Sala de Prensa

La nueva directiva de CIBERSEGURIDAD 2016/1148

seguridadEl día 19 de Julio de 2016 se publicó en el Diario Oficial de la Unión Europea la Directiva 2016/1148 de 6 de Julio relativa las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión, también conocida como la Directiva sobre ciberseguridad.

Partiendo de la importancia que para nuestro mercado actual globalizado presenta el empleo de las redes y sistemas de información de operadores de servicios esenciales y proveedores de servicios digitales, en tanto que con ello se permite el desarrollo y crecimiento de las actividades económicas del mercado europeo, la seguridad en estas redes y sistemas de información constituye consecuentemente, un elemento esencial al que atender para el buen funcionamiento y crecimiento del mercado.

Cualquier traspaso de garantías o vulneración de las mismas en relación a dichas redes, puede interrumpir las actividades económicas y con ello generar importantes pérdidas financieras y el menoscabo de la confianza del usuario, así como graves daños a la economía de la Unión, sería desastroso.

La Drirectiva que se analiza marca las directrices que los estamos miembros deben tomar como referencia para establecer los programas de seguridad y control de las redes y sistemas de información, con la intención de elevar el nivel de seguridad actualmente existente en las redes y sistemas de información, y sobre todo también la debida coordinación entre los distintos Estados miembros..

Una de las figuras que permitirán la eficacia de estas medidas, es la de nombrar cada Estado una autoridad que permita dar respuesta a los incidentes que le sean notificados, denominadas CSIRT por sus siglas en inglés “computer security incident response team”. Este órgano, emitirá el correspondiente informe, siempre anonimizando los datos del incidente notificado, tales como los relativos al producto afectado, para salvaguarda la confidencialidad y lo presentará ante el Grupo de cooperación (compuesto por representantes de los Estados miembro, la Comisión y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea-ENISA), el cual a su vez lo hará llegar a los Estados miembro y a la Comisión.

Junto con las CSIRT se encuentran también las autoridades nacionales competentes en dicha materia, para la supervisión del cumplimiento de la Directiva, y los puntos de contacto único, que ejercerán funciones de enlace para garantizar la cooperación entre las autoridades de los Estados miembro, Grupo de cooperación, y red de CSIRT. Todos ellos de designación obligatoria para cada Estado miembro.

Es importante señalar que la Directiva se aplica únicamente a las administraciones públicas que hayan sido identificadas como operadores de servicios esenciales. Por lo tanto, será responsabilidad de los Estados miembro garantizar la seguridad de las redes y sistemas de información de las administraciones públicas no incluidas en dicho ámbito de aplicación.

Son los operadores de servicios esenciales – entidad pública o privada de uno de los tipos que recoge el Anexo II de la Directiva, y que han de ser identificados como tales por los Estados miembros dentro de un plazo de tiempo limitado al 9 de noviembre del año 2018 – y proveedores de servicios digitales – toda persona jurídica que preste un servicio digital -, los que deben garantizar la seguridad de redes y sistemas de información que utilicen, y cumplir en materia de notificaciones. Ello con independencia a que tales servicios sean mantenidos directamente por ellos o lo subcontraten con terceros.

Los requisitos de seguridad que los operadores y proveedores deben aplicar a las redes y sistemas de información serán proporcionados a los riesgos que presenten, y correlativos al estado de la técnica. Tales requisitos en el caso de los proveedores de servicios digitales, no se aplicarán a microempresas ni pequeñas empresas.

En el caso en que un incidente pudiera ser consecuencia de actividades delictivas según la legislación de la Unión o nacional, los Estados miembro deben alentar a los operadores de servicios esenciales y proveedores de servicios digitales a notificar personalmente a las autoridades policiales competentes los mismos. Siendo en este punto importante, como reconoce la Directiva, la facilitación por parte del Centro Europeo de Ciberdelincuencia (EC3) y la ENISA de la coordinación entre las autoridades competentes y las policiales de los distintos Estados miembro.

La competencia judicial para conocer de estos incidentes y conflictos se atribuirá al Estado miembro en el que el operador tenga su establecimiento en la Unión, esto es, su domicilio social, allí donde ejerza real y efectivamente su actividad mediante una organización estable. En caso de operar en territorio de la Unión pero carecer de establecimiento en ella, se habrá de designar un representante, a través de mandato escrito que le autorice para actuar por cuenta del operador en lo que se refiere a sus obligaciones derivadas de la Directiva. Entendiendo que dicho operador ofrece sus servicios en la Unión, cuando tiene la intención de ofrecerlos a personas de uno o varios Estados miembro.

En caso de que entidades no incluidas en el ámbito de aplicación de la Directiva, sufrieran incidentes con efectos significativos en los servicios que presten, y consideren de interés público su notificación, deben poder hacerlo de modo voluntario. La cual será tramitada cuando no suponga una carga desproporcionada o injustificada para los Estados miembro afectados.

Finalmente señalar que esta misma Directiva prevé el establecimiento por los Estados miembro de un régimen de sanciones por incumplimiento de las disposiciones nacionales adoptadas al amparo de la Directiva, así como la asistencia a la Comisión por el Comité de Seguridad de las Redes y Sistemas de Información.

El éxito de la Directiva 2016/1148 no será fácil de alcanzar, las características en el funcionamiento de las entidades dedicadas a las actividades en materia de telecomunicaciones actúan de tal manera que las medidas en ella pretendidas serán difíciles de aplicar y permitir se implanten y se vean materializadas. No obstante, es un objetivo que la Unión considera prioritario, aunque le lleve más tiempo del previsible y requerirá de la cooperación entre los distintos Estados miembro, para poder entre sí adoptar un modelo que permita el debido intercambio de información y garantía de la máxima eficacia en las medidas que se adopten.

Lex Consulting Abogados

articulo

También te podría interesar

No hay comentarios

Deja una respuesta