ANEXO

Plan director de la respuesta coordinada a los incidentes y crisis de ciberseguridad transfronterizos a gran escala

INTRODUCCIÓN

El presente Plan director se aplica a los incidentes de ciberseguridad que causen perturbaciones demasiado fuertes como para que el Estado miembro afectado lo resuelva por sí mismo o cuando afecten a dos o más Estados miembros o instituciones de la UE con un impacto tan amplio y de tanta relevancia técnica o política que requieran una coordinación y una respuesta oportuna a nivel político de la Unión.

Los incidentes de ciberseguridad a gran escala de este tipo se consideran «crisis» de ciberseguridad.

En caso de crisis a escala de la UE con elementos cibernéticos, el Consejo, utilizando el Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC), coordinará la respuesta a nivel político de la Unión.

Dentro de la Comisión, la coordinación se llevará a cabo de conformidad con el sistema de alerta rápida ARGUS.

Si la crisis tiene una importante dimensión de política exterior o de Política Común de Seguridad y Defensa (PCSD), se activará el Mecanismo de Respuesta a las Crisis del SEAE.

El Plan director describe cómo estos mecanismos bien establecidos de gestión de crisis deben hacer pleno uso de las entidades de ciberseguridad existentes a nivel de la UE, así como de los mecanismos de cooperación entre los Estados miembros.

De este modo, el Plan director tiene en cuenta una serie de principios rectores (principios de proporcionalidad, subsidiariedad, complementariedad y confidencialidad de la información), presenta los objetivos centrales de la cooperación (respuesta eficaz, conocimiento compartido de la situación, mensajes de comunicación al público) a tres niveles (estratégico/político, operativo y técnico), los mecanismos y los agentes implicados, así como las actividades destinadas a cumplir dichos objetivos centrales.

El Plan director no abarca la totalidad del ciclo de gestión de las crisis (prevención/mitigación, preparación, respuesta y recuperación), sino que se focaliza en la respuesta. No obstante, se abordan en él algunas otras actividades, en particular las relacionadas con la consecución de un conocimiento compartido de la situación.

También es importante señalar que los incidentes de ciberseguridad pueden encontrarse en el origen o formando parte de una crisis más amplia que afecte a otros sectores. Dado que se espera que las crisis de ciberseguridad tengan en su mayoría efectos sobre el mundo físico, toda respuesta adecuada debe basarse en actividades de mitigación de carácter tanto cibernético como no cibernético. Las actividades de respuesta a las crisis cibernéticas deben coordinarse con otros mecanismos de gestión de crisis a nivel de la UE, nacional o sectorial.

Por último, el Plan director no sustituye a los mecanismos, dispositivos o instrumentos existentes específicos de un sector o de una política, como el establecido para el Sistema Europeo de Radionavegación por Satélite (GNSS) (13) , y debe entenderse sin perjuicio de tales elementos.

Principios rectores

Al trabajar en pos de los objetivos, al identificar las actividades necesarias y asignar funciones y responsabilidades a los agentes o mecanismos respectivos, se han aplicado los principios rectores siguientes, que también deben respetarse a la hora de preparar las futuras directrices de aplicación.

Proporcionalidad: La gran mayoría de los incidentes de ciberseguridad que afectan a los Estados miembros están muy lejos de poder considerarse «crisis» nacionales, y mucho menos europeas. El fundamento de la cooperación entre los Estados miembros a la hora de responder a estos incidentes es aportado por la red de equipos de respuesta a incidentes de seguridad informática (CSIRT), creada por la Directiva SRI (14) . Los CSIRT nacionales cooperan e intercambian información diariamente de forma voluntaria, en caso necesario también en respuesta a incidentes de ciberseguridad que afecten a uno o varios Estados miembros, en consonancia con los procedimientos de trabajo normalizados (PTN) de la red de CSIRT. El Plan director debe, por tanto, hacer pleno uso de estos PTN, en los que debe reflejarse toda otra tarea específica de las crisis de ciberseguridad.

Subsidiariedad: El principio de subsidiariedad es clave. Los Estados miembros tienen la responsabilidad primaria de la respuesta en caso de incidentes o crisis de ciberseguridad a gran escala que les afecten. No obstante, la Comisión, el Servicio Europeo de Acción Exterior y otras instituciones, órganos y organismos tienen un papel importante, que está definido claramente en el DIRPC, pero también deriva del Derecho de la Unión o simplemente de la posibilidad de que los incidentes y crisis de ciberseguridad afecten a todos los sectores de actividad económica dentro del mercado único, a la seguridad y las relaciones internacionales de la Unión, así como a las propias instituciones.

Complementariedad: El Plan director tiene plenamente en cuenta los mecanismos existentes de gestión de crisis a nivel de la UE, a saber, el Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC), ARGUS, y el Mecanismo de Respuesta a las Crisis del SEAE, integra en ellos las nuevas estructuras y mecanismos de la Directiva SRI, como la red de CSIRT, así como las agencias y órganos pertinentes, a saber, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), el Centro Europeo de Ciberdelincuencia de Europol (Europol/EC3), el Centro de Análisis de Inteligencia de la UE (INTCEN), la División de Información del Estado Mayor de la Unión Europea (EMUE INT) y la Sala de Guardia (SITROOM) en el INTCEN, que trabajan conjuntamente como la SIAC (Capacidad Única de Análisis de Inteligencia); la Célula de Fusión de la UE contra las Amenazas Híbridas (dentro del INTCEN); y el Equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la UE (CERT-UE). De esta manera, el Plan director debe garantizar también que su interacción y cooperación presente la máxima complementariedad y el mínimo solapamiento.

Confidencialidad de la información: Todos los intercambios de información en el contexto del Plan director deben cumplir las normas aplicables sobre seguridad (15) y sobre la protección de datos personales, así como el Protocolo TLP para el intercambio de información (16) . Para el intercambio de información clasificada, con independencia del sistema de clasificación aplicado, se deben utilizar las herramientas acreditadas disponibles (17) . Por lo que se refiere al tratamiento de datos personales, se respetarán las normas aplicables de la UE, en particular el Reglamento general de protección de datos (18) , la Directiva sobre la privacidad y las comunicaciones electrónicas (19) , y el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos, oficinas y agencias de la Unión y a la libre circulación de estos datos (20) .

Objetivos centrales

La cooperación en virtud del Plan director sigue el planteamiento antes mencionado de tres niveles: político, operativo y técnico. A cada nivel, la cooperación puede incluir el intercambio de información y acciones comunes, y aspira a lograr los siguientes objetivos centrales.

• - Permitir una respuesta eficaz: La respuesta puede adoptar muchas formas, desde identificar medidas técnicas que pueden implicar a dos o más entidades que investigan conjuntamente las causas técnicas del incidente (por ejemplo, análisis de programas informáticos maliciosos) o identificar métodos mediante los cuales las organizaciones pueden evaluar si se han visto afectadas (por ejemplo, indicadores de compromiso), hasta tomar decisiones operativas sobre la aplicación de tales medidas técnicas y, a nivel político, decidir sobre el lanzamiento de otros instrumentos, tales como la respuesta diplomática de la UE a las actividades cibernéticas malintencionadas («conjunto de instrumentos de ciberdiplomacia») o el protocolo de actuación de la UE para contrarrestar las amenazas híbridas, dependiendo del incidente.
• - Compartir el conocimiento de la situación: una comprensión suficientemente buena de los acontecimientos, a medida que se vayan produciendo, por todas las partes interesadas pertinentes a los tres niveles (técnico, operativo, político) es esencial para una respuesta coordinada. El conocimiento de la situación puede incluir elementos tecnológicos sobre las causas, así como las repercusiones y el origen del incidente. Como los incidentes de ciberseguridad pueden afectar a una amplia variedad de sectores (finanzas, energía, transporte, sanidad, etc.), es imperativo que la información adecuada, en el formato adecuado, llegue a todas las partes interesadas pertinentes a su debido tiempo.
• - Ponerse de acuerdo sobre los mensajes clave de comunicación al público (21) : La comunicación de las crisis desempeña un papel importante para mitigar los efectos negativos de los incidentes y crisis de ciberseguridad, pero también puede utilizarse como instrumento para influir en el comportamiento de los agresores (potenciales). Un mensaje apropiado también puede servir para señalar claramente las posibles consecuencias de una respuesta diplomática con el fin de influir en el comportamiento de los agresores. La adaptación de la comunicación al público a fin de paliar los efectos negativos de los incidentes y crises de ciberseguridad y para influir en un agresor es indispensable a efectos de una respuesta política eficaz. En la ciberseguridad es especialmente importante la difusión de información exacta que permita actuar en relación con las posibilidades de que dispongan los ciudadanos para mitigar los efectos de un incidente (por ejemplo, aplicar un parche informático, tomar medidas complementarias para evitar la amenaza, etc.).

COOPERACIÓN ENTRE LOS AGENTES DE LOS ESTADOS MIEMBROS Y ENTRE ESTOS Y LOS DE LA UE A LOS NIVELES TÉCNICO, OPERATIVO Y ESTRATÉGICO/POLÍTICO

La eficacia de la respuesta a los incidentes o crisis de ciberseguridad a gran escala a nivel de la UE depende de la eficacia de la cooperación técnica, operativa y estratégica/política.

A cada nivel, los agentes implicados deben realizar determinadas actividades en lo que respecta a la consecución de tres objetivos centrales:

• - Respuesta coordinada
• - Conocimiento compartido de la situación
• - Comunicaciones al público

A lo largo del incidente o crisis, los niveles inferiores de cooperación han de avisar, informar y apoyar a los niveles superiores, y estos han de ofrecer directrices (22) y decisiones a los niveles inferiores, según proceda.

Cooperación a nivel técnico

Gama de actividades

• - Gestión de incidentes (23) durante una crisis de ciberseguridad
• - Control y seguimiento de incidentes, incluido el análisis continuo de las amenazas y riesgos.

Agentes potenciales

A nivel técnico, el mecanismo central para la cooperación en el Plan director es la red de CSIRT, bajo la autoridad de la Presidencia y con la secretaría facilitada por la ENISA.

• - Estados miembros
  • - Autoridades competentes y puntos de contacto únicos establecidos por la Directiva SRI
  • - CSIRT
• - Órganos/oficinas/agencias de la UE
  • - ENISA
  • - Europol/EC3
  • - CERT-UE
• - Comisión Europea
  • - El CECRE (servicio operativo 24/7 situado en la DG ECHO), y el servicio responsable designado (elegido entre la DG CNECT y la DG HOME, en función del tipo concreto de incidente), la Secretaría General (Secretaría de ARGUS), la DG HR (Dirección de Seguridad), la DG DIGIT (Operaciones de Seguridad de las Tecnologías de la Información).
  • - Para otras agencias de la UE (24) , la respectiva DG de tutela de la Comisión o el SEAE (primer punto de contacto).
• - SEAE
  • - SIAC (Capacidad Única de Análisis de Inteligencia: INTCEN y EMUE INT
  • - La Sala de Guardia de la UE y el servicio geográfico o temático designado.
  • - Célula de Fusión de la UE contra las Amenazas Híbridas (parte del INTCEN, ciberseguridad en un contexto híbrido)

Conocimiento compartido de la situación

• - Como parte de la cooperación regular a nivel técnico para contribuir al conocimiento de la situación de la Unión, la ENISA debe preparar periódicamente el informe de la situación técnica de ciberseguridad de la UE en cuanto a incidentes y amenazas, sobre la base de la información públicamente disponible, su propio análisis y los informes compartidos con ella por los CSIRT de los Estados miembros (de forma voluntaria) o los puntos de contacto únicos de la Directiva SRI, el Centro Europeo de Ciberdelincuencia (EC3) de Europol, el CERT-UE y, en su caso, el Centro de Inteligencia de la Unión Europea (INTCEN) en el Servicio Europeo de Acción Exterior (SEAE). El informe debe ponerse a disposición de las instancias pertinentes del Consejo, la Comisión, el AR/VP y la red de CSIRT.
• - En caso de incidente grave, el presidente de la Red de CSIRT, con la ayuda de la ENISA, prepara un informe de situación del incidente de ciberseguridad de la UE (25) que se presentará a la Presidencia, a la Comisión y al AR/VP a través del CSIRT de la Presidencia de turno.
• - Todas las demás agencias de la UE informan a sus respectivas direcciones generales de tutela, que a su vez informan al servicio responsable de la Comisión.
• - El CERT-UE proporciona informes técnicos a la red de CSIRT, instituciones y agencias de la UE (según proceda) y ARGUS (si se ha activado).
• - El Europol/EC3 (26) y el CERT-UE aportan a la red de CSIRT el análisis forense por expertos de artefactos técnicos y demás información técnica.
• - SIAC del SEAE: En nombre del INTCEN, la Célula de Fusión de la UE contra las Amenazas Híbridas informa a los departamentos pertinentes del SEAE.

Respuesta:

• - La red de CSIRT intercambia datos técnicos y análisis sobre el incidente, tales como, por ejemplo, direcciones IP, indicadores de compromiso (27) , etc. Esta información debe transmitirse a la ENISA sin demora indebida y a más tardar en el plazo de 24 horas desde el momento en que se detecte el incidente.
• - De conformidad con los procedimientos de trabajo normalizados de la Red de CSIRT, sus miembros cooperan en sus esfuerzos por analizar los artefactos técnicos disponibles y demás información técnica relacionada con el incidente, con el fin de determinar la causa y las posibles medidas técnicas de mitigación.
• - La ENISA ayuda a los CSIRT en sus actividades técnicas sirviéndose de sus conocimientos y de acuerdo con su mandato (28) .
• - Los CSIRT de los Estados miembros coordinan sus actividades de respuesta técnica con la ayuda de la ENISA y la Comisión.
• - SIAC del SEAE: En nombre del INTCEN, la Célula de Fusión de la UE contra las Amenazas Híbridas pone en marcha el proceso de recogida de información para recabar las pruebas iniciales.

Comunicaciones al público:

• - Los CSIRT emiten avisos técnicos (29) y alertas de vulnerabilidad (30) y los difunden entre sus respectivas comunidades y el público, según los procedimientos de autorización aplicables en cada caso.
• - La ENISA facilita la elaboración y difusión de comunicaciones comunes de la red de CSIRT.
• - La ENISA coordina sus actividades de comunicación al público con la Red de CSIRT y el Servicio del Portavoz de la Comisión.
• - La ENISA y el EC3 coordinan sus actividades de comunicación al público sobre la base del conocimiento compartido de la situación concertado entre los Estados miembros. Ambos órganos han coordinado sus actividades de comunicación al público con el Servicio del Portavoz de la Comisión.
• - Si la crisis tiene una dimensión de política exterior o de Política Común de Seguridad y Defensa (PCSD), la comunicación al público debe coordinarse con el SEAE y el Servicio del Portavoz del AR/VP.

Cooperación a nivel operativo

Gama de actividades:

• - Preparación de la toma de decisiones a nivel político.
• - Coordinación de la gestión de las crisis de ciberseguridad (según proceda).
• - Evaluación de las consecuencias y del impacto a nivel de la UE, y propuesta de posibles medidas de mitigación.

Agentes potenciales:

• - Estados miembros
  • - Autoridades competentes y puntos de contacto únicos establecidos por la Directiva SRI.
  • - CSIRT y agencias de ciberseguridad.
  • - Otras autoridades sectoriales nacionales (en caso de incidente o crisis multisectorial).
• - Órganos/oficinas/agencias de la UE
  • - ENISA.
  • - Europol/EC3.
  • - CERT-UE.
• - Comisión Europea
  • - Secretario General (Adjunto) SG (procedimiento ARGUS).
  • - DG CNECT/HOME.
  • - Autoridad de Seguridad de la Comisión.
  • - Otras DDGG (en caso de incidente o crisis multisectorial).
• - SEAE
  • - Secretario General (Adjunto) encargado de la respuesta a las crisis y SIAC (INTCEN y EMUE INT).
  • - Célula de fusión de la UE contra las amenazas híbridas.
• - Consejo
  • - Presidencia [Presidente del Grupo horizontal sobre cuestiones cibernéticas o del Coreper (31) ] con el apoyo de la SGC, o del CPS (32) y -si se activa- con el apoyo del DIRPC.

Conocimiento de la situación:

• - Apoyo a la elaboración de informes político-estratégicos de situación (por ejemplo, el informe ISAA en caso de activación del DIRPC).
• - El Grupo horizontal del Consejo sobre cuestiones cibernéticas prepara la reunión del Coreper o del CPS según proceda.
• - En caso de activación del DIRPC,
  • - La Presidencia podrá convocar mesas redondas en apoyo de su preparación para el Coreper o el CPS, con la participación de partes interesadas pertinentes de los Estados miembros, las instituciones, las agencias y terceros, tales como países de fuera de la UE y organizaciones internacionales. Se trata de reuniones de crisis para detectar los estrangulamientos y presentar propuestas de acción sobre cuestiones transversales.
  • - El servicio responsable de la Comisión o el SEAE para dirigir el ISAA elabora el informe ISAA con contribuciones de la ENISA, la red de CSIRT, Europol/EC3, EMUE INT, INTCEN y todos los demás agentes pertinentes. El informe ISAA representa una evaluación a escala de la UE basada en la correlación de evaluaciones de incidentes técnicos y crisis (análisis de amenazas, evaluaciones de riesgos, consecuencias y efectos no técnicos, aspectos no cibernéticos del incidente o crisis, etc.) que se adapta a las necesidades de los niveles político y operativo.
• - En caso de activación de ARGUS,
  • - El CERT-UE y el EC3 (33) contribuyen directamente al intercambio de información dentro de la Comisión.
• - En caso de activación del Mecanismo de Respuesta a las Crisis del SEAE,
  • - La SIAC intensificará su recogida de información, reunirá la información procedente de todas las fuentes y preparará un análisis y una evaluación del incidente.

Respuesta (a petición del nivel político):

• - Cooperación transfronteriza con el punto de contacto único y las autoridades nacionales competentes (Directiva SRI), para mitigar las consecuencias y efectos.
• - Activación de todas las medidas técnicas de mitigación y coordinación de las capacidades técnicas necesarias para evitar o reducir el impacto de los ataques a los sistemas de información objeto de los mismos.
• - Cooperación y, si así se decide, coordinación de las capacidades técnicas en aras de una respuesta conjunta o en colaboración de conformidad con los PTN de la red de CSIRT.
• - Evaluación de la necesidad de cooperar con terceras partes pertinentes.
• - Toma de decisiones dentro del procedimiento ARGUS (si se activa).
• - Preparación de las decisiones y coordinación de conformidad con el DIRPC (si se activa).
• - Apoyo a la toma de decisiones del SEAE (si se activa) mediante el Mecanismo de Respuesta a las Crisis del SEAE, también en lo que se refiere a los contactos con terceros países y organizaciones internacionales, así como cualquier medida destinada a garantizar la protección de las misiones y operaciones de la PCSD y las delegaciones de la UE.

Comunicaciones al público

• - Acuerdo sobre los mensajes al público en relación con el incidente.
• - Si la crisis tiene una dimensión de política exterior o de Política Común de Seguridad y Defensa (PCSD), la comunicación al público debe coordinarse con el SEAE y el Servicio del Portavoz del AR/VP.

Cooperación a nivel estratégico/político

Agentes potenciales

• - Por los Estados miembros, los ministros responsables de la ciberseguridad.
• - Por el Consejo Europeo, el Presidente.
• - Por el Consejo, la Presidencia de turno.
• - En caso de medidas dentro del «conjunto de instrumentos de ciberdiplomacia», el CPS y el Grupo Horizontal.
• - Por la Comisión Europea, el Presidente o el Vicepresidente/Comisario delegado.
• - El Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad/Vicepresidente de la Comisión.

Gama de actividades: Gestión estratégica y política de los aspectos de la crisis, tanto cibernéticos como no cibernéticos, con inclusión de medidas con arreglo al marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.

Conocimiento compartido de la situación

• - Identificación de los impactos de las perturbaciones causadas por la crisis sobre el funcionamiento de la Unión.

Respuesta:

• - Activación de mecanismos e instrumentos adicionales de gestión de crisis, en función de la naturaleza y el impacto del incidente. Puede incluirse, por ejemplo, el Mecanismo de Protección Civil.
• - Toma de medidas con arreglo al marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.
• - Ayuda de emergencia puesta a disposición de los Estados miembros afectados, por ejemplo activando el Fondo de Respuesta en casos de Emergencia de Ciberseguridad (34) una vez sea aplicable.
• - Cooperación y coordinación, cuando proceda, con organizaciones internacionales como las Naciones Unidas (ONU), la Organización para la Seguridad y la Cooperación en Europa (OSCE) y, en particular, la OTAN.
• - Evaluación de las consecuencias para la seguridad y la defensa nacionales.

Comunicaciones al público

Decisión sobre una estrategia común de comunicación al público.

RESPUESTA COORDINADA CON LOS ESTADOS MIEMBROS A NIVEL DE LA UE EN EL MARCO DEL DIRPC

En virtud del principio de complementariedad a nivel de la UE, la presente sección introduce y detalla en particular el objetivo central y las responsabilidades y actividades de las autoridades de los Estados miembros, la red de CSIRT, ENISA, CERT-EU, Europol/EC3, INTCEN, la Célula de Fusión de la UE contra las Amenazas Híbridas y el Grupo horizontal del Consejo sobre cuestiones cibernéticas dentro del proceso del DIRPC. Se supone que los agentes actúan en consonancia con los procedimientos establecidos a nivel nacional o de la UE.

Es fundamental tener en cuenta que, tal como se ilustra en la figura 1, con independencia de la activación de los mecanismos de gestión de crisis de la UE, hay actividades a nivel nacional y también de cooperación en la Red de los CSIRT (en caso necesario) que tienen lugar a lo largo de cualquier crisis/incidente de acuerdo con los principios de subsidiariedad y proporcionalidad.

Figura 1

Respuesta a los incidentes/crisis de ciberseguridad a nivel de la UE

Todas las actividades descritas a continuación se deben realizar de conformidad con las normas y procedimientos de trabajo normalizados de los mecanismos de cooperación participantes y de acuerdo con los mandatos y competencias de los distintos agentes e instituciones. Dichos procedimientos y normas pueden necesitar algunas adiciones o modificaciones a fin de lograr la mejor cooperación posible y una respuesta eficaz en caso de crisis e incidentes de ciberseguridad a gran escala.

No todos los agentes que figuran a continuación tienen que tomar medidas durante cualquier incidente particular. No obstante, en el Plan director y en los procedimientos de trabajo normalizados pertinentes de los mecanismos de cooperación debe preverse su posible participación.

Dado el diferente grado de impacto sobre la sociedad que puede tener un incidente o crisis de ciberseguridad, debe haber un alto grado de flexibilidad en cuanto a la participación de los actores sectoriales a todos los niveles, y toda respuesta adecuada habrá de basarse en actividades de mitigación de carácter tanto cibernético como no cibernético.

Gestión de crisis de ciberseguridad - Integración de la ciberseguridad dentro del proceso del DIRPC

El DIRPC, como se describe en sus PTN (35) , sigue secuencialmente los pasos que se describen a continuación (el uso de algunos de estos pasos dependerá de la situación).

En cada paso se especifican actividades y agentes relacionados con la ciberseguridad. Para facilitar la lectura, en cada paso se presenta el texto de los PTN de la RPC, seguido de las actividades específicas del Plan director. Este enfoque paso a paso también permite una clara identificación de las deficiencias existentes en las capacidades y procedimientos necesarios que impiden una respuesta eficaz a las crisis de ciberseguridad.

La figura 2 [a continuación (36) ] es una representación gráfica del proceso del DIRPC en la que los nuevos elementos que se introducen se resaltan en azul.

Figura 2

Elementos específicos de la ciberseguridad del DIRPC

Nota: Dada la naturaleza de las amenazas híbridas en el ciberespacio que están diseñadas para permanecer por debajo del umbral de crisis reconocible, la UE debe tomar medidas preventivas y de preparación. La Célula de Fusión de la UE contra las Amenazas Híbridas tiene la tarea de analizar con rapidez los incidentes pertinentes e informar a las estructuras de coordinación apropiadas. La presentación de informes periódicos de la Célula de Fusión puede contribuir a informar a las instancias que elaboran las políticas sectoriales, a fin de mejorar la preparación.

• - Paso 1 - Vigilancia y alerta sectorial periódica: Los actuales informes de situación y alertas periódicos por sectores facilitan indicaciones a la Presidencia del Consejo sobre una crisis en desarrollo y su posible evolución.
  • - Deficiencia señalada: En la actualidad no existen informes de situación y alertas periódicos y coordinados sobre la ciberseguridad por lo que se refiere a los incidentes (y amenazas) de ciberseguridad a nivel de la UE.
  • - Plan director: Vigilancia/notificación de la situación de ciberseguridad de la UE
    • - La ENISA preparará un informe periódico sobre la situación técnica de ciberseguridad de la UE en cuanto a incidentes y amenazas de ciberseguridad, sobre la base de la información públicamente disponible, su propio análisis y los informes compartidos con ella por los CSIRT de los Estados miembros (de forma voluntaria) o los puntos de contacto únicos de la Directiva SRI, el Centro Europeo de Ciberdelincuencia (EC3) de Europol, el CERT-UE y el Centro de Inteligencia de la Unión Europea (INTCEN) en el Servicio Europeo de Acción Exterior (SEAE). El informe debe ponerse a disposición de las instancias pertinentes del Consejo, la Comisión y la red de CSIRT.
    • - En nombre de la SIAC, la Célula de Fusión de la UE contra las Amenazas Híbridas debe elaborar un informe de situación operativa sobre la ciberseguridad de la UE. El informe también presta ayuda al marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.
    • - Ambos informes se difunden a las partes interesadas nacionales y de la UE a fin de mejorar su propio conocimiento de la situación, contribuir a la toma de decisiones y facilitar la cooperación regional transfronteriza.

Tras la detección de un incidente

• - Paso 2 - Análisis y asesoramiento: Sobre la base de la vigilancia y alerta disponibles, los servicios de la Comisión, el SEAE y la SGC se mantienen mutuamente informados sobre la posible evolución, a fin de estar preparados para asesorar a la Presidencia en relación con una posible activación (plena o en modo de intercambio de información) del DIRPC.
  • - Plan director:
    • - Por la Comisión, DG CNECT, DG HOME, DG HR.DS y DG DIGIT, con el apoyo de la ENISA, el EC3 y el CERT-UE.
    • - SEAE: Basándose en el trabajo realizado por la SITROOM y en fuentes de inteligencia, la Célula de Fusión de la UE contra las Amenazas Híbridas proporciona conocimiento de la situación sobre amenazas híbridas reales y potenciales que afecten a la UE y sus socios, incluidas las amenazas cibernéticas. Por lo tanto, cuando el análisis y valoración de la Célula de Fusión de la UE contra las Amenazas Híbridas indique la existencia de posibles amenazas dirigidas contra un Estado miembro, países socios o una organización, el INTCEN informará (en primera instancia) a nivel operativo, con arreglo a los procedimientos establecidos. El nivel operativo preparará entonces recomendaciones para el nivel estratégico político, incluida la posible activación de mecanismos de gestión de crisis en modo de vigilancia (por ejemplo, el Mecanismo de Respuesta a las Crisis del SEAE o la página de vigilancia del DIRPC).
    • - El presidente de la Red de CSIRT, con la ayuda de la ENISA, prepara un informe de situación del incidente de ciberseguridad de la UE (37) que se presentará a la Presidencia, a la Comisión y al AR/VP a través del CSIRT de la Presidencia de turno.
• - Paso 3 - Evaluación/Decisión sobre la activación del DIRPC: La Presidencia evalúa la necesidad de coordinación política, intercambio de información o toma de decisiones a nivel de la UE. A tal fin, la Presidencia podrá convocar una mesa redonda informal. La Presidencia efectúa una primera identificación de los ámbitos que requieren la implicación del Coreper o del Consejo. Esto constituirá la base de las directrices para la elaboración de los informes de conocimiento y análisis integrados de la situación (ISAA). La Presidencia decidirá, a la luz de las características de la crisis, sus posibles consecuencias y las necesidades políticas conexas, sobre la conveniencia de convocar reuniones de los grupos pertinentes del Consejo y/o del Coreper y/o del CPS.
  • - Plan director:
    • - Participantes en la mesa redonda:
      • - Los servicios de la Comisión y el SEAE asesorarán a la Presidencia sobre sus ámbitos de competencia respectivos.
      • - Representantes de los Estados miembros en el Grupo horizontal sobre cuestiones cibernéticas apoyados por expertos de las capitales (CSIRT, autoridades competentes en materia de ciberseguridad, otros).
      • - Orientaciones políticas/estratégicas para los informes ISAA sobre la base del último informe de situación de incidentes de ciberseguridad de la UE e información adicional proporcionada por los participantes en la mesa redonda.
      • - Grupos de trabajo y comités pertinentes:
        • - Grupo horizontal cuestiones cibernéticas.

          La Comisión, el SEAE y la SGC, en pleno acuerdo y en asociación con la Presidencia, podrán también decidir la activación del DIRPC en modo de intercambio de información a través de la generación de una página de crisis, a fin de preparar el terreno para una posible activación plena.

• - Paso 4 - Activación del DIRPC/recogida e intercambio de información: Una vez activado (bien plenamente o bien en modo de intercambio de información), se genera una página de crisis en la plataforma web del DIRPC, que permite intercambios específicos de información centrada en los aspectos que contribuirán al ISAA y a preparar el debate a nivel político. El servicio responsable del ISAA (uno de los servicios de la Comisión o el SEAE) dependerá de las circunstancias del caso.
• - Paso 5 - Elaboración de los informes ISAA: Se pondrá en marcha la elaboración de los informes ISAA. La Comisión o el SEAE publicará los informes ISAA como se indica en los PTN del ISAA y podrá fomentar más el intercambio de información en la plataforma web del DIRPC o lanzar peticiones específicas de información. Los informes ISAA se adaptarán a las necesidades del nivel político (es decir, el Coreper o el Consejo), según defina la Presidencia y recoja en sus directrices, permitiendo así una síntesis estratégica de la situación y un debate con conocimiento de causa sobre los puntos del orden del día definido por la Presidencia. De conformidad con los PTN del ISAA, la naturaleza de la crisis de ciberseguridad determinará si el informe ISAA es elaborado por uno de los servicios de la Comisión (DG CNECT, DG HOME) o por el SEAE.

  Tras la activación del DIRPC, la Presidencia indicará los ámbitos específicos de interés para el ISAA a fin de dar apoyo a la coordinación política o al proceso de toma de decisiones en el Consejo. La Presidencia también especificará el calendario del informe, previa consulta con los servicios de la Comisión o el SEAE.

  • - Plan director:
    • - El informe ISAA contiene contribuciones de los servicios pertinentes, incluyendo los siguientes:
      • - La red de CSIRT en forma de informe de situación de los incidentes de ciberseguridad de la UE.
      • - EC3, SITROOM, la Célula de Fusión de la UE contra las Amenazas Híbridas, el CERT-UE. La Célula de Fusión de la UE contra las Amenazas Híbridas apoyará y aportará sus contribuciones al servicio responsable del ISAA y a la mesa redonda del DIRPC, según proceda.
      • - Agencias y organismos sectoriales de la UE en función de los sectores afectados.
      • - Autoridades de los Estados miembros (distintas de los CSIRT).
    • - Reunión de las aportaciones del ISAA (38) :
      • - Comisión y agencias de la UE: El sistema informático ARGUS proporcionará la red básica interna para el ISAA. Las agencias de la UE enviarán sus contribuciones a sus respectivas DG de tutela, que a su vez pasarán la información pertinente a ARGUS. Los servicios de la Comisión y las agencias reunirán la información procedente de las redes sectoriales existentes con los Estados miembros y las organizaciones internacionales y de otras fuentes pertinentes.
      • - Por el SEAE: la Sala de Guardia de la UE, apoyada por el resto de los departamentos pertinentes del SEAE, proporcionará la red básica interior y el punto de contacto único para el ISAA. El SEAE reunirá la información procedente de los terceros países y de las organizaciones internacionales pertinentes.
• - Paso 6 - Preparación de la mesa redonda informal de la Presidencia: La Presidencia, asistida por la Secretaría General del Consejo, determinará el calendario, el orden del día, los participantes y los resultados esperados (posibles productos concretos) de la mesa redonda informal de la Presidencia. La SGC difundirá en la plataforma web del DIRPC en nombre de la Presidencia la información pertinente y, en concreto, el aviso de la reunión.
• - Paso 7 - Mesa redonda de la Presidencia/medidas preparatorias para la coordinación política/toma de decisiones de la UE: La Presidencia convocará una mesa redonda informal para revisar la situación, y preparar y revisar los puntos que se vayan a someter a la atención del Coreper o del Consejo. La mesa redonda informal de la Presidencia constituirá también un foro en el que elaborar, revisar y debatir todas las propuestas de medidas que deban presentarse al Coreper/Consejo.
  • - Plan director:
    • - El Grupo horizontal del Consejo sobre cuestiones cibernéticas debe preparar la reunión del CPS o del Coreper.
• - Paso 8 - Coordinación política y toma de decisiones en el Coreper/Consejo: Los resultados de las reuniones del Coreper o del Consejo se refieren a la coordinación de las actividades de respuesta a todos los niveles, decisiones sobre medidas excepcionales, declaraciones políticas, etc. Estas decisiones también constituyen unas directrices estratégicas/políticas actualizadas para la elaboración posterior de informes ISAA.
  • - Plan director:
    • - La decisión política de coordinar la respuesta a la crisis de ciberseguridad es ejecutada a través de las actividades (realizadas por los agentes correspondientes) que se describen arriba, en la sección 1 «Cooperación a los niveles estratégico/político, operativo y técnico» por lo que se refiere a la Respuesta y a la Comunicación al público.
    • - La elaboración de informes ISAA continúa sobre la base de la cooperación a los niveles técnico, operativo y político/estratégico en lo que respecta al Conocimiento de la situación, como también se describe en la sección 1.
• - Paso 9 - Vigilancia del impacto: El servicio responsable del ISAA, con la ayuda de quienes contribuyen a este, aporta información sobre la evolución de la crisis y sobre el impacto de las decisiones políticas tomadas. Este circuito de realimentación apoyará un proceso dinámico y contribuirá a la decisión de la Presidencia sobre si continuar con la participación del nivel político de la UE o si reducir el DIRPC.
• - Paso 10 - Disminución progresiva: Siguiendo el mismo proceso que para la activación, la Presidencia podrá convocar una mesa redonda informal para evaluar la conveniencia de mantener activo o no el DIRPC. La Presidencia puede decidir concluir o rebajar la activación.
  • - Plan director:
    • - La ENISA podrá ser invitada a contribuir a una investigación técnica del incidente a posteriori, o a realizarla, de conformidad con lo dispuesto en su mandato.

APÉNDICE

|

1. GESTIÓN DE CRISIS, MECANISMOS DE COOPERACIÓN Y AGENTES A NIVEL DE LA UE

Mecanismos de gestión de crisis

Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC): El Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC), aprobado por el Consejo el 25 de junio de 2013 (39) , tiene por objeto facilitar la oportuna coordinación y respuesta a nivel político de la UE en caso de crisis importante. El DIRPC también apoya la coordinación a nivel político de la respuesta a la invocación de la cláusula de solidaridad (artículo 222 del TFUE), como se define en la Decisión 2014/415/UE del Consejo, sobre la aplicación por la Unión de la cláusula de solidaridad, adoptada el 24 de junio de 2014. Los procedimientos de trabajo normalizados (PTN) del DIRPC (40) establecen el procedimiento de activación y las medidas posteriores que deban tomarse.

ARGUS: Sistema de coordinación de crisis establecido por la Comisión Europea en 2005 para facilitar un proceso específico de coordinación en caso de crisis multisectorial importante. Está respaldado por un sistema de alerta rápida general (herramienta informática) con el mismo nombre. ARGUS prevé dos fases, de las que la fase II (en caso de crisis multisectorial importante) implica reuniones del Comité de coordinación de crisis (CCC) bajo la autoridad del Presidente de la Comisión o de un Comisario al que se haya atribuido la responsabilidad. El CCC reúne a representantes de las direcciones generales pertinentes de la Comisión, gabinetes, y otros servicios de la UE con el fin de dirigir y coordinar la respuesta de la Comisión a la crisis. Presidido por el Secretario General Adjunto, el CCC evalúa la situación, considera las opciones y toma decisiones que permiten actuar en relación con los instrumentos y herramientas de la UE bajo la responsabilidad de la Comisión, y garantiza la ejecución de las decisiones adoptadas (41) (42) .

Mecanismo de Respuesta a las Crisis del SEAE: El Mecanismo de Respuesta a las Crisis del SEAE (CRM) es un sistema estructurado para que el SEAE responda a las crisis y emergencias que tengan carácter exterior o una importante dimensión exterior, incluidas las amenazas híbridas, que afecten realmente o en potencia a los intereses de la UE o a los de cualquier Estado miembro. Al velar por la participación en sus reuniones de los funcionarios pertinentes de la Comisión y de la Secretaría del Consejo, el CRM facilita la sinergia entre los esfuerzos diplomáticos, de seguridad y de defensa con los instrumentos financieros, comerciales y de cooperación gestionados por la Comisión. La Célula de Crisis puede estar activada mientras dure la crisis.

Mecanismos de cooperación

Red de CSIRT: La red de equipos de respuesta a incidentes de seguridad informática reúne a todos los CSIRT nacionales y gubernamentales y al CERT-UE. El propósito de la red es permitir y mejorar el intercambio de información entre los CSIRT sobre las amenazas e incidentes de ciberseguridad y también cooperar en la respuesta a los incidentes y crisis de ciberseguridad.

Grupo horizontal del Consejo sobre cuestiones cibernéticas: Este Grupo se creó con el fin de garantizar la coordinación estratégica y horizontal de las cuestiones de política cibernética en el Consejo y puede participar en actividades tanto legislativas como no legislativas.

Agentes

ENISA: La Agencia de Seguridad de las Redes y de la Información de la Unión Europea se creó en 2004. Trabaja en estrecha colaboración con los Estados miembros y el sector privado para ofrecer soluciones y asesoramiento sobre cuestiones tales como los ejercicios de ciberseguridad paneuropeos, la elaboración de las estrategias nacionales de ciberseguridad, la cooperación de los CSIRT y el desarrollo de capacidades. La ENISA colabora directamente con los CSIRT en toda la UE y es la Secretaría de la red de CSIRT.

CECRE: El Centro de Coordinación de la Respuesta a Emergencias de la Comisión (dentro de la Dirección General de Protección Civil y Operaciones de Ayuda Humanitaria Europeas, DG ECHO) apoya y coordina una gran variedad de actividades de prevención, preparación y respuesta de forma ininterrumpida (24/7). Inaugurado en 2013, es el eje central de la respuesta de la Comisión a las crisis (enlace con otras salas de crisis de la UE), también en su función de punto de contacto central del DIRPC, de funcionamiento ininterrumpido (24/7).

Europol/EC3: El Centro Europeo de Ciberdelincuencia (EC3), creado en 2013 dentro de Europol, apoya la respuesta policial a la ciberdelincuencia en la UE. El EC3 ofrece apoyo analítico y operativo a las investigaciones de los Estados miembros y sirve como nodo central de inteligencia e información de asuntos criminales en apoyo de las operaciones e investigaciones de los Estados miembros con sus análisis operativos, coordinación y conocimientos especializados, así como con sus medios técnicos altamente especializados y ayuda forense digital.

CERT-UE: El Equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la UE tiene mandato para mejorar la protección de las instituciones, órganos y organismos de la UE contra las amenazas cibernéticas. Es miembro de la red de CSIRT. El CERT-UE tiene acuerdos técnicos relativos al intercambio de información sobre las amenazas cibernéticas con el CIRC de la OTAN, algunos terceros países y grandes agentes comerciales en el ámbito de la ciberseguridad.

La Comunidad de Inteligencia de la UE comprende el Centro de Análisis de Inteligencia de la UE (INTCEN) y la División de Información del Estado Mayor de la UE (EMUE INT) con arreglo al acuerdo sobre la Capacidad Única de Análisis de Inteligencia (SIAC). La misión de la SIAC es aportar análisis de inteligencia, alerta rápida y conocimiento de la situación al Alto Representante de la Unión Europea para Asuntos Exteriores y Política de Seguridad y al Servicio Europeo de Acción Exterior (SEAE). La SIAC ofrece sus servicios a los diferentes órganos de toma de decisiones de la UE en los ámbitos de la Política Exterior y de Seguridad Común (PESC), la Política Común de Seguridad y Defensa (PCSD) y lucha contra el terrorismo (CT), así como a los Estados miembros. El INTCEN y el EMUE INT no son agencias operativas y carecen de capacidad de recogida de información. El nivel operativo de inteligencia es responsabilidad de los Estados miembros. La SIAC solo se ocupa de análisis estratégicos.

Célula de Fusión de la UE contra las Amenazas Híbridas: La Comunicación conjunta sobre la lucha contra las amenazas híbridas, de abril de 2016, designa a la Célula de Fusión de la UE contra las Amenazas Híbridas (CFH UE) como punto central para todos los análisis de fuentes sobre las amenazas híbridas en la UE; su mandato fue aprobado en diciembre de 2016 por la Comisión a través de una consulta interservicios. Situada dentro del INTCEN, la Célula de Fusión de la UE contra las Amenazas Híbridas forma parte de la SIAC y, por lo tanto, trabaja conjuntamente con el EMUE INT y tiene asignado un miembro militar permanente. El adjetivo «híbrido» se refiere al uso deliberado por un agente estatal o no estatal de una combinación de múltiples herramientas y resortes de carácter manifiesto/encubierto, militar/civil, tales como ciberataques, campañas de desinformación, espionaje, presión económica, uso de fuerzas afines u otras actividades subversivas. La CFH UE trabaja con una amplia red de puntos de contacto, tanto en el seno de la Comisión como en los Estados miembros, para proporcionar la respuesta integrada o el conjunto del planteamiento gubernamental necesario para hacer frente a diversos retos.

SITROOM UE: La Sala de Guardia de la UE forma parte del Centro de Análisis de Inteligencia de la UE (INTCEN), y aporta al SEAE capacidad operativa a fin de garantizar una respuesta inmediata y eficaz a las crisis. Se trata de un organismo civil-militar disponible permanentemente que facilita la vigilancia mundial y el conocimiento de la situación con un funcionamiento ininterrumpido (24/7).

Instrumentos pertinentes

Marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas: El marco, acordado en junio de 2017, forma parte integrante del enfoque de la UE sobre la ciberdiplomacia, que contribuye a la prevención de conflictos, la mitigación de las amenazas contra la seguridad cibernética y a una mayor estabilidad en las relaciones internacionales. El Marco hace pleno uso de medidas dentro de la Política Exterior y de Seguridad Común, incluyendo, en caso necesario, la adopción de medidas restrictivas. La utilización de las medidas del Marco debe fomentar la cooperación, facilitar la mitigación de las amenazas inmediatas y a largo plazo e influir en el comportamiento del autor responsable y de posibles agresores a largo plazo.

2. COORDINACIÓN ANTE LAS CRISIS DE CIBERSEGURIDAD EN EL DIRPC: CAPA DE COORDINACIÓN HORIZONTAL Y ESCALADA POLÍTICA

El DIRPC puede ser utilizado (y lo ha sido) para hacer frente a cuestiones técnicas y operativas, pero siempre desde un punto de vista político/estratégico.

En términos de escalada, el DIRPC puede utilizarse según el nivel de la crisis, pasando del «modo de vigilancia» al «modo de intercambio de información», que es el primer nivel de activación del DIRPC, y a la «activación plena del DRPIC».

El paso a la activación plena corresponde a una decisión de la Presidencia de turno del Consejo de la UE. La Comisión, el SEAE y la SGC pueden activar el DIRPC en modo de intercambio de información. El modo de vigilancia y el de intercambio de información corresponden a distintos niveles de información compartida, ya que el modo de intercambio de información implica una petición de elaboración de informes ISAA. La activación plena añade a la caja de herramientas mesas redondas del DIRPC, con participación de la Presidencia (normalmente el presidente del Coreper II, o un experto en el tema a nivel de consejero de las Representaciones Permanentes, pero excepcionalmente se han celebrado mesas redondas a nivel ministerial).

Agentes

Se encarga de la dirección la Presidencia de turno (normalmente, el presidente del Coreper).

Por el Consejo Europeo, el Gabinete del Presidente.

Por la Comisión Europea, el Secretario General Adjunto/a nivel de DG y/o de expertos sobre el tema.

Por el SEAE, el Secretario General Adjunto/a nivel de director ejecutivo y/o de expertos sobre el tema.

Por lo que respecta a la SGC, el Gabinete del Secretario General, el equipo del DIRPC y las Direcciones Generales responsables.

Gama de actividades: Generación de una visión integrada común de la situación y aumento de la sensibilización ante los estrangulamientos o deficiencias a cada uno de los tres niveles, a fin de tratarlos al nivel político, generación de decisiones en la mesa si entran dentro del ámbito de competencias de los participantes, o generación de propuestas de actuación que vayan al Coreper II y hasta el Consejo.

Conocimiento compartido de la situación

(No activado): Pueden generarse páginas de vigilancia del DIRPC para seguir la evolución de las situaciones que puedan escalar hasta una crisis con ramificaciones en la UE.

(Intercambio de información del DIRPC): Los informes ISAA serán redactados por el responsable de este, sobre la base de las contribuciones de los servicios de la Comisión, el SEAE y los Estados miembros (a través de los cuestionarios del DIRPC).

(Activación plena del DIRPC): Además de los informes ISAA, las mesas redondas informales del DIRPC reúnen a los distintos agentes interesados de los Estados miembros, la Comisión, el SEAE, las agencias pertinentes, etc., para debatir las deficiencias y estrangulamientos.

Cooperación y respuesta

Activación/sincronización de mecanismos/instrumentos adicionales de gestión de crisis, en función de la naturaleza y del impacto del incidente. Entre ellos se pueden incluir, por ejemplo, el Mecanismo de Protección Civil, el marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas o el marco común relativo a la lucha contra las amenazas híbridas.

Comunicaciones en caso de crisis

La red del comunicador de crisis del DIRPC puede ser activada por la Presidencia, previa consulta con los servicios pertinentes de la Comisión, la SGC y el SEAE, con el fin de apoyar la creación de mensajes comunes o elaborar los instrumentos de comunicación más eficaces.

3. GESTIÓN DE LAS CRISIS DE CIBERSEGURIDAD EN ARGUS: INTERCAMBIO DE INFORMACIÓN DENTRO DE LA COMISIÓN EUROPEA

Tras enfrentarse a crisis imprevistas que exigieron medidas a nivel europeo, como los atentados terroristas de Madrid (marzo de 2004), el tsunami del sudeste asiático (diciembre de 2004) y los ataques terroristas de Londres (julio de 2005), en 2005 la Comisión creó el sistema de coordinación ARGUS, con el apoyo de un sistema de alerta rápida general del mismo nombre (43) (44) . Su objetivo es ofrecer un procedimiento específico de coordinación de crisis en caso de crisis multisectorial importante, a fin de permitir el intercambio en tiempo real de información relacionada con la crisis, y asegurar una rápida toma de decisiones.

ARGUS define dos fases en función de la gravedad del caso:

Fase I: utilizada para «compartir información» sobre una crisis de escala limitada

Entre los ejemplos de incidentes notificados recientemente en la fase I se incluyen los incendios forestales de Portugal e Israel, el ataque de Berlín de 2016, las inundaciones de Albania, el huracán Matthew en Haití y la sequía en Bolivia. Cualquier DG puede iniciar un incidente en fase I si considera que una situación en su ámbito de competencia es lo suficientemente grave como para justificar la puesta en común de información o poder beneficiarse de esta. Por ejemplo, la DG CNECT o la DG HOME pueden iniciar un incidente en fase I si consideran que una situación de ciberseguridad en su ámbito de competencia es lo suficientemente grave como para justificar la puesta en común de información o poder beneficiarse de esta.

Fase II: activada en caso de crisis multisectorial importante o amenaza previsible o inminente para la Unión

La fase II desencadena un proceso específico de coordinación que permite a la Comisión tomar decisiones y gestionar una respuesta rápida, coordinada y coherente, al más alto nivel en su ámbito de competencia y en cooperación con las demás instituciones. La fase II está prevista para una crisis multisectorial importante o para una amenaza previsible o inminente de una crisis así. Entre los ejemplos de la vida real de incidentes de la fase II se encuentran la crisis migratoria y de refugiados (iniciada en 2015 y todavía activa), el desastre triple de Fukushima (2011) y la erupción del volcán Eyjafjallajökull en Islandia (2010).

La fase II es activada por el presidente, por propia iniciativa o a petición de un miembro de la comisión.

El presidente puede asignar la responsabilidad política de la respuesta de la comisión a un comisario responsable del servicio más afectado por la crisis en cuestión o decidir que retiene él mismo la responsabilidad.

Contempla reuniones de emergencia del Comité de coordinación de crisis (CCC). Estas reuniones se convocan bajo la autoridad del presidente o de un miembro de la Comisión a quien se haya atribuido la responsabilidad. Las reuniones son convocadas por el secretario general a través de la herramienta informática ARGUS. El CCC es una estructura operativa específica de gestión de crisis creada para dirigir y coordinar la respuesta de la Comisión a las crisis, que reúne a representantes de todas las Direcciones Generales de la Comisión, gabinetes y otros servicios de la UE. El CCC, presidido por el secretario general adjunto, evalúa la situación, considera las opciones y toma decisiones, además de velar por que se ejecuten las decisiones y medidas, garantizando al mismo tiempo la coherencia de la respuesta. La SG facilita ayuda al CCC.

4. MECANISMO DE RESPUESTA A LAS CRISIS DEL SEAE

El Mecanismo de Respuesta a las Crisis del SEAE (CRM) se activa en caso de que se presente una emergencia o situación grave relacionada con la dimensión exterior de la UE, o que afecte a esta dimensión de alguna manera. EL CRM es activado por el SGA encargado de la respuesta a las crisis, previa consulta con el AR/VP o el secretario general. También es posible que el SGA reciba del AR/VP, del SG o de otro SGA o director ejecutivo el encargo de iniciar el Mecanismo de Respuesta a las Crisis.

El CRM contribuye a la coherencia de la UE en la respuesta a las crisis dentro de la Estrategia de Seguridad. En particular, el CRM facilita la sinergia entre los esfuerzos diplomáticos, de seguridad y de defensa con los instrumentos financieros, comerciales y de cooperación gestionados por la Comisión.

El CRM está vinculado al sistema general de respuesta a las emergencias de la Comisión (ARGUS) y al Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC), a fin de explotar las sinergias en caso de activación simultánea. La Sala de Guardia del SEAE actúa como plataforma de comunicación entre el SEAE y los sistemas de respuesta a las emergencias del Consejo y de la Comisión.

Normalmente, la primera medida relacionada con la aplicación del CRM es la convocatoria de una reunión de crisis entre los altos cargos del SEAE, de la Comisión y del Consejo directamente afectados por la crisis en cuestión. La reunión de crisis evalúa los efectos a corto plazo de la crisis, y puede convenir la adopción de medidas inmediatas, o la activación de la Célula de Crisis, o la convocatoria de la Plataforma de Crisis. Estas vías pueden seguirse en cualquier secuencia temporal.

La Célula de Crisis es una pequeña sala de operaciones en la que se reúnen representantes de los servicios del SEAE, de la Comisión y del Consejo que participan en la respuesta a la crisis para vigilar continuamente la situación a fin de ayudar a los responsables de tomar las decisiones en la sede central del SEAE. Cuando se ha activado, la Célula de Crisis está operativa las 24 horas del día, 7 días a la semana.

La Plataforma de Crisis reúne a los servicios pertinentes del SEAE, de la Comisión y del Consejo para evaluar los efectos a medio y largo plazo de las crisis y acordar las medidas que deban tomarse. Está presidida por el AR/VP, o el secretario general, o el secretario general adjunto encargado de la respuesta a las crisis. La Plataforma de Crisis evalúa la eficacia de la acción de la UE en la región o país de la crisis, decide sobre eventuales modificaciones o medidas adicionales y debate propuestas de medidas del Consejo. La Plataforma de Crisis es una reunión ad hoc; por lo tanto, no está activada de forma permanente.

El Grupo Operativo está integrado por representantes de los servicios que participan en la respuesta y puede activarse para seguir y facilitar la ejecución de la respuesta de la UE. Evalúa el impacto de las medidas de la UE, elabora documentos sobre políticas y sobre opciones, contribuye a la preparación del Marco Político para la Gestión de Crisis (PFCA), contribuye a la Estrategia de Comunicación, y adopta cualquier otra disposición que pueda facilitar la ejecución de la respuesta de la UE.

5. DOCUMENTOS DE REFERENCIA

A continuación figura una lista de los documentos de referencia que se han tenido en cuenta en la elaboración del Plan director:

• - Marco Europeo de Cooperación ante las Crisis Cibernéticas (European Cyber Crises Cooperation Framework), Versión 1, de 17 de octubre de 2012.
• - Informe sobre cooperación y gestión de las crisis cibernéticas (Report on Cyber Crisis Cooperation and Management), ENISA, 2014.
• - Información que permite actuar en relación con la respuesta a los incidentes de seguridad (Actionable Information for Security Incident Response), ENISA, 2014.
• - Prácticas comunes de gestión de crisis a escala de la UE y aplicabilidad ante crisis cibernéticas (Common practices of EU-level crisis management and applicability to cyber crises), ENISA, 2015.
• - Estrategias de respuesta a los incidentes y cooperación ante las crisis de ciberseguridad (Strategies for Incident Response and Cyber Crisis Cooperation), ENISA, 2016.
• - Procedimientos de trabajo normalizados en cibernética de la UE (EU Cyber Standard Operating Procedures), ENISA, 2016.
• - Guía de buenas prácticas para el uso de taxonomías en la prevención y detección de incidentes (A good practice guide of using taxonomies in incident prevention and detection), ENISA, 2017.
• - Comunicación «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora [COM(2016) 410 final], de 5 de julio de 2016.
• - Conclusiones del Consejo» Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora (15 de noviembre de 2016), doc. 14540/16.
• - Decisión 2014/415/UE del Consejo, de 24 de junio de 2014, relativa a las modalidades de aplicación por la Unión de la cláusula de solidaridad (DO L 192 de 1.7.2014, p. 53).
• - Finalización del proceso de revisión del DCC: Dispositivo de respuesta política integrada de la UE a las crisis (DIRPC), doc. 10708/13, de 7 de junio de 2013.
• - Conocimiento y análisis integrados de la situación (ISAA). Procedimientos de trabajo normalizados [Integrated Situational Awareness and Analysis (ISAA)-Standard Operating Procedures], DS 1570/15, de 22 de octubre de 2015.
• - Disposiciones de la Comisión sobre el sistema de alerta rápida general «ARGUS», COM(2005) 662 final, de 23 de diciembre de 2005.
• - Decisión 2006/25/CE, Euratom de la Comisión, de 23 de diciembre de 2005, por la que se modifica su reglamento interno (DO L 19 de 24.1.2006, p. 20).
• - Modus operandi de ARGUS (ARGUS Modus Operandi), Comisión Europea, de 23 de octubre de 2013.
• - Conclusiones del Consejo sobre un marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas («conjunto de instrumentos de ciberdiplomacia»), Doc. 9916/17.
• - Protocolo operativo de la UE para la lucha contra las amenazas híbridas (EU operational protocol for countering hybrid threats «EU Playbook»), doc. SWD(2016) 227.
• - Mecanismo de respuesta a las crisis del SEAE, de 8 de noviembre de 2016 [Ares(2017)880661]. Documento de trabajo conjunto sobre el protocolo de actuación de la UE para contrarrestar las amenazas híbridas (Joint Staff Working Document EU operational protocol for countering hybrid threats, «EU Playbook»), SWD(2016) 227 final de 5 de julio de 2016.
• - Comunicación conjunta al Parlamento Europeo y al Consejo: Comunicación conjunta sobre la lucha contra las amenazas híbridas. Una respuesta de la Unión Europea. JOIN/2016/018 final, 6 de abril de 2016.
• - SEAE(2016) 1674 - Documento de trabajo del Servicio Europeo de Acción Exterior, Célula de Fusión de la UE contra las Amenazas Híbridas - Mandato (Working Document of the European External Action Service - EU Hybrid Fusion Cell - Terms of Reference)

6. ELEMENTOS ESPECÍFICOS DE CIBERSEGURIDAD EN EL PROCESO DEL DIRPC