Cómo afecta la primera normativa europea de ciberseguridad a las empresas [Actualización]

Cómo afecta la primera normativa europea de ciberseguridad a las empresas [Actualización]

PORTADA NORMATIVA LEY EUROPEA

La primera normativa europea de ciberseguridad sigue avanzando en su puesta en marcha. De hecho, la Directiva 2016/1148 de ciberseguridad ya ha sido aprobada por parte del Consejo Europeo y del pleno del Parlamento y se ha publicado en el Diario Oficial de la Unión Europea.

¿Qué se busca con esta norma?

En la actualidad, cada uno de los Estados miembro de la Unión Europea cuenta con una estrategia y un sistema propio en el ámbito de la ciberseguridad. La idea es que, gracias a esta norma, se genere una mayor colaboración entre los países de la UE y aumente la protección frente a los ataques y vulneraciones en ciberseguridad, que supongan un riesgo importante. De hecho, el borrador aprobado por los diputados en la Comisión de Mercado Interior dice que la nueva normativa tiene como objetivo “acabar con la fragmentación de los 28 sistemas nacionales de seguridad cibernética”.

En este sentido, la directiva tiene previsto crear un grupo de cooperación estratégica para intercambiar información y ayudar, así, a los Estados miembros a mejorar su ciberseguridad. Además, cada país deberá establecer una red CSIRT, es decir, una red de Equipos de Respuesta de Incidentes de Seguridad Informática para gestionar riesgos, discutir los problemas de seguridad transfronterizos e idear respuestas coordinadas.

Ley europea ciberseguridad
 

¿Qué ámbitos se encuentran dentro de la norma?

Esta normativa debe aplicarse tanto a los operadores de servicios esenciales como a los proveedores de servicios digitales, pero están exentas:

  • Las empresas que suministren redes públicas de comunicaciones.
  • Las empresas que presten servicios de comunicaciones electrónicas disponibles al público.
  • Los prestadores de servicios de confianza.
  • Los sectores regulados con leyes específicas siempre que sus requisitos de seguridad sean equivalentes a los que establece la presente directiva.

Los Estados Miembros deberán determinar qué entidades son las consideradas como “operador de servicios esenciales” valorando cada uno de los sectores y subsectores que se establecen en la directiva.

¿Qué se debe hacer a partir de ahora?

Desde su aprobación, cada uno de los 28 países miembro tendrá que empezar identificar a los considerados “operadores de servicios esenciales” y analizar qué alcance tendría una intrusión en sus sistemas. Y… ¿quiénes son los operadores de servicios esenciales? Los criterios que se tomarán en consideración para ver qué entidades están incluidas dentro de esta clasificación son:

  • Si son servicios fundamentales para la sociedad y la economía.
  • Si dependen o no de otro sistema de redes.
  • Los efectos perjudiciales que podría tener una posible incidencia respecto de la prestación de servicios o de la seguridad pública.

Pero, en general, esta denominación hace referencia a las empresas de:

  • Energía:
    • Electricidad: empresas eléctricas, gestores de la red de distribución y gestores de la red de transporte.
    • Crudo: operadores de oleoductos y de producción, refinado, tratamiento, almacenamiento y transporte.
    • Gas: suministradoras, gestores de red de distribución, gestores de red de transporte, almacenamiento, gestores de red GNL, compañías de gas natural y gestores de las instalaciones de refinado y tratamiento de gas natural.
  • Transporte:
    • Aéreo: compañías aéreas, gestoras de aeropuertos (en lo relativo a la gestión de pistas y no servicios accesorios como zonas comerciales) y gestión de tráfico aéreo.
    • Ferrocarril: administradores de infraestructuras y empresas ferroviarias.
    • Marítimo y fluvial: empresas de transporte marítimo, fluvial y de cabotaje, tanto de mercancías como de pasajeros, gestores de puertos, operadores de servicios de tráfico de buques y fluvial, y por carretera):
  • Banca: entidades de crédito.
  • Sanitario: prestadores de asistencia sanitaria, es especial hospitales y clínicas públicas y privadas).
  • Suministro y distribución de agua potable.
  • Infraestructura digital: IXP (Internet Exchange Point o Punto de intercambio de internet, su función es conectar dos redes entre sí), proveedores de servicios DNS y Registros de nombres de dominio de primer nivel.
  • Servicios digitales: tiendas online, motores de búsqueda y las nubes de almacenamiento de datos.

ciberseguridad empresas transporte

Eso sí, las pymes digitales no están incluidas. Y, en este punto, tendrán que aclarar muy bien qué volumen de información y datos deben tener estas empresas (aunque sean pequeñas) para que sean consideradas de riesgo o no. Es decir, no debería ser lo mismo una pyme de ciberseguridad, que una de servicio de peluquería canina.

¿Qué medidas tendrán que aplicar las empresas?

Aquellas empresas que se puedan ver afectadas por la futura directiva deberán mejorar sus sistemas de seguridad contra intrusiones, es decir, convertirse en entidades a prueba de hackers. Además, tendrán que comunicar a las autoridades pertinentes las intrusiones o violaciones graves que sufran. En este sentido, las empresas que no cumplan las expectativas marcadas podrían sufrir sanciones por parte de la autoridad pertinente.

¿Qué aspectos faltan por definir?

Lo cierto, es que la directiva tendrá que especificar cuáles son estos servicios esenciales y, después, cada Estado miembro será el encargado de atribuírselo a las empresas que entren dentro de esos criterios.

Por otro lado, se tiene que especificar cuál es el nivel de protección necesario para marcar el límite. Es decir, si se pretende establecer sanciones a las empresas que no cumplan las medidas, la UE deberá dejar claro cuál es el nivel de protección mínimo.

¿Existe algún regulador?

En este caso, cada uno de los Estados miembros deberá designar un punto de contacto único nacional (que será un organismo o entidad pública) que se encargue de coordinar todos los aspectos relativos a la seguridad de las redes y sistemas de información, además de cooperar con sus homólogos del resto de países de la UE.

Además, se deberá crear los Computer Security Incident Response Teams (CSIRT o Equipos de Respuesta a Incidentes de Seguridad Informática) que recibirán las notificaciones de los incidentes de ciberseguridad. Ellos serán los encargados de elevarlo al punto de contacto para que tome las medidas oportunas y, en su caso, lo transmita al resto de puntos de los Estados miembros.

Por otro lado, ENISA (Agencia de Seguridad de las Redes y de la Información de la Unión Europea) prestará asistencia a los Estados miembros y a la Comisión como órgano consultivo, junto con el Centro Europeo de Ciberdelincuencia (EUROPOL) que suministrará información.

¿Cuándo se transpondrá esta Directiva?

Las directivas no son aplicables de forma directa en los países de la Unión Europea, sino que tienen que transponerse a Derecho interno por el legislador nacional, es decir, incorporarse a las leyes de cada país. De esta forma, la regulación se adapta a las peculiaridades de cada Estado concreto.

En el caso de esta directiva, el plazo para transponerla acaba en mayo de 2018, coincidiendo con la entrada en vigor del Reglamento General de Protección de Datos.

 

¿Necesitas asesoramiento jurídico para tu empresa en materia de ciberseguridad? ¿Tienes alguna pregunta? ¡No dudes en ponerte en contacto con nosotros!

Comments

Comentarios desactivados