El Consejo Europeo ha establecido un marco regulatorio (Reglamento (EU) 2019/796del Consejo) que permitirá a la UE imponer sanciones en relación con aquellos ciberataques que constituyan una amenaza para la UE o sus Estados Miembros.
En esta regulación también se incluyen ciberataques contra terceros estados u organizaciones internacionales, a fin de alcanzar los objetivos recogidos en la Política Exterior y de Seguridad Común.
La normativa no está dirigida a ningún país en particular, sino que trata de cubrir todas las ciber amenazadas que puedan darse, con lo que no ha sido diseñada para ningún territorio en concreto, pero sí para determinadas figuras de ataque malicioso.
Se incluyen como ciberataques que constituyen una amenaza los siguientes:
- aquellos originados o llevados a cabo desde fuera de la UE;
- aquellos que se valgan de infraestructuras fuera de la UE;
- aquellos que se lleven a cabo por cualquier persona natural o jurídica y que opere fuera de la UE; o
- aquellos operados con el apoyo o bajo el control o dirección de cualquier persona natural o jurídica desde fuera de la UE.
Se consideran ciberataques aquellas acciones que impliquen:
- acceso a información y sistemas;
- interferencia en sistemas de la información;
- interferencia en los datos; o
- intercepción de los datos.
Algunas de las medidas incluyen prohibición sobre las personas de desplazarse a la UE y congelación de activos de personas y entidades. Asimismo, tanto personas como entidades de la UE tendrán prohibido poner fondos a disposición de quienes figuren en dichas listas.
Aplicación territorial:
- dentro del territorio de la UE, incluido el ciberespacio;
- aeronaves bajo la jurisdicción de cualquier Estado Miembro;
- cualquier persona física dentro o fuera del territorio de la UE que sea nacional de un Estado Miembro;
- cualquier persona jurídica, dentro o fuera del territorio de la UE, que se haya constituido bajo el derecho de un Estado Miembro;
- cualquier persona jurídica en relación a un negocio desarrollado en su totalidad o en parte dentro de la UE.
La UE y sus Estados Miembro están preocupados por cualquier comportamiento malicioso en el ciberespacio que pueda mermar la integridad de la seguridad, economía y competitividad europeas. Los actores involucrados en este tipo de actividades ya han sido requeridos para que cesen, y se ha pedido a todos los aliados que refuercen la cooperación internacional para promover la seguridad y la estabilidad en el ciberespacio.