CSIRT-CAN – Centro de Respuesta a Incidentes de Seguridad de Canarias

¿Por qué son tan importantes las infraestructuras claves en la Unión Europea?

La dependencia estratégica de infraestructuras y cadenas de suministro digitales no europeas es uno de los retos claves de la Unión Europea. En este último día de octubre queremos concluir sobre el Mes de la Ciberseguridad tratando este problema.

Muchos de los servicios y productos que Europa utiliza para su infraestructura digital provienen de países fuera de la UE (por ejemplo, EE.UU., China, etc.). Estas infraestructuras incluyen servidores, plataformas de software, sistemas de almacenamiento en la nube, etc.

¿Por qué esto es el reto clave?

  • Riesgo geopolítico y normativo: proveedores sometidos a leyes extraterritoriales pueden verse forzados a entregar datos o interrumpir servicios externos a las leyes de la UE.

  • Concentración de mercado: un solo fallo o una sanción impacta a sectores enteros.

  • Ataques a la cadena de suministro: una sola dependencia comprometida (firmware, librería OSS, actualización) se propaga por toda la UE.

  • OT/infra crítica: energía, transporte, sanidad y finanzas usan hardware/softwares extranjeros difíciles de auditar o sustituir rápido.

¿Qué implicaría afrontarlo?

  1. Soberanía en la nube y datos

    • Esquemas de certificación (soberanía jurídica, localización, control operativo) y multi-cloud por diseño en AA.PP. y sectores críticos.

  2. Seguridad de la cadena de suministro

    • SBOM obligatoria y continua, firma/verificación de artefactos, atestación de compilación reproducible, requisitos de soporte para OSS crítico.

  3. Diversificación y sustitución gradual

    • Roadmaps de “vendor variety” en 5G/6G, routers, HSM, con compras públicas que premien interoperabilidad y estándares abiertos.

  4. Resiliencia física y geopolítica

    • Protección y redundancia de cables submarinos, rutas satelitales/terrestres alternativas, test periódicos de conmutación.

  5. Capacidad industrial y talento aplicado (sin contar la escasez genérica)

    • Incentivos a fabricación de chips/secure elements y a laboratorios de evaluación (Common Criteria/EMVCo/FIPS) dentro de la UE.

  6. Cripto post-cuántica y ciclo de vida

    • Plan UE de migración coordinada a criptografía resistente a cuántica en infra crítica y servicios públicos, con inventario previo de activos.

El gran reto es ganar autonomía y verificabilidad sobre la infraestructura digital de la que dependen la economía y los servicios esenciales, para que ninguna decisión externa (comercial, técnica o política) deje a Europa ciber-vulnerable.