Cómo afecta la primera Ley Europea de Ciberseguridad a las empresas

Cómo afecta la primera Ley Europea de Ciberseguridad a las empresas

 

Ley Europea de Ciberseguridad
La primera Ley Europea de Ciberseguridad va dando pequeños pasos para su puesta en marcha. De momento es solo un acuerdo de la Comisión de Mercado Interior de la Eurocámara. Todavía falta la aprobación y sanción por parte del Consejo Europeo y del pleno del Parlamento para que se pueda publicar en el Diario Oficial de la Unión Europea (después habrá una vacatio legis de veinte días).

Icono bombilla (1)  ¿Qué se busca con esta norma?

En la actualidad, cada uno de los Estados miembro de la Unión Europea cuenta con una estrategia y un sistema propio en el ámbito de la ciberseguridad. La idea es que, gracias a esta norma, se genere una mayor colaboración entre los países de la UE y aumente la protección frente a los ataques y vulneraciones en ciberseguridad, que supongan un riesgo importante. De hecho, el borrador aprobado por los diputados en la Comisión de Mercado Interior dice que la nueva normativa tiene como objetivo “acabar con la fragmentación de los 28 sistemas nacionales de seguridad cibernética”.

En este sentido, la directiva tiene previsto crear un grupo de cooperación estratégica para intercambiar información y ayudar a los estados miembros a mejorar su capacidad de seguridad cibernética. Además, cada país deberá establecer una red CSIRT, es decir, una red de Equipos de Respuesta de Incidentes de Seguridad Informática para gestionar riesgos, discutir los problemas de seguridad transfronterizos e idear respuestas coordinadas.

Icono dedo (1)  ¿Qué harán cuando se apruebe?

Una vez que se apruebe, cada uno de los 28 países tendrá que identificar a los considerados “operadores de servicios esenciales” y analizar qué alcance tendría una intrusión en sus sistemas. Y… ¿quiénes son los operadores de servicios esenciales? Los criterios que se tomarán en consideración para ver qué entidades están incluidas dentro de esta clasificación son:

  • Si son servicios fundamentales para la sociedad y la economía.
  • Si dependen o no de otro sistema de redes.
  • Los efectos perjudiciales que podría tener una posible incidencia respecto de la prestación de servicios o de la seguridad pública.

Pero, en general, esta denominación hace referencia a las empresas de energía, transporte, banca, salud y servicios digitales (tiendas online, motores de búsqueda y las nubes de almacenamiento de datos).

Eso sí, las pymes digitales no están incluidas. Y, en este punto, tendrán que aclarar muy bien qué volumen de información y datos deben tener estas empresas (aunque sean pequeñas) para que sean consideradas de riesgo o no. Es decir, no debería ser lo mismo una pyme de ciberseguridad, que una de servicio de peluquería canina.

Icono normativa aplicación (1)  ¿Qué medidas tendrán que aplicar las empresas?

Aquellas empresas que se puedan ver afectadas por la futura directiva deberán mejorar sus sistemas de seguridad contra intrusiones, es decir, convertirse en entidades a prueba de hackers. Además, tendrán que comunicar a las autoridades pertinentes las intrusiones o violaciones graves que sufran. En este sentido, las empresas que no cumplan las expectativas marcadas podrían sufrir sanciones por parte de la autoridad pertinente.

Icono conversación (1)  ¿Qué aspectos faltan por definir?

Lo cierto, es que la directiva tendrá que especificar cuáles son estos servicios esenciales y, después, cada estado miembro será el encargado de atribuírselo a las empresas que entren dentro de esos criterios.

Por otro lado, se tiene que especificar cuál es el nivel de protección necesario para marcar el límite. Es decir, si se pretende establecer sanciones a las empresas que no cumplan las medidas, la UE deberá dejar claro cuál es el nivel de protección mínimo.

¿Necesitas asesoramiento jurídico para tu empresa en materia de ciberseguridad? ¿Tienes alguna duda que necesites resolver? ¡No dudes en ponerte en contacto con nosotros!

Comments

Comentarios desactivados