NEWSLETTER
ALERTAS
La UE obligará a las empresas críticas a mejorar su ciberseguridad
Las incidencias de seguridad que afectan a los sistemas de información, redes esenciales y servicios como la banca en línea, las redes eléctricas o los controles de aeropuertos provocan unas pérdidas anuales de entre 260 millones y 340 millones de euros, según la Agencia Europea de Seguridad de Redes y de la Información (ENISA). Para coordinar los esfuerzos de todos los países miembros contra este problema, la Unión Europea (UE) avanza en la primera ley de ámbito continental sobre seguridad cibernética (en el infográfico inferior aparecen las principales amenazas que afectan a las empresas).
Las empresas que satisfacen servicios básicos como la energía, el transporte, la banca y la salud, o servicios digitales, como los relacionados con motores de búsqueda y la nube, donde se almacenan datos, tendrán que tomar medidas para mejorar su capacidad de resistencia a los ataques cibernéticos, según el borrador de esta ley aprobado este jueves por los eurodiputados de la comisión de Mercado Interior.
La futura ley, fruto de un acuerdo informal entre el Parlamento Europeo y el Consejo el pasado 7 de diciembre, aún debe ser sancionada por el Pleno de la Eurocámara y por el Consejo.
La nueva directiva para lograr un mayor nivel de seguridad común de las redes y sistemas de información en toda la Unión Europea (conocida como NIS) tiene como objetivo acabar con la fragmentación actual de los 28 sistemas nacionales de seguridad cibernética. Para ello contempla la elaboración de una lista de aquellos sectores o empresas de servicios críticos que deberán tomar medidas especiales para poder resistir futuros ataques cibernéticos. También tendrán la obligación de informar a las autoridades nacionales sobre eventuales violaciones de seguridad graves recibidas.
El portavoz alemán Andreas Schwab (del Partido Popular Europeo) reveló tras llegar a un acuerdo el mes pasado sobre la directiva de NIS que el Parlamento “ha presionado con fuerza para lograr la identificación armonizada de sectores críticos como la energía, transporte, salud o banca”. En estas actividades, añadió, se “tendrán que cumplir con las nuevas reglas y notificar incidentes cibernéticos importantes”. Además, “los estados Miembros también tendrán que cooperar más en materia de ciberseguridad, medidas que cobran aún más importancia a la luz de los ataques recientes a la seguridad en Europa".
Según la información facilitada por la Eurocámara, los países de la UE tendrán que identificar aquellos "operadores de servicios esenciales" en cada uno de los campos mencionados utilizando los mismos criterios: si el servicio es fundamental para la sociedad y la economía, si depende de otros sistemas de redes y de información o si un incidente podría tener efectos perjudiciales significativos en la prestación de servicios o en la seguridad pública.
Algunos proveedores de servicios digitales, como las conocidas tiendas online eBay y Amazon, los motores de búsqueda, como Google, y las nubes de almacenamiento de datos, también tendrán que adoptar medidas para garantizar la seguridad de su infraestructura y deberán denunciar incidentes graves a las autoridades nacionales. Las pymes digitales, en cambio, quedarán excluidas de la directiva.
Para garantizar un mayor nivel de seguridad en toda la UE y asegurar la confianza entre los Estados miembros, el borrador de ley prevé un "grupo de cooperación" estratégica dedicado al intercambio de información y mejores prácticas, a elaborar directrices y a ayudar a los países a aumentar su capacidad en seguridad cibernética . Cada estado Miembro deberá adoptar su propia estrategia NIS nacional.
Cada uno también tendrá que establecer una “red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT)”, para manejar incidentes y riesgos, discutir problemas de seguridad transfronterizos e identificar posibles respuestas coordinadas. La ENISA también representará un papel clave en la aplicación de la directiva.
Pendiente de aprobación por el Consejo y el Pleno del Parlamento
El proyecto de Directiva NIS deberá ser ahora revisado por los juristas lingüistas antes de ser aprobado por el Consejo y el Pleno del Parlamento. A continuación, se publicará en el Diario Oficial de la UE y entrará en vigor a los veinte días después de su publicación. Los países afectados tendrán entonces 21 meses para transponer la directiva a sus legislaciones nacionales y seis meses adicionales para identificar a los operadores de los servicios esenciales.
Imágenes: Parlamento Europeo
