Contacto
91 665 78 75

Ciberseguridad


La noticia del espionaje de la NSA en diferentes países y a diferentes dirigentes ha suscitado la duda sobre la seguridad en las comunicaciones y la información, y en especial sobre la privacidad de cualquiera, ya sea un particular, la empresa, las instituciones o los gobernantes. Esta privacidad, que se considera un derecho, como se puede conseguir cuando los propios gobernantes que tienen que velar por ella son los que realizan acciones en contra de la privacidad. Más ahora, que los riesgos y amenazas sobre la seguridad de la información pueden venir de cualquier parte del mundo, por la multitud de redes de comunicación interconectadas y el flujo de información que por ellas discurre.

Dada la capacidad de las redes de comunicación y la transferencia de información entre diferentes países, la seguridad se debe plantear como algo global, con el fin de conseguir la protección ante la intromisión procedente de cualquier lugar. Y debe potenciarse la seguridad en determinados sectores o actividades de la sociedad y la economía, por ser los que más utilizan estas redes de comunicación intercontectadas para transmitir la información.

Es a raíz de estas exigencias de seguridad de las redes y la información ante los ataques desde cualquier parte y la necesidad de coordinar las medidas de seguridad que deben adoptarse cuando se transmite la información por estas redes de comunicación, lo que ha motivado a la Unión Europea (UE) a proponer la Directiva para garantizar un elevado nivel común de seguridad de las redes y de la información de la Unión, o Directiva sobre Ciberseguridad.

Esta directiva de Ciberseguridad se dicta para su aplicación por la administración publica y los denominados operadores del mercado, al ser los sectores que más utilizan las redes de comunicación y los más críticos en la actividad de la sociedad y la economía. En estos operadores del mercado la directiva incluye, del área tecnológica a las plataformas de comercio electrónico y pasarelas de pago, redes sociales, buscadores, servicios de cloud computing y los suministradores de aplicaciones; en otros sectores, a los proveedores de energía: gas, electricidad y petróleo y a los de transporte: aéreo, terrestre y marítimo; a la banca, las infraestructuras de mercados financieros y al sector sanitario.

Esta propuesta de Directiva de Ciberseguridad pretende modificar el planteamiento actual de la UE sobre la seguridad de las redes y la información, meramente voluntario y sin garantías suficientes para garantizar esta seguridad, ante el ritmo de las amenazas y su rápida mutación. Dado que los estados miembros tienen grandes diferencias, en cuanto a la seguridad, que no facilitan un nivel de protección igual ni adecuado en toda la UE. Y las redes y sistemas interconectados son cada vez mas utilizados por los estados miembros, sin contar todos con la misma capacidad ante las amenazas. Lo cual deriva en una desconfianza a la hora de cooperar e intercambiar información que resulta necesario para el desarrollo de la sociedad y la economía. Como solución a este problema la UE, con la Directiva de Ciberseguridad, pretende imponer obligaciones que establezcan condiciones uniformes y solucionen las lagunas jurídicas existentes, con el fin de incrementar el nivel de seguridad en las redes y la información.

Entre las medidas que se proponen en la Directiva de Ciberseguridad esta la obligación de que cada estado miembro creé una autoridad nacional competente en materia de seguridad de redes y de información, para que se adopten estrategias y planes de seguridad comunes, fruto de la cooperación entre las autoridades nacionales competentes, mediante el intercambio de información sobre amenazas e incidentes que pongan en peligro la seguridad de las redes y la información.

Esta autoridades nacionales competentes supervisarán la aplicación de la Directiva en el ámbito nacional y contribuirán para que esta aplicación sea igual en toda la UE. Deberá, cada estado miembro, aportar a la autoridad nacional las competencias suficientes para obligar a los operadores del mercado y las administraciones publicas a facilitar la información sobre las amenazas e incidentes que sufran en sus redes y su información, así como los mecanismos para notificar esta información.

Esta creación de la autoridad nacional competente, en cada estado miembro, puede conllevar la creación de un nuevo organismo ad hoc, o atribuir estas funciones a un organismo ya existente. En nuestro caso dada la descentralización de competencias en las comunidades autónomas, también se podrá plantear la creación de una única autoridad nacional competente o la creación de diferentes autoridades competentes para cada comunidad autónoma.

La Directiva exige también que se creé por cada estado miembro un equipo de respuesta a emergencias informáticas, denominado CERT. Que gestionará las incidencias y riesgos de acuerdo a unos procedimientos, definidos conforme a la Directiva y que actuará bajo la supervisión de la autoridad nacional competente.

Otra de las obligaciones de la Directiva es la de comunicar a las autoridades competentes las incidencias de seguridad que sufran las administraciones públicas y los operadores del mercado. Y la potestad de investigar, la autoridad competente, los incumplimientos de las administraciones públicas y los operadores del mercado en cuando a la notificación de incidencias y la implantación de las recomendaciones de seguridad. La autoridad competente podrá exigir información sobre la seguridad de las redes y los sistemas de información, así como el resultado de las auditorias a las que deban someterse las administraciones públicas y los operadores del mercado por exigencia de la autoridad competente.

También deben los estados miembros establecer las infracciones y sanciones aplicables a quienes incumplan la Directiva, y sobre esto posiblemente sucederá lo mismo que pasa ahora con otras normativas, que para las empresas privadas se imponen sanciones económicas por el incumplimiento de las normas y para la administración no.

En el ámbito privado, las empresas que presten servicios de comunicación a través de redes, los prestadores de servicios en internet y los proveedores de aplicaciones informáticas, junto con las proveedoras de energía y transporte, la banca, las infraestructuras financieras y el sector sanitario, tendrán que aplicar y cumplir las normas que a raíz de la Directiva de Ciberseguridad se dicten en cada estado miembro. Estando obligadas las empresas a facilitar la información sobre amenazas, ataques y riesgos que hayan sufrido en sus redes de comunicación e información, así como las consecuencias de dichos ataques en la seguridad.

Pero esta entrega de información, a la autoridad competente, sobre las amenazas, riesgos y consecuencias en la seguridad de las redes y la información, no será de agrado para las empresas, ya que puede perjudicarles. Bien porque al sufrir alguna incidencia de seguridad, y tras informarla, se derive una sanción por la no implantación de las medidas de seguridad exigidas. Porque la información facilitada afecte a la relación con los clientes, cuando las amenazas, riesgos y consecuencias en la seguridad incida sobre los servicios que se prestan. Porque la competencia utilice la información sobre la seguridad como descrédito de la empresa y sus servicios. O los accionistas o inversores desconfíen de la empresa si conocen que ésta sufre ataques y amenazas que pueden afectar a la seguridad y por tanto a su rentabilidad.

Al final esta Directiva de Ciberseguridad servirá para que los sectores determinantes de la sociedad y la economía conozcan las amenazas y riesgos que se estén llevando cabo contra la seguridad, así como los planes y medidas a adoptar para asegurar las redes y la información. Pero también, supondrá para las empresas privadas, más obligaciones a cumplir con el riesgo de las sanciones sino se cumplen.

Gonzalo M.Flechoso
Abogado-CISA