Este próximo otoño nos traerá una importante novedad para la Ciberseguridad en España: la futura Ley de Ciberseguridad y el refuerzo de esta disciplina en la nueva Estrategia Nacional de Seguridad.
Ciberseguridad en Europa
La Ciberseguridad es hoy un factor clave para ganar la confianza de los ciudadanos europeos en el uso de las Tecnologías de la Información y las Comunicaciones y para el desarrollo de muchos otros sectores económicos que dependen de ellas.
Qué es la Directiva NIS
El Parlamento y el Consejo europeos tardaron casi cuatro años en desarrollar y aprobar una Directiva que debía establecer las «medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión», la conocida como Directiva NIS, que fue aprobada en Julio de 2016. Este largo período, por sí solo, ya nos informa de las dificultades por las que atravesó dicho desarrollo.
Implantación de la Directiva NIS
Y es que, por un lado el interés suscitado entre los grandes «lobbies» de la industria a nivel mundial radicados en Bruselas, por otro lado la existencia de otras Directivas y Reglamentos europeos, transversales y sectoriales, que imponían limitaciones regulatorias de partida.
Y por último, la tradicional renuencia de los Estados miembro a delegar en la Unión actos jurídicos sobre materias calificadas como «estratégicas», fueron devaluando paulatinamente las expectativas iniciales y dejaron para una armonización futura aspectos cruciales, fundamentalmente aquellos referidos a las empresas tanto públicas como privadas, sujetos a esta regulación.
Por la propia naturaleza del instrumento legislativo elegido, la Directiva debe transponerse al ordenamiento jurídico de cada Estado Miembro, y en esa fase es precisamente en el que ahora nos encontramos.
El «Grupo de Cooperación», creado en el Art. 11 de la Directiva, y el «Grupo de Trabajo Interministerial» español, encargado de la transposición y liderado por la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, afrontan un difícil reto, cada uno en su respectivo nivel competencial: el de desarrollar una Directiva y una Ley que consensúe los diferentes enfoques de diferentes organismos oficiales con competencias directas o adyacentes en Ciberseguridad.
Y además, hacerlo sin menoscabar el ordenamiento jurídico español y europeo, y sin dañar o sobrecargar el tejido industrial de nuestro país y del mercado único.
Aspectos sobre la nueva ley de ciberseguridad
¿Cuáles son los puntos candentes sobre los que se espera un pronunciamiento de la Administración?
- El primero y más importante, sin duda, es la dificultad de aterrizar una Ley en un terreno que ya está plagado de regulaciones y de potenciales conflictos competenciales entre diversos ministerios.
Así, tendrá que hacerse un sitio, sin interferir, con la nueva Ley de Protección de Datos, la Ley de Protección de Infraestructuras Críticas, el Esquema Nacional de Seguridad, el futuro Reglamento de Seguridad Privada, y diversas regulaciones sectoriales, como las de la banca o las telecomunicaciones.
- La notificación de incidentes de seguridad, con la petición que ya se ha formulado desde la empresa privada para la creación de una ventanilla única que distribuya esta notificación posteriormente entre los distintos organismos ministeriales concernidos que lo requieran.
Y esto, debe manejarse internamente en la administración con las debidas medidas de control que eviten dañar la imagen de la víctima ante una brecha de seguridad de sus propios sistemas.
- Las medidas específicas, tanto organizativas como normativas y técnicas, que los Operadores de Servicios Esenciales y Prestadores de Servicios Digitales deberán cumplir. Se confía en la inclusión del criterio de proporcionalidad con el riesgo, a la hora de dictar cuáles han de ser estas medidas.
- Los profesionales de la Ciberseguridad esperan un respaldo oficial a su desempeño profesional acorde a la importancia que ya se le otorga en sus organizaciones. Hablamos de los CISOS y de los Auditores de Seguridad.
- Los Operadores de Servicios Esenciales consideran imprescindible incluir en el alcance tanto a los fabricantes de los elementos constitutivos de las redes y sistemas de información, como a otros proveedores de la cadena de valor de los servicios, y a otros Prestadores de Servicios Digitales aún no incluidos.
Así por ejemplo, servicios como Whatsapp o las Redes Sociales no están incluidos en el alcance, aunque hoy pueden considerarse como servicios esenciales para la sociedad.
Desde el sector privado, es casi unánime la petición de continuar con el modelo de colaboración público-privada que tanto a la hora del desarrollo de los aspectos técnicos de implementación como la designación de los operadores de servicios esenciales y prestadores de servicios digitales.
Manuel Carpio, tutor del Máster de Ciberseguridad de IMF Business School.
Formación Relacionada
