52003AE0747

Dictamen del Comité Económico y Social Europeo sobre la "Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información"

(COM(2003) 63 final - 2003/0032 (COD))

(2003/C 220/07)

El 3 de marzo de 2003, de conformidad con los artículos 95 y 156 del Tratado constitutivo de la Comunidad Europea, el Consejo decidió consultar al Comité Económico y Social Europeo sobre la propuesta mencionada.

La Sección Especializada de Transportes, Energía, Infraestructuras y Sociedad de la Información, encargada de preparar los trabajos en este asunto, aprobó su dictamen el 5 de junio de 2003 (ponente: Sr. Lagerholm).

En su 400o Pleno de los días 18 y 19 de junio de 2003 (sesión del 18 de junio), el Comité Económico y Social Europeo ha aprobado por 71 votos a favor y 1 abstención el presente Dictamen.

1. Introducción

1.1. Los sistemas de información son esenciales para la economía en su conjunto, no sólo para la mayor parte de los sectores industriales, sino también para el sector público, las universidades y los centros educativos, así como para los propios ciudadanos. Los fallos de esos sistemas afectan a todos, ya sean personas físicas, administraciones públicas o empresas.

1.2. La Comunidad Europea se vería beneficiada por una intensificación de la cooperación entre sus Estados miembros con el fin de alcanzar en todos ellos unos niveles satisfactorios en materia de seguridad. Éste es el objetivo de la Comunicación de la Comisión de junio de 2001 sobre la seguridad de las redes y de la información(1).

1.3. Por consiguiente, la seguridad se ha convertido en una cuestión importante para los usuarios y asimismo en un asunto político de primer orden. Además, desde el 11 de septiembre de 2001, la funcionalidad de los sistemas de información se ha convertido en un tema importante de seguridad nacional. Sin embargo, los Estados miembros se encuentran en distintas fases de este trabajo y los aspectos en los que centran su atención también varían de un país a otro. No existe una cooperación transfronteriza sistemática en materia de seguridad de las redes y de la información entre los Estados miembros, a pesar de que los problemas de seguridad no se limitan a un único país. No hay ningún mecanismo que garantice respuestas eficaces a las amenazas en materia de seguridad. Asimismo, la aplicación del marco legislativo varía. Hay una falta de interoperabilidad que dificulta una utilización correcta de los productos de seguridad.

1.4. La Agencia propuesta facilitará la aplicación de las disposiciones comunitarias en materia de seguridad de las redes y de la información y ayudará a garantizar la interoperabilidad de las funciones de seguridad en redes y sistemas de información, contribuyendo así al funcionamiento del mercado interior.

1.5. La Agencia tendrá funciones de asesoría y coordinación, con el cometido de:

- contribuir a una amplia cooperación entre las distintas instancias en el ámbito de la seguridad de la información;

- contribuir a la creación de una estrategia coordinada de seguridad de la información respaldando a los Estados miembros;

- desempeñar un papel de apoyo en la definición de las necesidades de normalización;

- respaldar los contactos de la Comunidad con las entidades correspondientes de terceros países.

1.6. Es necesario que la Comisión pueda asignar otras funciones a la Agencia con el fin de no rezagarse con respecto a la evolución actual de la tecnología y la sociedad.

1.7. Se propone que la Agencia comience sus actividades el 1 de enero de 2004 y que continúe en funcionamiento durante cinco años. La continuidad de la Agencia dependerá de los resultados que arroje la evaluación de su rendimiento.

2. Generalidades

2.1. El CESE ya ha expresado en varias ocasiones y diversos dictámenes su apoyo a toda iniciativa que promueva la sociedad de la información, como el plan de acción eEurope - Seguridad de las Redes y de la Información(2), la lucha contra los delitos informáticos(3), el necesario desarrollo de una sociedad basada en el conocimiento y libre de discriminación(4) y, por último, el derecho a un acceso seguro a Internet en lo relacionado con la protección de los datos personales y la seguridad en los pagos comerciales y los servicios de información(5).

2.2. Al igual que la Comisión, el CESE otorga gran importancia a la seguridad en el funcionamiento de los sistemas de redes e información. Los fallos de dichos sistemas afectan a todos, ya sean personas físicas, administraciones públicas o empresas. Desde la perspectiva actual, la seguridad de las redes y de la información consiste en garantizar la disponibilidad de servicios y datos, evitar las alteraciones y la intercepción no autorizada de las comunicaciones, confirmar que los datos que se han enviado, recibido o almacenado están completos y no se han modificado, así como proteger los sistemas de información contra accesos no autorizados y contra otros ataques. Es preciso que los usuarios puedan confiar en las nuevas tecnologías, independientemente de que su utilización se lleve a cabo en empresas, centros educativos o en sus propios hogares. Los requisitos de seguridad aumentarán a medida que el uso de las redes y la informática vaya desarrollándose y extendiéndose en los Estados miembros de la Unión Europea y en todo el mundo. A este respecto, el Comité desearía resaltar la importancia de que los requisitos de seguridad de la sociedad incluyan y se adapten a los nuevos comportamientos de uso que conlleve el rápido desarrollo. En particular, el uso cada vez mayor que se hace del Internet móvil y de los nuevos sistemas de radiocomunicación plantea nuevas exigencias en materia de seguridad, criptografía, accesibilidad, etc.

2.3. La confianza de los usuarios en la informática y su fidelidad hacia la sociedad de la información -y sus infraestructuras subyacentes- constituyen una condición fundamental para hacer de Europa la economía basada en el conocimiento más competitiva y dinámica del mundo antes del año 2010. Por lo que respecta al uso de los servicios de la sociedad de la información -como el comercio electrónico, los servicios de sanidad electrónicos, la administración electrónica o los mercados electrónicos-, el cumplimiento de los objetivos establecidos en el plan de acción eEurope implicará también un mejor acceso a unas infraestructuras más seguras y una mayor confianza de los usuarios hacia las tecnologías de la información.

2.4. Como señala la Comisión, los Estados miembros se encuentran en distintas fases de este trabajo de seguridad, lo cual podría deberse en gran medida a que en algunos Estados miembros se hace un mayor uso de los servicios electrónicos que en otros. Para lograr la plena realización de la sociedad de la información en la Comunidad se precisan acciones homogéneas como la adopción de normas, criterios de certificación y soluciones comunes en materia de seguridad. Se trata de una necesidad crucial para las personas físicas, las empresas, las universidades y las administraciones públicas en todo el territorio de la Comunidad. Los problemas de seguridad ya no pueden considerarse exclusivos de un país concreto. Por consiguiente, el CESE apoya la propuesta de la Comisión para crear una Agencia Europea de Seguridad de las Redes y de la Información.

2.5. Otra de las cuestiones se refiere a la cooperación europea frente a las amenazas que se ciernen sobre la sociedad de la información en materia de política de seguridad, la cual implica una colaboración entre las autoridades policiales y judiciales de los Estados miembros. Es importante diferenciar entre las amenazas de carácter subversivo dirigidas contra las sociedades de los Estados nacionales y las dirigidas contra los ciudadanos de la Unión y el uso que éstos hacen a título individual de los servicios de la sociedad de la información. La gestión a escala regional no es la más adecuada para afrontar con éxito las amenazas del primer caso, que requieren obligatoriamente una cooperación mundial. Consciente de lo cercano de estas amenazas, el Comité comparte la postura de la Comisión en el sentido de que la Agencia no deberá abordar aquellas cuestiones cuya gestión recaiga normalmente en las autoridades policiales y judiciales de los Estados miembros. No obstante, una futura evaluación de las actividades de la Agencia permitirá examinar si esta limitación influye negativamente en los trabajos de dicho órgano, y averiguar si existen motivos para marcar de manera específica un límite entre la seguridad nacional y la seguridad funcional de la información.

2.6. El CESE desearía resaltar la gran importancia de que la Agencia emprenda sus actividades cuanto antes. Así pues, se deberá evitar cualquier obstáculo de orden práctico -como, por ejemplo, un plazo de reflexión excesivo a la hora de designar la sede- que pudiera retrasar el inicio de sus actividades, previsto, a más tardar, para el 1 de enero de 2004.

3. Particularidades

3.1. El CESE considera que el cometido de la Agencia ha de ir más allá de lo previsto por la Comisión en el correspondiente apartado de su propuesta. Además de dar mejor a conocer, de manera colectiva, los problemas de la sociedad de la información y de apoyar las acciones comunitarias que afectan a la seguridad de las redes y de la información, la Agencia deberá marcarse el objetivo expreso de contribuir a divulgar los conocimientos y las experiencias relacionadas con la seguridad de las redes y de la información entre los Estados miembros, lo cual ayudaría también a contrarrestar la aparición de una "brecha digital". Además, una actuación en este sentido contribuiría a fomentar las posibilidades -tanto de la Comunidad como de sus Estados miembros- para resolver los problemas relacionados con la seguridad de las redes y de la información, a la vez que consolidaría la confianza y la fidelidad de los usuarios hacia la informática y la sociedad de la información, incluidas sus infraestructuras subyacentes.

3.2. Como destaca la Comisión, la estructura organizativa de la Agencia debería facilitar la participación de todos los afectados por su trabajo. Esta circunstancia es especialmente importante en la medida en que concierne a colectivos de usuarios procedentes -entre otros entornos- de la vida económica o las universidades, así como a los propios ciudadanos. Asimismo, resulta evidente que la Agencia también deberá contar con la presencia de representantes de los proveedores. Por todo ello, el Comité respalda la propuesta de incluir en el Consejo de Administración a representantes de la industria y de los consumidores. Por el contrario, el Comité no ve razones para que se prive a estos representantes del derecho de voto, especialmente si se tiene en cuenta que, de acuerdo con la propuesta, estos representantes serán nombrados por el Consejo. Atendiendo a su experiencia en el uso de los servicios de la sociedad de la información y el conocimiento de los mercados, la industria, los investigadores y los consumidores parten con ventaja frente a los representantes de las administraciones públicas.

3.3. En términos generales, el CESE está en condiciones de respaldar la propuesta relativa a las actividades de la Agencia con arreglo a lo establecido en el apartado 3.5. No obstante, el Comité desearía puntualizar algunas cuestiones.

3.3.1. Por lo que respecta al programa de trabajo de la Agencia, el Comité considera que ésta deberá disponer de recursos para abordar no sólo los asuntos que se inscriban en él, sino también otras cuestiones que surjan de modo repentino y sean de gran actualidad en materia de seguridad, es decir, que deberá contar con los recursos necesarios para gestionar incidentes imprevistos. Por todo ello, en los programas de trabajo se deberá procurar que las actividades a largo plazo no impidan la gestión de aquellas cuestiones imprevistas y de actualidad que pudieran surgir en temas relacionados con la seguridad o la confianza.

3.3.2. En cuanto a especificar quién tendrá derecho a presentar peticiones de dictámenes a la Agencia, el CESE estima que las organizaciones centrales de la industria y los consumidores de los Estados miembros deberán formar parte de ese grupo.

3.3.3. El Comité presupone que los representantes de usuarios procedentes de organizaciones empresariales y de consumidores también participarán en los grupos de trabajo que instituya la Agencia y que, de este modo, podrán influir directamente, entre otras, en las actividades de normalización y certificación. Los cometidos de la Agencia implican una participación activa del mundo empresarial.

3.4. Por lo que se refiere a las disposiciones financieras, el CESE considera esencial que se establezca y garantice que las actividades de la Agencia y su situación financiera serán independientes de las posibles cotizaciones aportadas por terceros países participantes en los trabajos de la Agencia.

3.5. El Comité comparte la opinión de la Comisión acerca de la conveniencia de efectuar, ya después de los tres primeros años, una evaluación para examinar si la solución institucional propuesta es la más adecuada para abordar las cuestiones relacionadas tanto con la seguridad de las redes y de la información, como con la confianza y la fidelidad de los usuarios hacia la informática y la sociedad de la información y sus infraestructuras.

3.6. Por lo que respecta a la sede de la Agencia, el CESE estima que, además de los criterios establecidos por la Comisión, es fundamental que la ubicación de la sede le permita operar en un entorno que posea las siguientes características:

- unas infraestructuras bien desarrolladas con una elevada capacidad de transmisión;

- un elevado grado de desarrollo de los servicios públicos electrónicos;

- una presencia del comercio electrónico como elemento normal de la vida económica y una comunidad de usuarios -en el más amplio sentido del término- avezados en la utilización de las tecnologías de la información.

De este modo se brindaría a la Agencia la posibilidad de operar en el seno de una sociedad avanzada de la información y de seguir de cerca y participar en los riesgos y amenazas que aquella deberá estudiar, evaluar, divulgar, etc. Todo ello entraña un valor especial de cara a las posibilidades de que dispone la Agencia para realizar un seguimiento de los problemas con que se enfrentan los ciudadanos y la verdadera pequeña empresa en la sociedad de la información. Posiblemente, éstos son los colectivos de usuarios peor preparados para velar por sus intereses en el marco de una cooperación interestatal. Es más que probable que una actuación en este sentido respalde de manera decisiva las posibilidades con que cuenta la Agencia para cumplir eficazmente sus cometidos.

Bruselas, 18 de junio de 2003.

El Presidente

del Comité Económico y Social Europeo

Roger Briesch

(1) COM(2001) 298 final.

(2) Dictámenes del Comité Económico y Social sobre la "Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones - Seguridad de las redes y de la información: Propuesta para un enfoque político europeo" (DO C 48 de 21.2.2002) y la "Propuesta de Decisión del Consejo por la que se adopta un programa plurianual (2003-2005) para el seguimiento de eEurope, la difusión de las buenas prácticas y la mejora de la seguridad de las redes y la información (Modinis)" (COM(2002) 425 final).

(3) Dictamen del Comité Económico y Social sobre la "Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones - Creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos - eEurope 2002" (DO C 311 de 7.11.2001).

(4) Dictamen del Comité Económico y Social sobre "La información del sector público: un recurso clave para Europa - Libro Verde sobre la información del sector público en la sociedad de la información" (DO C 169 de 16.6.1999).

(5) Dictamen del Comité Económico y Social sobre la "Propuesta de Directiva del Parlamento Europeo y del Consejo relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas" (DO C 123 de 25.4.2001).