La Unión Europea lanza un conjunto de herramientas para reforzar la seguridad de la cadena de suministro de las TIC

Reglamento que establece medidas para garantizar un elevado nivel común de ciberseguridad en la UE
Redacción

El Grupo de Cooperación NIS ha adoptado la caja de herramientas de seguridad de la cadena de suministro de TIC de la Unión Europea (UE), una iniciativa desarrollada por los Estados miembros con el respaldo de la Comisión y la Agencia de la UE para la Ciberseguridad (ENISA), así como dos evaluaciones de riesgos relativas a vehículos conectados y automatizados y equipos de detección, respectivamente.

En este sentido, el conjunto de herramientas de seguridad de la cadena de suministro de TIC de la UE ofrece un enfoque horizontal, común y no vinculante para identificar, evaluar y mitigar los riesgos de ciberseguridad en la cadena de suministro de TIC. Tras las conclusiones del Consejo de la UE sobre esta materia en 2022, el mecanismo se desarrolló en el marco del citado organismo de cooperación.

Un mecanismo voluntario bajo la Directiva NIS2

El conjunto de herramientas se basa en un enfoque integral y define conceptos clave relacionados con la seguridad. Al ser estrictamente independiente de cada actor, describe escenarios de riesgo que afectan al ecosistema digital de la Unión y recomienda medidas de mitigación, como el establecimiento de un marco para la evaluación de proveedores críticos, la promoción de estrategias multiproveedor y la eliminación de la dependencia de proveedores de alto riesgo.

De conformidad con la Directiva NIS2, este conjunto de herramientas contribuye significativamente al marco para las evaluaciones coordinadas de riesgos a nivel de la Unión de las cadenas de suministro críticas, de conformidad con el artículo 22 de dicha norma. Está diseñado no solo para ayudar a los Estados miembros, sino también para apoyar a los agentes públicos y privados en la gestión de las amenazas relacionadas con los servicios, sistemas y productos tecnológicos.

Los Estados miembros disponen ahora de un conjunto estructurado de medidas voluntarias que pueden adaptarse a sus contextos y prioridades nacionales. Como parte de los próximos pasos, el Grupo de Cooperación SRI realizará, al cabo de un año, una revisión de la aplicación del Conjunto de Herramienta. Esto servirá para evaluar los avances, compartir las mejores prácticas, identificar los retos y recomendar los ajustes necesarios.

Amenazas en la movilidad conectada

Además, el organismo ha adoptado los resultados de dos evaluaciones coordinadas de riesgos para la seguridad a nivel de la Unión, elaboradas por los Estados miembros con el apoyo de la Comisión y la ENISA.

La primera evaluación del conjunto de herramientas se centra en los vehículos conectados y automatizados (CAV) y sus cadenas de suministro, mientras que la segunda examina los riesgos de seguridad relacionadas con los equipos de detección utilizados por los agentes policiales y de seguridad en los pasos fronterizos comunitarios.

El objetivo principal de ambos informes es ofrecer una visión general completa de los riesgos identificados, sus posibles consecuencias y las medidas de mitigación necesarias para abordarlos. La evolución de los vehículos conectados y automatizados demuestra que, si bien ofrecen numerosos beneficios potenciales en materia de seguridad y eficiencia energética, introducen nuevos e importantes riesgos de ciberseguridad. Los vehículos conectados procesan una gran cantidad de datos personales y sensibles y, en algunos casos, pueden utilizarse como arma.

Para abordar estos riesgos, se recomienda, entre otras acciones, que la Comisión, junto con los Estados miembros, identifique medidas proporcionadas para reducir el riesgo de proveedores de alto riesgo en la cadena de suministro de la UE, especialmente en lo que respecta a los sistemas de procesamiento y toma de decisiones, los de comunicación y conectividad, y los de control de vehículos que pueden recibir actualizaciones remotas. El informe también sugiere realizar investigaciones de seguimiento para evaluar el impacto de los ciberataques en la infraestructura de carga de la red eléctrica en su conjunto.

Vulnerabilidades en el control fronterizo

La segunda evaluación coordinada se centra en los equipos de detección. Su objetivo es ofrecer una visión general de los riesgos asociados a estos equipos, consideradas en general parte de la infraestructura crítica de la UE, y sus consecuencias, así como las acciones necesarias para abordarlos, tanto si se utilizan de forma independiente como en entornos interconectados e interoperables.

Los equipos de detección comprometidos pueden controlarse remotamente, explotarse como vector de ataque o neutralizarse para facilitar actos maliciosos. Los incidentes también pueden deberse a errores humanos, fallos del sistema o fenómenos naturales. Además, el propio mercado, dominado por un número limitado de fabricantes de fuera de la UE, ha presentado graves deficiencias y desafíos adicionales para la seguridad de la UE, en particular en lo que respecta a la diversificación, la disponibilidad de equipos y la protección de activos esenciales.

Para la gestión eficaz de estos escenarios, esta evaluación identifica diversas medidas, como la aplicación efectiva de acciones a nivel de la UE para proveedores de alto riesgo y la mejora de las prácticas de contratación mediante la imposición de requisitos de seguridad para la financiación de la UE. Otras recomendaciones se refieren a prácticas de mantenimiento y protocolos de acceso.

Contexto normativo

El conjunto de herramientas describe escenarios de riesgo y recomienda medidas de mitigación, incluyendo la evaluación de proveedores críticos, la importancia de las estrategias multiproveedor y enfoques para superar la dependencia. Además, faculta a los Estados Miembros para fortalecer la seguridad de la cadena de suministro.

Subrayando la importancia de garantizar la protección de estas cadenas, en la Ley de Ciberseguridad revisada, presentada el 20 de enero de 2026, la Comisión también propuso un marco fiable centrado en abordar riesgos no técnicos, como las interferencias externas, lo que permitirá un enfoque armonizado en las cadenas de suministros más críticos.