Este 17 de mayo de 2019, el Consejo Europeo finalmente fijó un marco que permite a la Unión Europea imponer medidas restrictivas específicas para disuadir y contrarrestar los ciberataques que representen unaamenaza exterior para la Unión Europea o sus Estados miembros, en particular los perpetrados contra terceros Estados u organizaciones internacionales, cuando esas medidas se consideren necesarias para alcanzar los objetivos de la política exterior y de seguridad común (PESC).
Como antecedentes tenemos que la Unión Europea reconoce que el ciberespacio ofrece oportunidades considerables, pero también plantea desafíos en constante evolución. Está preocupada por el auge de conductas malintencionadas en el ciberespacio, cuya finalidad es menoscabar la integridad, seguridad y competitividad económica de la UE, con posible riesgo de conflictos.
Es así como el 19 de junio de 2017, el Consejo adoptó el conjunto de instrumentos de ciberdiplomacia, un marco que contribuye a mejorar la cooperación, prevenir conflictos, mitigar posibles amenazas cibernéticas y disuadir a los agresores potenciales e influir en su conducta. Se hizo en respuesta a la preocupación creciente por el aumento de la capacidad y la voluntad de agentes estatales y no estatales de realizar actividades informáticas malintencionadas.
El 16 de abril de 2018, el Consejo adoptó unas Conclusiones sobre actividades informáticas malintencionadas. En ellas destacaba la importancia de un ciberespacio mundial, abierto, libre, estable y seguro, y manifestaba su preocupación por la actividad de agentes malintencionados.
El 28 de junio de 2018 y el 18 de octubre de 2018, el Consejo Europeo pidió que se impulsaran los trabajos sobre la capacidad de impedir los ciberataques y darles respuesta.
El 12 de abril de 2019, la alta representante formuló una declaración en nombre de la UE en la que hacía hincapié en la necesidad de respetar el orden basado en normas en el ciberespacio, instaba a los agentes a abstenerse de realizar actividades informáticas malintencionadas, en particular el robo de propiedad intelectual, y pedía a todos los socios que reforzaran la cooperación internacional para promover la seguridad y la estabilidad en el ciberespacio.
En términos concretos, los ciberataques que entran en el ámbito de aplicación de este nuevo régimen de sanciones son los que tienen repercusiones importantes y que:
- se originan o se cometen desde el exterior de la UE, o
- utilizan infraestructura exterior a la UE, o
- son cometidos por personas o entidades establecidas o activas fuera de la UE, o
- son cometidos con el apoyo de personas o entidades activas fuera de la UE.
El régimen abarca también las tentativas de ciberataques con repercusiones potencialmente importantes.
Más concretamente, este marco permite por primera vez a la UE imponer sanciones a las personas o entidades responsables de ciberataques o tentativas de ciberataques, o que prestan para ello apoyo financiero, técnico o material o están implicadas de algún otro modo, así como a las personas y entidades asociadas con ellas.
Entre las medidas restrictivas figuran la inmovilización de activos de dichas personas y entidades y la prohibición de viajar a la UE. Además, las personas y las entidades de la UE tienen prohibido poner fondos a disposición de aquellas que figuren en la lista.
