Ciberseguridad y regulación: un difícil binomio
La aproximación a un tema como la ciberseguridad, tan complejo como esencial en la transformación digital que vivimos, no tiene sentido si no se realiza desde una perspectiva global. No cabe un análisis geográficamente limitado, el punto de partida debe ser lo más amplio posible. Su regulación, en consecuencia, ha debido ser adaptada para acompasar esta realidad y dar soporte, forma y cohesión a los mecanismos e iniciativas que en la última década se han puesto en marcha para regular este ámbito en permanente evolución.
Así, el pasado 6 de Julio fue aprobada por el Parlamento Europeo la Directiva sobre seguridad de las redes y de la información (SRI)[1]. Esta directiva deberá ser transpuesta a las regulaciones internas de los países miembros en el plazo de 21 meses, por lo que no se aplicará de forma práctica hasta el mes de mayo de 2018, previéndose sanciones para aquellos países que no lo lleven a cabo. La directiva pretende la creación (e imposición) de un marco europeo desde el que combatir los incidentes que tienen lugar en el ámbito cibernético: virus, suplantación de identidad, fallos técnicos…y un largo etcétera. Habida cuenta que estos ataques se han incrementado en el 2015 en un 38% respecto del 2014 [2], esta Directiva es tan ineludible como ambiciosa, siendo una de las propuestas legislativas prioritarias del presente año a nivel europeo.
El objetivo de la Directiva es desarrollar una política internacional aplicable a todas las industrias y empresas, un estándar común de seguridad cibernética que asegure un entorno digital fiable. La máxima perseguida es considerar la seguridad un proceso y no un estado, lo que obliga a las empresas a desarrollar herramientas que les permitan reaccionar tanto frente a los riesgos conocidos como frente a los que están por conocer. Al fin y al cabo se parte de que seguridad no es sinónimo de protección absoluta, sino el desarrollo de un sistema apto para responder frente a todo aquel que opere contrariamente al marco legal aprobado, reflejo de la política ya asumida por el Parlamento Europeo. La necesaria cooperación internacional se intentará garantizar con la creación de un órgano supranacional que tendrá como finalidad el intercambio de información y la asistencia a los países miembros. Su implantación a nivel nacional, asimismo, implicará crear un órgano competente para la vigilancia de la correcta aplicación de la Directiva.
En cuanto a la consecuencia directa de su aplicación, cada uno de los países miembros tendrá que señalar las empresas esenciales de determinados sectores. Todas las empresas que se puedan encuadrar en la lista que facilita la Directiva tendrán que informar sobre aquellos incidentes que se puedan calificar de graves. No se libran empresas de renombre tales como Facebook, Paypal o Amazon, además de los mencionados “operadores de servicios esenciales”.
Conociendo que estos ataques cibernéticos causan daños a las empresas europeas y a la economía en general de cientos de miles de millones de euros cada año[3], excesivo ha sido el tiempo en desarrollar un marco legal que ampare esta realidad. Individualizando por industrias, por ejemplo, a muchos ha sorprendido que el sector del gas y el petróleo haya sido el que más incidentes cibernéticos haya sufrido el pasado año, seguido de cerca por el sector tecnológico y el de las telecomunicaciones. En el otro lado de la balanza, la industria farmacéutica destaca por haber incrementado enormemente las medidas de seguridad para evitar estos resultados. Cabe preguntarse, empero, si será realmente la norma útil para aquellos que la necesitan o si en cambio llega tarde y siempre estará un paso por detrás de las medidas desarrolladas por los perjudicados. El temor es que pueda entonces convertirse en un obstáculo para el libre desarrollo de la realidad cibernética a la que está destinada a regular y proteger.
Ciertamente se ve con recelo que esta “declaración de intenciones” pueda realmente aplicarse a un instrumento global y cambiante como es Internet, máxime cuando es necesario para ello la coordinación entre una pluralidad de empresas y gobiernos de la Unión Europea. Este escepticismo se une al inherente a cualquier Directiva europea, ya que suelen adolecer de gran lentitud en su aplicación. La presente directiva se enfrenta no solo a las dificultades regulares de cualquier norma que afecte a una pluralidad de estados y entidades, sino al velozmente mutable monstruo de internet y de la era digital.
Por último, cabe destacar que paralelamente a la vía legal el 91% de las empresas afectadas han adoptado estructuras operativas favorables a la ciberseguridad. Son los perjudicados, con o sin Directiva, los que antes desarrollan vías para garantizarse esta seguridad en el desarrollo de su actividad. Ello no le resta vigencia al ideal perseguido por esta iniciativa legislativa: proveer de una regulación de amplio espectro que posibilite, proteja y catalice las iniciativas en ciberseguridad que dan amparo y protección a un número cada vez mayor de usuarios y realidades.
Escrito por Ana Grau, Abogada en Adarve
Publicación original en El País Retina: http://www.elpaisretina.com/ciberseguridad-y-regulacion-un-dificil-binomio/
[1]The Directive on security of network and information systems -the NIS Directive- 2013/0027/COD
[2]Encuesta de PwC: “The global State of Information Security Survey 2016” Global State of Information Security® Survey 2016.
[3]European Commission – Fact Sheet: Commission boosts cybersecurity industry and steps up efforts to tackle cyber-threats.