En el complejo mapa político-tecnológico actual, China gana la batalla del 5G y de la inteligencia artificial, EEUU (Silicon Valley) mantiene la hegemonía de las grandes plataformas digitales, Singapur gana posiciones como nodo internacional alternativo, mientras que Latinoamérica y África se centran en reducir sus brechas digitales para impulsar la inclusión financiera, en el primer caso, y el florecimiento de una economía básica mobile, en el segundo. ¿Y Europa?
El viejo continente está decidido a jugar la baza del humanismo tecnológico: un desarrollo tecnológico que vela por los derechos de los ciudadanos. A largo plazo, Bruselas confía en que este enfoque ayude a mantener a raya los efectos más lesivos de la digitalización.
El pasado diciembre, la Comisión Europea presentó los borradores de dos Directivas que, una vez en vigor, regularán la actuación de las plataformas y la libre competencia en el sector. Tuvo menos repercusión pero, solo un día después, el 16 de diciembre, Bruselas presentó su nueva estrategia de ciberseguridad.
Dos nuevas propuestas de Directivas
Europa ha diseñado un nuevo marco armonizado de ciberseguridad para proteger los datos [personales e industriales], las infraestructuras de telecomunicaciones y hasta la diplomacia a nivel europeo. “Hay que proteger nuestras democracias. Llamemos a las cosas por su nombre”, sentenció el comisario europeo de Interior, Thierry Breton, durante la presentación de esta estrategia.
La nueva estrategia europea de ciberseguridad incluye dos propuestas de Directiva: una para establecer un nivel común de ciberseguridad en la Unión (llamada ‘NIS2’) y la Directiva de resiliencia de entidades críticas.
La primera es la más relevante para las empresas españolas. Con respecto a la Directiva antecesora (‘NIS 1’ o simplemente ‘NIS’), transpuesta en España en otoño de 2018, esta norma incluirá a todas las medianas y grandes empresas de los sectores críticos, pero también infraestructuras comunes como centros de datos o laboratorios de investigación.
También incluye, como novedad, a la Administración pública. Y para esas organizaciones, la propuesta aumenta los requerimientos de seguridad de las empresas, con un enfoque de la gestión de riesgos y una lista de requerimientos básicos de seguridad que tendrán que ser cumplidos para evitar unas sanciones que, previsiblemente, también serán más elevadas.
Directiva 'NIS 2'
Más concretamente, el borrador de la Directiva ‘NIS 2’ abarca a un gran número de sectores, incluyendo el ámbito digital, que proporcionan servicios clave: transporte, ferroviario, aeroespacial, proveedores de agua y energía, infraestructuras digitales, proveedores de servicios digitales; proveedores de servicios y redes electrónicas públicas, centros de procesamiento de datos, plataformas digitales (incluyendo redes sociales), salud, farma/químico, gestión de residuos, servicios postales, comida, Administración pública...
Otro cambio más significativo con respecto a la ‘NIS 1’ es que elimina la distinción entre servicios esenciales y servicios digitales. En su lugar, clasifica a las empresas como ‘esenciales’ o ‘importantes’, y establece para una de ellas un régimen de supervisión diferente.
En tercer lugar, amplía los requerimientos de ciberseguridad a las cadenas de suministros y a las relaciones con proveedores de las compañías.
Foto: Sigmund / Unsplash.
También introduce novedades en el régimen sancionador. Entre otras cosas, otorga a los Estados miembros competencias para -en última instancia- suspender parcial o totalmente la actividad de una empresa o apartar a directivos de sus funciones de responsabilidad.
Con respecto a las multas, la ‘NIS 2’ habla de sanciones “proporcionales y disuasorias”. Será necesario esperar a la transposición de la Directiva para conocer de qué manera afectará a unas cuantías que, con la norma anterior, oscilaban entre 500.000 y 1.000.000 euros para las infracciones muy graves.
En cualquier caso, para las empresas, el efecto económico más inmediato de la ‘NIS 2’ no vendrá por las sanciones, sino por la necesidad de aplicar los nuevos requerimientos de ciberseguridad. Más aún, como veíamos, cuando estos requerimientos se enfocarán en la gestión de riesgos (versus el mero cumplimiento) y las empresas pasarán a ser responsables de la actuación de sus proveedores y suministradores.
Novedades en España
En definitiva, Europa continúa trabajando en una progresiva armonización de sus reglas en materia cyber. Mientras tanto, también en España ha habido novedades recientes. El pasado 28 de enero se publicó el real decreto 43/2021, un reglamento que desarrolla el decreto de transposición de la Directiva ‘NIS 1’ en nuestro país y que sienta muchas de las bases organizativas para su implantación.
La 'NIS' fue transpuesta a nuestro ordenamiento jurídico en otoño de 2018, pero necesitaba un reglamento que la concretara, que es el que se acaba de publicar. Quedan excluidos de su ámbito de aplicación, entre otros, los operadores de redes y servicios de comunicaciones electrónicas, cuya próxima regulación en España también está en marcha.
En lo que respecta a las empresas españolas de servicios esenciales y proveedores de servicios digitales, el mencionado reglamento obliga a designar un CISO o responsable de la seguridad de la información, “en el plazo de tres meses desde la entrada en vigor de este real decreto”. Su principal cometido será “gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos”.
El CISO deberá suscribir una ‘Declaración de Aplicabilidad de medidas de seguridad’, remitirla a la autoridad competente respectiva en el plazo de seis meses y revisarla, como mínimo, cada tres años.
La labor del CISO la podrá desempeñar una persona, pero también una unidad o un órgano colegiado. “El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales”.
¿Y en caso de ciberataque?
Todos los incidentes con un nivel de impacto “crítico”, “muy alto” o “alto” (según los criterios que figuran en el anexo de este real decreto) deberán ser notificados a la autoridad competente respectiva, a través del CSIRT de referencia.
Según la norma, “los operadores de servicios esenciales deberán realizar una primera notificación tan pronto como dispongan de información” que lo hagan posible, a través de una plataforma que desarrollará el CCN-CERT. Asimismo, se deberán hacer notificaciones intermedias y una “notificación final del incidente tras su resolución, informando del detalle de la evolución del suceso, la valoración de la probabilidad de su repetición, y las medidas correctoras que eventualmente tenga previsto adoptar el operador”.
Así, en caso de incidente crítico, la notificación inicial deberá ser inmediata, la intermedia se deberá producir en un plazo de 48/72 horas y la final, en un plazo máximo de 20 días. Y para incidentes de impacto muy alto, la ley ahora obliga a que estén resueltos antes de 40 días.
Por último, el reglamento obliga a notificar también “los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos”.
Noticias relacionadas
- Telefónica refuerza su centro contra las ciberamenazas y duplicará plantilla cada 3 años
- Ciberseguridad en la industria: de ser una "caja negra" a un vector de ataques en auge
- Opinión / ‘Big tech’: de la necesidad a la inquietud, y viceversa
- Claves para que Europa cierre la brecha digital con respecto a Estados Unidos y China