa, cooperación internacional.

RESILIENCIA

La resiliencia, la soberanía tecnológica y el liderazgo es la primera línea de la nueva estrategia de ciberseguridad.

Con eso, la Comisión Europea quiere promover nuevos estándares de calidad para la seguridad de las redes de TI de las infraestructuras y servicios nacionales críticos, como pueden ser los sistemas financieros y de salud pública.

Reviste especial interés la dimensión de la educación y la formación, ya que en este pilar la Comisión Europea prevé medidas de apoyo concretas para las PYMES y las organizaciones privadas, tales como:

CAPACIDAD OPERATIVA

Por capacidad operativa nos referimos a la idoneidad y eficacia de los Estados miembros de la UE a la hora de evaluar, prevenir/desalentar y responder a las ciberamenazas

En ese sentido, tanto la Comisión Europea como los Altos Representantes destacan con especial énfasis el objetivo primordial de salvaguardar de ataques maliciosos todas las infraestructuras críticas de las sociedades modernas y las que impactan en procesos democráticos, infraestructuras de cadenas de suministro, etc.

También se fomentan entre los Estados miembros nuevos programas transnacionales de creación de capacidades como uno de esos medios fundamentales para construir un nuevo ecosistema cibernético de la UE.

COOPERACIÓN INTERNACIONAL

Se abordará e implementará una estrategia renovada sobre ciberseguridad en cooperación con las partes interesadas internacionales con miras a una estabilidad mundial.

La Comisión Europea tiene previsto intensificar el diálogo con terceros países y grandes organizaciones internacionales que pueden ser de gran ayuda para establecer una agenda global centrada en la comunidad para la seguridad de las tecnologías de la información.

Estos grupos de interés representarán a los socios institucionales de la Comisión Europea a lo largo de esta inédita programación de 7 años de acciones y medios de apoyo.

La directiva NIS es una de las leyes más importantes, y está encargada de regular un alto nivel común de ciberseguridad y sistema de información en toda la Unión Europea.

Adoptada en 2016, la directiva otorga a cada Estado miembro ciertos grados de "autonomía" para su aplicación a nivel nacional, teniendo en cuenta circunstancias específicas y factores contextuales.

Los ciudadanos pueden controlar el estado de aplicación de la directiva consultando el  estado de su transposición.

Los pilares de la directiva NIS
 

Los Estados miembros de la UE deben desarrollar ciertos estándares de desempeño en ciberseguridad en términos de capacidades y redes de apoyo (por ejemplo, Equipo de respuesta a incidentes de seguridad informática (ERISI).

• COLABORACIÓN TRANSFRONTERIZA

Los Estados miembros de la UE deben establecer colaboraciones institucionales sólidas y a largo plazo con partes externas de interés, como los ERISI y el grupo de cooperación NIS, del que ENISA forma parte.

• SUPERVISIÓN NACIONAL DE SECTORES CRÍTICOS

Los Estados miembros de la UE están obligados a realizar una supervisión exhaustiva posterior y anterior a la preparación cibernética de las infraestructuras y los servicios críticos.

A principios de 2021, la Comisión Europea lanzó la propuesta para revisar la directiva NIS como una forma de abordar de manera concreta la nueva ola de ciberamenazas que impactaron en los mercados y sociedades globales en los últimos años.

Los ciberataques, además de estar entre las formas de delincuencia de más rápido crecimiento en todo el mundo, también están aumentando en número, costes y sofisticación. El pronóstico más reciente es que los costes globales de daños por ransomware alcanzarían los 20 mil millones de dólares en 2021, 57 veces más que en 2015 […] Dado el creciente número y coste de los ataques cibernéticos, el gasto en seguridad de la información también está aumentando en todo el mundo. El mercado mundial de la seguridad tiene un valor actual de alrededor de 150.000 millones de dólares, una cifra que muchos predicen que aumentará a 208.000 millones de dólares en 2023 y a 400.000 millones en 2026.

Fuente: Parlamento Europeo, la directiva NIS2

Por el momento, la directiva NIS2 está pasando por el proceso ordinario de formulación de políticas de las instituciones de la UE (una revisión en curso llevada a cabo por grupos influyentes de interés y responsables políticos).

El programa estratégico de la UE para el período 2019-2024 incluye seis prioridades principales (es decir, “pilares”):

Se prevén subacciones específicas para cada uno de estos pilares, la ciberseguridad se enmarca en Una Europa apta para la era digital para los dos pilares: Dar forma al futuro digital de Europa y la Década digital de Europa: objetivos digitales para 2030.

La investigación, la innovación y el desarrollo de las tecnologías de la información en el campo de la ciberseguridad es una de las principales preocupaciones del programa Horizonte Europa para el período 2021-2027, el mayor programa de la UE para la investigación y la innovación con un presupuesto total de 95 500 millones de euros.

La ciberseguridad pertenece al grupo de Seguridad civil para la sociedad, junto con las sociedades resilientes a los desastres, la protección y la seguridad. Se espera que los proyectos bajo esta línea de cofinanciamiento satisfagan uno (o más) de los siguientes impactos (páginas 114-115 de la guía):

La ciberseguridad representa un área importante de interés del Programa Europa DIGITAL.

El programa aborda tanto la necesidad de infraestructuras nuevas y tecnológicamente avanzadas, las brechas de habilidades y el desarrollo humano de los profesionales desplegados en el sector. Los objetivos concretos son los siguientes:

Fuente: Ciberseguridad en el programa Europa DIGITAL – Objetivos operativos