Un primer paso para regular la ciberseguridad

Desde el pasado día 9 de agosto se encuentra en vigor la primera norma comunitaria que, de una manera global, pretende abordar la regulación de la ciberseguridad. Así, la Directiva 2016/148 del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel de seguridad de las redes y sistemas de información en la UE viene a configurarse como una norma que pretende lograr una armonización comunitaria en materia de ciberseguridad; si bien, debemos interpretar la misma como el “pistoletazo” de salida a los Estados miembros para que comiencen a adoptar medidas que permitan, en el año 2018, tener un marco comunitario de seguridad de las redes de comunicación.

A nadie se le escapa que la fiabilidad y la seguridad de las redes de comunicación son de gran trascendencia para prácticamente cualquier actividad. Los sistemas informáticos se han convertido en elementos básicos para la actividad económica y social. De esta forma, los fallos de seguridad, ya sean estos fortuitos o intencionados, se convierten en elementos claves que pueden afectar de manera significativa a nuestra sociedad; pensemos en los sistemas de información que controlan o intervienen en sectores esenciales: el eléctrico, el financiero, suministro de agua, gas, trasporte aéreo,…. Cualquier ataque o incidencia de seguridad puede conllevar costes económicos y personales de difícil cuantificación.

Conjuntamente con estos sectores, existen otras actividades para las cuales la seguridad tecnológica será de vital y importancia y que, por ello, igualmente se encuentran en el ámbito de aplicación de la Directiva. Las actividades a las que nos referimos son el comercio electrónico o mercados en línea, los motores de búsqueda y los servicios de computación en la nube (denominados en su conjunto como servicios digitales)

De un primer análisis genérico del contenido dispositivo de la Directiva de ciberseguridad, cabría reseñar que la norma pretende sentar la base en los Estados miembros para abordar una reflexión y un trabajo inicial armónico, en materia de seguridad de los sistemas de información. El estado actual de los distintos Estados que conforman la UE en esta materia es claramente discrepante, no sólo por las distintas estrategias que se pueden estar siguiendo, si no, adicionalmente, por las distintas capacidades que tienen los Estados para abordar las medidas concretas de seguridad. Esto lógicamente supone una evidente preocupación, dado que, al encontrarnos en un mercado global, no podemos permitir niveles desiguales de protección; dado que cualquier fallo de seguridad es un Estado pueda afectar a cualquier otro Estado e incluso al conjunto de la UE.

Desde esta prospectiva, la Comisión Europea pretende dotar de un planteamiento mínimo global para todos los Estados de la UE que permita evitar que fallas de seguridad en un determinado país tenga efectos en un mercado común globalizado; si bien, habilita a los Estados miembros a adoptar medidas que vayan mas allá y que, lógicamente, otorguen un mayor nivel de seguridad.

Este enfoque globalizado parte de la necesidad de crear un conjunto de requisitos en cuanto a las capacidades, planificación, intercambio de información, cooperación y unos requisitos comunes de seguridad. Con esta finalidad se establecen distintos planos de actividad y que, en opinión de la Comisión, permitirá crear ese marco común de seguridad tecnológica. Con este enfoque, podemos determinar los siguientes ámbitos de actuación:

a.- Creación de un ámbito público nacional en relación con la ciberseguridad.

Con la finalidad de lograr este escenario de seguridad, se establecen un conjunto de obligación de orden público, que afectarán directamente a los Estados miembro y, que fundamentalmente consistirán en:

  • Crear una estrategia nacional de ciberseguridad en la que se establezcan objetivos estratégicos, medidas políticas y adopción de normativa para alcanzar y mantener un elevado nivel de seguridad que al menos cubra los sectores a los que hacíamos referencia al inicio de este articulo.
  • Identificar a los operadores de sectores esenciales y de servicios digitales. Esta identificación deberá llevarse a cabo antes del 9 noviembre de 2018.
  • Designar una o varias autoridades competentes en materia de ciberseguridad; así como un punto único de contacto en esta materia
  • Designar uno o varios Equipos de respuesta a incidentes de Seguridad (denominados CSIRT).

b.-  Creación de un marco público comunitario en materia de ciberseguridad.

Se considera claramente necesario establecer un marco de cooperación internacional en esta materia; para ello se procede a la creación de dos organismos con el fin de favorecer una mejor estrategia, intercambio de información y la respuesta ante riesgos concretos. Así se crea:

  • Un Grupo de Cooperación, formado por representantes de los Estados miembros, de la Comisión y de ENISA; y que tendrá funciones concretas encaminadas a de apoyar y facilitar la cooperación estrategia y el intercambio de información.
  • Una Red de CSIRT, en la que intervendrán los CSIRT nacionales y la Comisión en calidad de observador, con la finalidad de contribuir a desarrollar la confianza y la seguridad entre los Estados miembros y promover una cooperación operativa rápida, y eficaz.

Por último se habilita la posibilidad de que la Comisión pueda llegar a acuerdos internacionales con terceros países y organizaciones internacionales en materia de ciberseguridad.

c.- Creación de un marco privado común de ciberseguridad.

Este marco afectará a todas las entidades dentro de la unión que intervengan tanto en sectores esenciales como en servicios digitales. Así, la Directiva impone a los estados miembros la obligación de velar por que los operadores de estos sectores adopten medias medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos; así como para prevenir y minimizar los efectos de los incidentes de seguridad que puedan sufrir sus redes de comunicación.

En relación con esta materia y en aquello referido a los operadores de servicios digitales, la Comisión adoptará acuerdos de ejecución en los que se especifiquen con mayor claridad las medias que deben ser adoptadas. Estos acuerdos deberán ser adoptados antes del 9 de agosto de 2017.

Una vez expuesto lo anterior, y como apuntábamos al inicio de este artículo, el texto de la Directiva de ciberseguridad se configura como un primer paso para abordar una regulación comunitaria que establezca un marco común de seguridad de las redes de comunicación. No obstante, tendremos que esperar a ver como se  concretando su desarrollo y cual es el desarrollo de la norma para poder concluir valorar la eficacia de esta reciente Directiva.

Firmado: Carlos Sáez Quintero.
Socio en Trebia Abogados.
Colaborador en Derecho & Perspectiva.

Derecho & Perspectiva

Derecho & Perspectiva

Derecho & Perspectiva es una página web de jóvenes abogados y estudiantes de Derecho que quieren aportar su punto de vista a la comunidad jurídica.
Derecho & Perspectiva

Deja un comentario

Tu dirección de correo electrónico no será publicada.

* Copy This Password *

* Type Or Paste Password Here *