Home / Area / DOCTRINA EN DOS PÁGINAS Diario DPI Suplemento Derecho y Tecnologías Nro. 69 – 14.10.2020


DOCTRINA EN DOS PÁGINAS

Anatomía del “Dispositivo Integrado de Respuesta Política a las Crisis” (DIRPC) de la Unión Europea y su aplicación en incidentes cibernéticos

Por Uriel Bekerman

I. Los Acuerdos de Coordinación de Crisis (CCA)

Con posterioridad a los ataques terroristas en Estados Unidos y Londres en 2001 y 2005 respectivamente, en adición a los antecedentes de desastres naturales como el Tsunami del Océano Índico en 2004 y el Huracán Katrina en 2005, los Estados miembros de la Unión Europea (UE) entendieron la gravedad de las consecuencias que pueden producir hechos catastróficos como estos, y concluyeron a mediados de dicha década que era necesaria la existencia de un instituto de coordinación regional, capaz de brindar respuestas políticas oportunas para reducir el número de Estados afectados frente a una potencial crisis o emergencia a gran escala, y, en su caso, para limitar el tiempo de la afectación.

En virtud de ello, se dispuso la creación de “Acuerdos de Coordinación de Crisis” (Crisis Coordination Arrangements o CCA)[1] que, con una sólida participación del Comité de Representantes Permanentes de los Gobiernos de los Estados miembros de la Unión Europea (Committee of Permanent Representatives in the European Union o COREPER), impulsaron el desarrollo de una mayor capacidad para responder rápida y eficazmente ante estas alarmantes situaciones.

La misión de los CCA fue proporcionar una solución genérica aplicable y susceptible de ser desencadenada en cualquier tipo de crisis -como catástrofes naturales, accidentes industriales y/o nucleares, pandemias y hasta ataques terroristas-, y únicamente debía utilizarse frente a emergencias que tengan un efecto directo en más de un Estado miembro simultáneamente, manteniendo un principio de subsidiariedad en su naturaleza y respetando la primacía de cada Estado de la UE para responder en su respectivo territorio, sin la ayuda de otro Estado o de la Unión en su conjunto.

En tales circunstancias, los CCA deberían contar con herramientas específicas para responder a las crisis a través de: (i) la proporción de una vía de acceso e intercambio de información clave entre todos los Estados miembros, cuyo fin sería el análisis estratégico y la evaluación de medidas tendientes a la protección de los ciudadanos; (ii) el apoyo operativo a los Estados miembros que no tengan capacidades suficientes para hacer frente a una potencial crisis; (iii) la colaboración en la planificación y toma de medidas, especialmente cuando las mismas versen sobre decisiones políticas contenciosas y/o que impliquen una acción colectiva que involucre a más de un Estado; y, por último, (iv) la coordinación de la información que se comparta con los medios de comunicación, siempre que ésta pueda conducir a una afectación de la respuesta estratégica.

II. El Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC)

En la búsqueda de una renovación estratégica del proceso de respuesta frente a una potencial crisis, en junio de 2013 el Consejo de Europa aprobó el documento titulado: “Finalización del proceso de revisión de los CCA: Dispositivo Integrado de Respuesta Política a las Crisis”,[2] en el cual reforzó el objetivo de una alineación de todas las fuerzas políticas y propuso para esto la implementación de un Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC), que reemplazaría al modelo de trabajo implementado en los CCA, y que basaría su existencia en un enfoque progresivo que incluiría: (i) un monitoreo de alertas de situaciones susceptibles de convertirse en una crisis; (ii) la realización de informes sectoriales periódicos con el objeto de analizar la evolución de cada Estado miembro; (iii) la posibilidad de que la Presidencia del Consejo active el dispositivo; (iv) la recopilación e intercambio de información entre los Estados; y (v) la toma de medidas preparatorias para asegurar la participación política de la UE; entre otras.

El Consejo determinó que el proceso de toma de decisiones del Dispositivo sería respaldado por el organismo de Conciencia y Análisis Integrados de la Situación (Integrated Situational Awareness and Analysis o ISAA), que tendría especialmente la capacidad de recopilar y compartir información sobre las eventuales situaciones de emergencia y acerca de los análisis realizados por la UE y los Estados miembros; y de elaborar una visión general de la situación, su evolución y sus consecuencias.

Considerando que el artículo 222, ap. 1° del Tratado de Funcionamiento de la Unión Europea (TFUE) dispone que tanto la UE como sus Estados miembros deben actuar solidariamente si un Estado miembro es víctima de un ataque terrorista, de una catástrofe natural o de origen humano, como consecuencia de una propuesta conjunta de la Comisión Europea y del Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad (Alto Representante o AR), a mediados de 2014, el Consejo aprobó un documento relativo a las modalidades de aplicación -por parte de la UE- de esta cláusula de solidaridad,[3] en el cual se dispuso expresamente que la misma debería basarse en el DIRPC y que su implementación sería respaldada por la Secretaría General del Consejo, la Comisión y el Servicio Europeo de Acción Exterior (SEAE).[4]

Al invocarse esta cláusula por un Estado miembro, el Consejo asumiría la dirección estratégica de la respuesta, y la Presidencia del Consejo debería activar inmediatamente el DIRPC, informando esta invocación a todos los Estados miembros.[5] Como parte de la respuesta propiamente dicha a través del DIRPC, (i) se identificarían todos los instrumentos de la UE que podrían contribuir a la solución de la crisis así como las capacidades militares que mejor podrían contribuir a esta; (ii) se elaborarían periódicamente informes integrados de sensibilización y análisis de la situación,[6] los cuales deberían ofrecer una visión de la situación e incluir contribuciones de los Estados miembros así como de otras entidades de la UE;[7] y (iii) se presentarían propuestas al Consejo acerca de la toma de medidas excepcionales no previstas por los instrumentos existentes.[8]

Hacia finales de 2018 el Consejo destacó que cada crisis era susceptible de requerir un tratamiento diferenciado y especializado, y que el Dispositivo había sido concebido para adaptarse a cada una de ellas.[9] Además, recordó que el DIRPC había sido activado por primera vez en 2015 debido a la crisis migratoria por los refugiados provenientes del Oriente Medio, quienes cruzaban el mar Mediterráneo huyendo de la guerra y de las persecuciones;[10] y que el instrumento había funcionado de manera efectiva en el intercambio de información sobre emergencias complejas como las de Siria/Irak, Yemen, Ucrania, Nepal, y hasta en crisis sanitarias como la del ébola. Sumado a esto, el Dispositivo había sido utilizado también para responder a diversos ciberataques, catástrofes naturales y amenazas híbridas.[11]

Sobre estos antecedentes, el Consejo consideró oportuno aprobar una Decisión de Ejecución sobre el DIRPC,[12] la cual estableció dos modos de activación para este, que se alternarían en virtud de la gravedad de cada crisis: la primera funcionaría para la puesta en común de la información acerca de la situación de emergencia; y la otra -considerada “plena”- incluiría medidas concretas de respuesta a ella.[13] Por otro lado, se establecieron Mesas Redondas Informales que, a pesar de su “informalidad”, brindarían un marco institucionalizado para las ya existentes desde los CCA, con el objeto de identificar y analizar la potencial situación de crisis, y que serían convocadas por la Presidencia del Consejo.

En adición, el Consejo incorporó en la Decisión una definición para el término “crisis”, que en virtud del instrumento debe entenderse como una “situación cuyos efectos de gran alcance o cuya importancia política son tales que requieren que se produzca a tiempo una coordinación de medidas y una respuesta a nivel político de la Unión”; y brindó otra para “respuesta” cuyo significado es “toda medida adoptada en caso de crisis con el fin de afrontar sus consecuencias adversas”.[14]

III. El DIRPC aplicado a las crisis cibernéticas

En paralelo a la evolución que venía teniendo el Dispositivo en el seno de la Unión Europea, y, en virtud de las medidas que se habían tomado para mejorar la coordinación y la calidad de respuesta política, se tornó menester el análisis especializado de las posibles estrategias que deberían implementarse en caso de necesitar enfrentar una de las crisis más peligrosas: las cibernéticas.

Entendiendo a un incidente de ciberseguridad como “todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas de información”,[15] en 2017, la Comisión Europea planteó que, durante la última década, las nuevas tecnologías de la información y la comunicación (TIC) habían sido reafirmadas como el pilar fundamental y la espina dorsal del crecimiento de las socioeconomías modernas, y, a raíz de un aumento de la dependencia de los ciudadanos hacia estas TIC, todos los Estados miembros debían estar preparados frente a la posibilidad de que un incidente de ciberseguridad afecte sus operadores esenciales y provoque una situación de emergencia a nivel regional o “a gran escala” para toda la Unión,[16]  lo que sucede cuando la perturbación a un Estado es de tan alta envergadura que no puede resolverse sin ayuda de otro Estado o de la Unión en su conjunto, o mismo cuando afecte a dos o más Estados miembros y requiera una coordinación de respuesta especial,[17] considerando también que estos incidentes pueden ser direccionados a cualquier punto geográfico de la Unión y hasta ocurrir simultáneamente en más de uno de ellos.

Mediante la Recomendación (UE) 2017/1584 referida a una respuesta coordinada frente a crisis de ciberseguridad a gran escala, la Comisión invitó a los Estados miembros y a las instituciones de la UE a crear un Marco de respuesta a los incidentes de esta índole dentro de la Unión, y consideró que una estrategia eficaz contar con procedimientos y mecanismos de cooperación previamente establecidos y ensayados.[18]

Además, incorporó un “Plan de director”[19] conformado por: (i) una serie de principios rectores -de proporcionalidad, subsidiariedad, complementariedad y confidencialidad de la información-; (ii) los objetivos centrales de la cooperación regional –a través de una respuesta eficaz, el conocimiento compartido de la situación, los mensajes de comunicación al público diferenciado por tres niveles (estratégicos, operativos y técnicos) y la determinación de los mecanismos y los agentes implicados-; y (iii) la gestión de crisis de ciberseguridad bajo la utilización del DIRPC.

Profundizando este último punto, la gestión consistió en 9 pasos a seguir en presencia de incidentes de ciberseguridad a gran escala, los cuales se detallan a continuación: (i) la vigilancia y alerta sectorial a través de informes periódicos; (ii) el análisis y asesoramiento a la Presidencia del Consejo sobre los informes mencionados en vistas de decidir acerca de la activación del DIRPC; (iii) la evaluación y la decisión sobre la activación del DIRPC, y en esta instancia podría convocarse una Mesa Redonda Informal; (iv) la activación del DIRPC y el intercambio de información entre los Estados miembros a través de la creación de una página de crisis dentro de la plataforma web del DIRPC; (v) la elaboración de los informes ISAA sintetizando la situación de crisis cibernética; (vi) la preparación de una Mesa Redonda Informal de la Presidencia; (vii) la realización de la Mesa y la toma de medidas preparatorias para la coordinación de respuesta; (viii) la coordinación y toma de medidas en el ámbito del Coreper y Consejo; y (ix) la vigilancia del impacto, que analizaría la evolución de la crisis entorno a las medidas tomadas.

IV. Conclusiones

A raíz de los trágicos antecedentes que sufrieron diversos Estados tanto dentro como fuera de la Unión desde principios del milenio, los Estados miembros y sus autoridades regionales decidieron reconstruir la arquitectura de las decisiones políticas a nivel de toda la UE para responder adecuada y coordinadamente frente a crisis de diversas índoles. Esto consistió inicialmente en los Acuerdos de Coordinación de Crisis, y luego prosperó en la implementación del Dispositivo Integrado de Respuesta Política a las Crisis, el cual fue evolucionando y otorgando mayor protagonismo a una de las crisis más peligrosas: las basadas en incidentes de ciberseguridad.

Las altas probabilidades y la amplitud de vías por las que uno o más Estados miembros pueden ser víctimas de un incidente cibernético, implican que la regulación establecida para coordinar la respuesta coordinada deba ser elaborada con suma flexibilidad, capaz de ser aplicada adecuadamente para todas las diferentes clases de crisis o emergencias.

Sin perjuicio de que hoy pueda considerarse a la UE fuertemente preparada para enfrentarse contra emergencias de ciberseguridad, esta crisis en particular está caracterizada por ser transfronteriza y capaz de ocurrir con inmediatez y simultaneidad en cualquier punto geográfico de la Unión, por lo que resultará fundamental que todos los Organismos regionales tengan un sólido conocimiento y ensayo de todos los pasos a seguir que se han establecido en el Plan del Director.

 

 

[1] EU Emergency and Crisis Coordination Arrangements, Comunicación del Consejo de Europa, 29 de noviembre de 2005, Doc. N°15106/05.

[2] Finalisation of the CCA Review Process: The EU Integrated Political Crisis Response (IPCR) Arrangements, Doc. N°10708/13, aprobado por el Consejo de Europa el 25 de junio de 2013.

[3] 2014/415/UE.

[4] Cons. 2 y 3 Ibídem.

[5] Art. 5.1 Ibídem.

[6] Art. 5.2 Ibidem.

[7] Art. 6 Ibídem.

[8] Art. 5.3 Ibídem.

[9] Cons. 10 de la Decisión de Ejecución (UE) 2018/1993.

[10] 2015: El año de la crisis de refugiados en Europa, ACNUR, disponible en https://www.acnur.org/es-es/noticias/notas-de-prensa/2353-2015-12-30-16-24-16.

[11] Cons. 12 de la Decisión de Ejecución (UE) 2018/1993.

[12] Ibidem.

[13] Art. 2 Ibídem.

[14] Art. 3 Ibídem.

[15] Artículo 4 inc. 7 de la Directiva (UE) 2016/1148.

[16] Cons. 1 y 2 de la Recomendación (UE) 2017/1584.

[17] Cons. 3 y 4 Ibídem.

[18] Cons. 5 Ibídem.

[19] Anexo: “Plan director de la respuesta coordinada a los incidentes y crisis de ciberseguridad transfronterizos a gran escala”, Ibídem.

DESCARGAR ARTICULO