«La UE no está a la altura de las amenazas cibernéticas»

El Tribunal de Cuentas europeo ha elaborado un informe donde pone en evidencia las deficiencias de las instituciones comunitarias

José Antonio Bravo
JOSÉ ANTONIO BRAVO Madrid

Entre 2018 y 2021 los incidentes de ciberseguridad significativos en el ámbito de los órganos de la Unión Europea se han multiplicado por diez. En general, fueron ataques complejos que implican normalmente el uso de nuevos métodos y tecnologías. Y pueden requerir semanas o incluso meses de investigación y de recuperación.

Por este motivo, el Tribunal de Cuentas europeo ha elaborado un informe donde pone en evidencia las deficiencias de las instituciones comunitarias. Así, en ocasiones no se realizan controles esenciales de ciberseguridad, los gastos son insuficientes en algunos órganos y en muchos casos ni siquiera existen estrategias de seguridad informática. Además, la formación en esta materia no es sistemática y tampoco se aprovechan las sinergias en información.

La situación es más preocupante considerando que la capacidad del Equipo europeo de respuesta a emergencias informáticas (CERT-UE) «está sobrepasada». Sus recursos son «inestables y no están a la altura del nivel actual de amenaza ni de las necesidades de las instituciones», advierten los auditores. En 2020 se aprobó una propuesta estratégica para proveerle de los medios adicionales que necesita, pero hoy día los Veintisiete siguen sin ponerse de acuerdo.

Tampoco existe un marco legal en la UE para la seguridad de la información y la ciberseguridad en sus instituciones. Hay una Directiva de 2016 y una propuesta de revisión, pero no están sujetos a ella. Y desde 2020 está pendiente un reglamento sobre normas de ciberseguridad.