La ley revisada de ciberseguridad de la UE se centra en los proveedores de "alto riesgo"

La Comisión Europea ha publicado su propuesta de revisar su Ley de Ciberseguridad (CSA), que incluye disposiciones para excluir a las empresas y componentes de “alto riesgo” de las cadenas de suministro europeas.

Se esperaba que la propuesta se presentara la semana pasada (14 de enero) después de un proceso de revisión que duró meses, pero se retrasó, según se informa debido a desacuerdos entre funcionarios y estados miembros sobre el alcance de los cambios a la CSA.

La propuesta describe medidas para identificar “terceros países” y empresas de alto riesgo que suministran equipos o componentes digitales a la UE y excluirlos de la infraestructura digital clave.

La Comisión afirmó que la propuesta pretende permitir que la UE y los Estados miembros identifiquen y mitiguen conjuntamente los riesgos en los 18 sectores críticos de la UE, incluido el energético. Sin embargo, un comunicado de prensa de la Comisión solo describe la "reducción obligatoria del riesgo" del sector de las telecomunicaciones.

Para la energía renovable, en particular energía solar fotovoltaica y almacenamiento de energía El principal tercer país de riesgo es China, aunque la propuesta de la Comisión no lo menciona en absoluto. Empresas chinas han suministrado la mayoría de los inversores solares de la UE en los últimos meses, lo que ha suscitado inquietudes sobre ciberseguridad en el sector y en Bruselas. La UE ya identificó los inversores solares como una dependencia de suministro de alto riesgo en su Doctrina de Seguridad Económica, publicada a finales del año pasado.

Por ejemplo, los datos del mayorista europeo de energía fotovoltaica Sun.store indican que Huawei ha sido un proveedor líder de inversores solares –muchos de los cuales son digitales y están conectados a servidores en la nube– a pesar de que la empresa ha sido restringida de la red 5G de la UE por razones de seguridad.

La propuesta incluye disposiciones para la posible retirada y eliminación gradual de productos ya implantados en la infraestructura de la UE si se determina que el proveedor presenta un alto riesgo. La semana pasada se analizaron las implicaciones de la eliminación gradual de la tecnología china para el sector solar.

Las restricciones de la cadena de suministro se centran en riesgos “no técnicos”, que según la Comisión se refieren al riesgo de que un proveedor esté “sujeto a la influencia de un tercer país” que podría interrumpir un servicio esencial o “la exfiltración de datos”, incluso con fines de espionaje o generación de ingresos”.

«Las amenazas a la ciberseguridad no son solo desafíos técnicos. Representan riesgos estratégicos para nuestra democracia, economía y estilo de vida», declaró Henna Virkkunen, vicepresidenta ejecutiva de la Comisión para la soberanía tecnológica, la seguridad y la democracia. «Con el nuevo Paquete de Ciberseguridad, dispondremos de los medios necesarios para proteger mejor nuestras cadenas de suministro críticas de TIC, así como para combatir los ciberataques con firmeza. Este es un paso importante para asegurar nuestra soberanía tecnológica europea y garantizar una mayor seguridad para todos».

La propuesta también introdujo aclaraciones para el Marco Europeo de Certificación de Ciberseguridad (ECCF), que, según la propuesta, aportaría mayor claridad y simplificaría los procedimientos, además de permitir el desarrollo de algunas certificaciones en un plazo de 12 meses. Las empresas también podrán someterse voluntariamente al cumplimiento del ECCF, lo que, según la propuesta, constituiría una ventaja competitiva para las empresas de la UE. Esto parece evitar un proceso de certificación obligatorio, que se debatió durante el proceso de revisión de la CSA.

También introdujo medidas para reforzar la Agencia de Ciberseguridad de la UE (ENISA), que se introdujo con la primera aprobación de la CSA en 2019.

En respuesta a la propuesta, Dries Acke, director ejecutivo adjunto de SolarPower Europe, dijo: “Es muy bueno que la Comisión Europea se tome en serio los temas de ciberseguridad.

La clave sigue siendo contar con estándares y protocolos sólidos de ciberseguridad a nivel de la UE que se apliquen a todos los componentes digitales y empresas que operan en el mercado energético europeo. Europa necesita ser resiliente a todo tipo de ataques, desde cualquier punto de vista.

“Mientras continúa la evaluación de riesgos e impacto específicos de la energía solar en la ciberseguridad, esperamos seguir cooperando de forma constructiva con la Comisión y colaborar con el mandato renovado de ENISA, así como a través del Marco Europeo de Certificación de Ciberseguridad simplificado”.