La UE refuerza la ciberseguridad con una nueva caja de herramientas para las cadenas de suministro TIC

El Grupo de Cooperación NIS ha adoptado la Caja de Herramientas de Seguridad de la Cadena de Suministro de TIC de la UE, desarrollada por los Estados miembros con el apoyo de la Comisión Europea y la Agencia de la UE para la Ciberseguridad (ENISA). Además, ha aprobado dos evaluaciones coordinadas de riesgos centradas en vehículos conectados y automatizados y en equipos de detección utilizados en pasos fronterizos.

 

Un enfoque común para riesgos complejos

La nueva caja de herramientas establece un marco horizontal, común y no vinculante para identificar, evaluar y mitigar riesgos de ciberseguridad en las cadenas de suministro TIC. Su desarrollo responde a las Conclusiones del Consejo de la UE de 2022 sobre la seguridad de estas cadenas y se enmarca en los trabajos del propio Grupo de Cooperación NIS.

El documento define conceptos clave y plantea escenarios de riesgo que afectan al ecosistema digital europeo, proponiendo medidas como la creación de marcos para evaluar proveedores críticos, el impulso de estrategias multiproveedor y la reducción de dependencias respecto a suministradores considerados de alto riesgo.

En línea con la Directiva NIS2, el conjunto de herramientas contribuye al marco de evaluaciones coordinadas de riesgos a nivel de la Unión para cadenas de suministro TIC críticas, conforme a su artículo 22. Aunque está orientado a los Estados miembros, también pretende servir de guía a entidades públicas y privadas en la gestión de riesgos asociados a servicios, sistemas y productos tecnológicos.

Los Estados miembros disponen ahora de un catálogo estructurado de medidas voluntarias que podrán adaptar a sus prioridades nacionales. En el plazo de un año, el Grupo de Cooperación SRI revisará su aplicación para evaluar avances, compartir buenas prácticas e identificar posibles ajustes.

 

Vehículos conectados: innovación con nuevos riesgos

La primera evaluación coordinada se centra en los vehículos conectados y automatizados (CAV) y sus cadenas de suministro. El informe reconoce que estos sistemas aportan beneficios en seguridad vial y eficiencia energética, pero también introducen riesgos significativos de ciberseguridad.

Estos vehículos procesan grandes volúmenes de datos personales y sensibles y, en determinados escenarios, podrían ser explotados con fines maliciosos. Por ello, el Grupo de Cooperación NIS recomienda que la Comisión y los Estados miembros identifiquen medidas proporcionadas para reducir la exposición a proveedores de alto riesgo, especialmente en sistemas de procesamiento y toma de decisiones, comunicaciones, conectividad y control del vehículo con capacidad de actualización remota.

El informe también propone estudios adicionales para evaluar el impacto potencial de ciberataques sobre infraestructuras de carga eléctrica y su efecto en la red en su conjunto.

 

Equipos de detección: infraestructura crítica bajo presión

La segunda evaluación aborda los riesgos asociados a los equipos de detección utilizados por fuerzas policiales y autoridades de seguridad en pasos fronterizos de la UE. Estos dispositivos, considerados parte de la infraestructura crítica europea, pueden ser objeto de control remoto, sabotaje o utilización como vectores de ataque si resultan comprometidos.

Además de amenazas externas, los incidentes pueden derivarse de errores humanos, fallos técnicos o fenómenos naturales. El informe también señala la concentración del mercado en un número limitado de fabricantes extracomunitarios, lo que plantea desafíos adicionales en términos de diversificación, disponibilidad de componentes y protección de infraestructuras críticas.

Entre las medidas de mitigación propuestas figuran la aplicación efectiva de restricciones a proveedores de alto riesgo a escala europea, el refuerzo de requisitos de seguridad en la contratación pública —incluida la financiación de la UE— y la mejora de protocolos de mantenimiento, acceso y uso seguro de los equipos.

Con estas iniciativas, la Unión Europea avanza en el fortalecimiento de su resiliencia digital y en la protección de sectores estratégicos frente a amenazas crecientes en el ámbito de la ciberseguridad.