Nueva directiva sobre ciberseguridad

La novísima Directiva (UE) 2016/1148 de 6 de Julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión viene a ser el corolario final de un proceso largo y arduo que tenía una clara finalidad de armonizar los distintos ordenamientos jurídicos de los Estados miembros en materia de seguridad en redes y sistemas de información. Recientemente se publicaba además, el Código de Derecho de la Ciberseguridad que redireccionaremos al final del presente artículo por si el lector tiene interés en ahondar en la materia.

Debemos recordar al lector que una Directiva Comunitaria ( como norma de Derecho Primario) y atendiendo a su especial naturaleza, es una norma orientada a la homogeneización y armonización de la normativa interna de cada uno de los Estados miembros, o lo que es lo mismo, una norma cuyo objetivo principal es determinar las líneas directrices comunes a nivel europeo que de alguna manera vengan a armonizar la distinta normativa estatal de cada uno de los Estados miembros, para fijar las líneas comunes en una determinada materia (en este caso en sede de ciberseguridad).

Pues bien, esto es lo que pretende la presente Directiva que hoy es objeto de estudio: lograr un elevado nivel común de seguridad de las redes y sistemas de información dentro de la Unión para mejorar el funcionamiento del mercado interior.

Bajo la premisa de que “las redes y sistemas de información desempeñan un papel crucial en la sociedad” y que su “fiabilidad y seguridad son esenciales para las actividades económicas y sociales y en particular para el funcionamiento del mercado interior”, el legislador europeo tiene la creencia de que las mismas contribuyen de forma decisiva a facilitar la circulación transfronteriza de productos, servicios y personas, y que para un correcto funcionamiento del mercado interior es fundamental la seguridad en las redes y en los sistemas de información.

Considerando que los niveles de protección y preparación de los Estados miembros son muy distintos y que ello genera “niveles desiguales de protección de los consumidores y las empresas”, y que “la inexistencia de requisitos comunes aplicables a los operadores de servicios esenciales y los proveedores de servicios digitales imposibilita la creación de un mercado global y eficaz de cooperación en la Unión” el presente texto trata de dar una respuesta efectiva a estos problemas, estableciendo como objetivo principal el establecimiento de requisitos mínimos comunes en materia de desarrollo de capacidades de planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y que los proveedores de servicios digitales apliquen medidas de seguridad más estrictas.

Cada Estado miembro debe disponer de una estrategia nacional de seguridad de las redes y sistemas de información que fijen los objetivos estratégicos y las medidas concretas que haya que aplicar.

Dada la extensión e importancia de la materia, pasaremos a reproducir de la manera más sencilla posible las diez notas básicas y más representativas del texto europeo, a fin de que el lector pueda tener una idea general de las líneas esenciales de la presente Directiva.

1.- Estrategia nacional de Seguridad ( artículo 7).

El objetivo principal de la Directiva es elaborar una estrategia nacional de seguridad de las redes y sistemas de información. Dicha estrategia deberá establecer los objetivos estratégicos y las medidas políticas y normativas adecuadas para manetenr un elevado nivel de seguirdad de redes y sistemas de información.

2.- Autoridades nacionales competentes y punto de contacto único ( artículo 8).

Cada Estado debe designar un Punto de Contacto Único Nacional, que se encargue de coordinar las cuestiones relacionadas con la seguridad en redes y sistemas de información, así como de la cooperación transfronteriza a escala de la Unión. Dicho “punto de contacto único” ejercerá una función de enlace para garantizar la cooperación transfronteriza entre las autoridades de los Estados miembros.

Cada Estado deberá designar además una o más autoridades nacionales competentes en materia de seguridad de las redes y sistemas de información que supervisarán la aplicación de la presente Directiva a escala nacional.

Señala el texto expresamente que “ los puntos de contacto únicos no deben recibir directamente ninguna notificación de incidente, salvo en caso de que actúen también como autoridad competente o como CSIRT. No obstante, una autoridad competente o un CSIRT ha de poder encargar al punto de contacto único que transmita notificaciones de incidentes a lso puntos de contacto únicos de los demás Estados miembros afectados.”.

El punto de contacto único deberá presentar un Informe resumido al Grupo de Cooperacion  (que deberá ser anónimo para proteger la confidencialidad de las notificaciones y la identidad de los operadores de servicios esenciales y los proveedores de servicios digitales). Este informe resumido, deberá contener información sobre el número de notificaciones recibidas y sobre las características de los incidentes notificados, como los tipos de vulneraciones de seguridad, su gravedad y duración.

3.-Creación de CSIRT ( Computer Security Incident Response Teams) (artículo 9 y Anexo I)

También conocido como  Equipos de Respuesta a Incidentes de Seguridad Informática, deberán recibir las notificaciones de los incidentes.

Los CSIRT garantizarán un elevado nivel de disponibilidad de sus servicios de comunicaciones evitando los fallos ocasionales y contarán con varios medios para que se les pueda contactar y puedan contactar a otros en todo momento.

Entre las funciones de las CSIRT podemos destacar: supervisar de incidentes a escala nacional, difundir alertar tempranas, alertas , avisos e información sobre riesgos e incidentes entre los interesados, responder incidentes, efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación, participar en la rede de CSIRT.

Señala el texto, que sería conveniente que la Secretaría de la red de CSIRT mantuviera un sitio web, o dedicara una página dentro de un sitio web existente, en el que se pusiera a disposición del público información general sobre los principales incidentes en materia de seguridad que afecten a las redes y sistemas de información acaecidos en toda la Unión

 

4.- Cooperación a escala nacional.

Cuando sean distintos la autoridad competente, el punto de contacto único y los CSIRT del mismo Estado miembro, cooperarán al cumplimiento de las obligaciones establecidas por la Directiva.

Los Estados miembros velarán por que las autoridades competentes o los CSIRT reciban las notificaciones sobre incidentes que se presenten, y velarán por que las autoridades competentes o los CSIRT  informen a los puntos de contacto únicos sobre las notificaciones de incidentes presentadas.

5.- Creación de un Grupo de Cooperación a nivel europeo.

La norma prevé la creación de un “Grupo de cooperación” para garantizar un nivel común de seguridad de las redes y sistemas de información en la Unión.

Este Grupo de Cooperación estará formado por representantes de los Estados miembros, la Comisión y la ENISA.

Las principales funciones de este Grupo de Cooperación serán, entre otras: proporcionar orientación estratégica para las actividades de CSIRT, intercambiar buenas prácticas, discutir sobre las capacidades y la preparación de los Estados miembros, evaluar voluntariamente las estrategias nacionales de seguridad de las redes y sistemas de información, examinar anualmente los informes que se presenten, discutir sobre las modalidades para informar sobre notificaciones de incidentes…

6.- Creación de una “ Red de CSIRT”.

La rede de CSIRT estará formada por representantes de los CSIRT de los Estados miembros. La Comisión participará en esta red en calidad de observador y la ENISA se hará cargo de la Secretaría .

Las principales funciones de esta Red entre otras, serán las de  intercambiar información sobre servicios, operaciones y capacidades de cooperación con los CSIRT, intercambiar y proporcionar voluntariamente información no confidencial sobre incidentes concretos, prestar apoyo a los Estados miembros a la hora de abordar incidentes transfronterizos , discutir, explorar e identificar nuevas formas de cooperación operativa, publicar directrices para facilitar la convergencia de prácticas operativas .

7.-Seguridad e las redes y sistemas de información de operadores de servicios esenciales.

Los Estados miembros deberán velar por que los operadores de servicios tomen las medidas adecuadas y proporcionadas para gestionar los riesgos que planteen para la seguridad de las redes y sistemas de información, por que los operadores tomen las medidas adecuadas para prevenir y reducir al mínimo los efectos de los incidentes, y por que los operadores de servicios esenciales notifiquen sin dilación indebida a la autoridad competente o al CSIRT los incidentes que tengan efectos significativos.

Para determinar la importancia de los efectos del incidente, se tendrán en cuenta diversos factores como el número de usuarios afectados por la perturbación del servicio esencial, la duración del incidente, la extensión geográfica de la zona afectada por el incidente…

8.-Seguridad e las redes y sistemas de información de operadores de proveedores de servicios digitales.

Los Estados miembros deberán velar por que los proveedores de servicios digitales determinen y adopten medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos para la seguridad de las redes y sistemas de información; por que estos proveedores adopten medidas para prevenir y reducir el mínimo de impacto de los incidentes que afectan a la seguridad de sus redes y sistemas de información ,y por que los proveedores notifiquen sin dilación indebida a la autoridad competente o al CSIRT cualquier incidente que tenga impacto significativo ( para determinar si el impacto de un incidente es significativo, se tendrán en cuenta: número de usuarios afectados por el incidente, duración del incidente, extensión geográfica, grado de perturbación del funcionamiento, alcance del impacto en las actividades económicas y sociales).

9. Jurisdicción , territorialidad y sanciones.

Un proveedor de servicios digitales se considerará sometido, a los efectos de esta Directiva, a la jurisdicción del Estado miembro en el que se encuentre su establecimiento principal. Se considera que un proveedor de servicios digitales tiene su establecimiento principal en un Estado miembro cuando su domicilio social se encuentre en este Estado miembro. Además un proveedor de servicios digitales que haya nombrado un representante por no estar establecido en la Unión, se considerará sometido a la jurisdicción del Estado miembro en el que se encuentre establecido su representante.

En caso de incumplimiento de las disposiciones nacionales aprobadas al amparo de esta Directiva, los Estados miembros podrán establecer un régimen de sanciones, que serán efectivas, proporcionadas y disuasorias.

10. Otras disposiciones.

La presente Directiva, que entrará en vigor a los veinte días de su publicación en el Diario Oficial de la UE,  va dirigida a todos los Estados miembros , que deberán adoptar y publicar las disposiciones necesarias para cumplir lo dispuesto en el presente texto antes del 9 de Mayo del 2018.

.-Conclusiones.

En definitiva, la Directiva conocida como “ Directiva de ciberseguridad” es un texto esencial para la armonización y homogeneización común de todos los Estados miembros en materia  de seguridad en redes y sistemas de información en la Unión.

Con el objetivo de formalizar un “ planteamiento global en la Unión que integre requisitos mínimos comunes en materia de desarrollo de capacidades , planificación, intercambio de información , cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales” se establece un entramado de organismos (  punto de contacto único,  CSIRT, autoridad competente y demás órganos europeos) con un organigrama , estructura y funciones muy bien detallado a fin de canalizar las incidencias que pudieran producirse en aras a una mayor seguridad en redes y sistemas de información y de establecer un sistema de cooperación europeo efectivos que controle este tipo de incidencias y que unifique  la normativa de todos los Estados miembros a fin de armonizar la normativa interna en esta materia, estableciendo sistemas igualitarios de protección para particulares y empresas, para un correcto funcionamiento del mercado interior. Y todo ello  con pleno respeto al tratamiento de datos personales de conformidad con la Directiva 95/46/UE y el Reglamento correlativo.

Firmado: Miriam Guardiola Salmerón.
Colaboradora en Derecho & Perspectiva.


Fuente:

– Directiva (UE) 2016/ 1148 del Parlamento Europeo y del Consejo de 6 de Julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la UE.

Más información.

– Código de Derecho de la Ciberseguridad

Deja un comentario

Tu dirección de correo electrónico no será publicada.

* Copy This Password *

* Type Or Paste Password Here *