Aprobada la Directiva sobre la Seguridad de las Redes y la Información
Ciberseguridad. (Imagen: Archivo)
Aprobada la Directiva sobre la Seguridad de las Redes y la Información
Ciberseguridad. (Imagen: Archivo)
Los ciberataques pueden provocar un daño enorme a infraestructuras como la red eléctrica y a servicios como el control aéreo. El Parlamento Europeo vota hoy 6 las primeras normas a escala de la UE para mejorar la defensa ante esta amenaza.
El Parlamento Europeo ha aprobado este miércoles la Directiva sobre la seguridad de las redes y la información. Esta norma establece un enfoque común en materia de ciberseguridad. Para ello, enumera los sectores (energía, transporte, banca, etcétera) cuyas empresas deben garantizar que son capaces de resistir a los ciberataques.
La norma también obliga a las empresas de los sectores citados anteriormente a informar a las autoridades nacionales sobre incidentes graves relativos a la seguridad. Empresas suministradoras de servicios digitales como Amazon o Google también estarán sometidas a este requisito de facilitar información.
Por otra parte, los Estados de la Union Europea deberán reforzar su cooperación en este ámbito. Además se exigirá a cada Estado de la UE que designe a una o más autoridades nacionales y elabore una estrategia para afrontar las ciberamenazas.
La sociedad digitalizada actual depende cada vez más de las redes electrónicas y de los sistemas de información. En paralelo, aumentan los fraudes y las falsificaciones en línea, así como las posibilidades de que los ciberataques comprometan los servicios en línea.Las amenazas son numerosas y afectan a las personas, a las empresas y a las administraciones públicas: suplantaciones de identidad, webs bancarias falsas, espionaje industrial o ataques que saturan servidores bombardeándoles con un volumen demasiado elevado de información.
Los países deberán designar “empresas esenciales”
La nueva normativa establece obligaciones para los “operadores de servicios esenciales” en sectores como el energético, del transporte, servicios sanitarios, banca y suministro de agua. Las autoridades nacionales deberán identificar a las compañías clave, usando criterios específicos, por ejemplo, si el servicio es clave para la sociedad y la economía y si un incidente podría generar perturbaciones en la distribución de ese servicio.
Algunos proveedores de servicios digitales –comercio en línea, motores de búsqueda y servicios en la nube- también tendrán que adoptar medidas para garantizar la seguridad de su infraestructura y deberán informar en caso de incidentes destacados a las autoridades. Las exigencias de seguridad y notificación son, no obstante, menos estrictas para estos operadores. Las micro empresas y las compañías pequeñas estarán exentas.
Mecanismos de cooperación paneuropea
La directiva prevé el establecimiento de un “grupo de cooperación” para intercambiar información y asistir a los países miembros en el desarrollo de sus herramientas de ciberseguridad. Cada Estado miembro tendrá que adoptar una estrategia en la materia.
Los países también tendrán que crear una red de equipos de respuesta ante incidentes de seguridad informática para gestionar riesgos y fallos, discutir cuestiones de seguridad transfronteriza y desarrollar respuestas coordinadas. La Agencia europea de seguridad en las redes (ENISA) desempeñará un papel clave en la aplicación de las nuevas normas, particularmente en el tema de la cooperación. El respeto a la protección de datos es fundamental, según se reitera en el texto.
Próximos pasos
Tras recibir el visto bueno del pleno, la directiva se publicará en el Diario Oficial y entrará en vigor veinte días después. Los Estados miembros tendrán 21 meses para trasladarla a la legislación nacional y seis meses más para identificar a los operadores de servicios esenciales.
Costes millonarios
Según Udo Helmbrecht, director de ENISA (Agencia de Seguridad de las Redes y de la Información de la Unión Europea), se calcula que el coste de las perturbaciones y los ataques a los sistemas de información de las empresas y los ciudadanos se eleva a enre 260.000 y 340.000 millones de euros.
Según una encuesta Eurobarómetro publicada en 2015, los ciudadanos de la UE muestran un nivel elevado de preocupación ante la ciberseguridad. El 89 por ciento de los usuarios de Internet evitan desvelar información personal en línea. El 85 por ciento coincide en que crece el riesgo de convertirse en víctima de ciberdelincuentes. Se calcula que más de 150.000 virus y otros códigos maliciosos circulan a diario.