El pasado 6 de julio, el Parlamento Europeo aprobó la Directiva sobre la Seguridad de las Redes y de la Información, que constituye un paso decisivo para hacer frente al reto que suponen las amenazas de ciberseguridad. El objetivo es acabar con la fragmentación de los sistemas de seguridad cibernética entre los países para actuar de forma cohesionada en el seno de la UE y exige a las empresas de servicios críticos cumplir con nuevos requisitos.
La cuestión de la seguridad es especialmente urgente dentro del seno de la Unión Europea. No en vano, al menos el 80% de las empresas del Viejo Continente han experimentado, como mínimo, un incidente de ciberseguridad en el último año, y el número de sucesos registrados en el ámbito empresarial aumentó un 38% en 2015.
Tras un intenso proceso de tres años de trabajo, que pisó el acelerador tras los atentados de París en noviembre de 2015, esta normativa (NIS – net-
work information security) es la primera iniciativa de calado que se pone en marcha para que los países de la UE actúen de forma coordinada en la defensa del ciberespacio. Este es un ámbito del que somos (casi) dependientes y cuyos potenciales riesgos son innumerables, muchos aún desconocidos. La normativa entrará en vigor en un plazo de 21 meses, período durante el cual cada uno de los países acometerá su transposición a la legislación nacional, en consonancia con su Estrategia Nacional de Ciberseguridad
—en vigor en España desde 2013—.
La necesidad de la llegada de la directiva era acuciante, pues el ciudadano necesita tener la confianza de que las plataformas digitales son seguras. Además, estamos en un contexto en el que las amenazas y ataques cibernéticos tienen un componente transfronterizo cada vez mayor; no tiene sentido que los países y empresas actúen solos, por lo que deberían realizar una labor de prevención, protección y ofensiva conjunta y cohesionada. Precisamente, uno de los aspectos más relevantes de la NIS es que pone el foco en la capacidad de respuesta conjunta (y lo más eficiente posible) a un ciberataque, pero, más si cabe, en la prevención de estos graves incidentes.
Por este motivo, conviene aclarar que la NIS no es una directiva de seguridad como tal, sino una directiva que establece los mecanismos para fijar las medidas de seguridad y se centra en cómo armonizar esa coordinación y colaboración entre los países y entre los diferentes actores dentro de cada uno. Que son muchos, incluida la empresa privada.
Habrá que endurecer la resistencia a ciberataques y establecer planes de reacción
Engranaje público-privado
Responder a la directiva se va a traducir en la configuración de un verdadero ecosistema, donde convivirán y compartirán información y procesos actores públicos y privados. Por un lado, los diferentes organismos competentes que designe el Gobierno, que serán los encargados de establecer y gestionar los procesos y de velar por el cumplimiento de la ley. Por otro, determinados tipos de empresas, que tendrán que reforzar su capacidad de resistencia a los ataques cibernéticos, diseñar planes de respuesta y establecer los canales de interlocución continua con dichos departamentos gubernamentales.
Para el sector privado, la consecuencia más relevante es la imposición de una serie de nuevas obligaciones a las empresas europeas catalogadas como operadores de servicios esenciales, es decir, que prestan servicios básicos a los ciudadanos. Precisamente por su naturaleza de suministradores de servicios que son críticos para la sociedad y la economía, la NIS les exige, por un lado, cumplir con determinados requisitos de seguridad de sus infraestructuras, redes e información; y por otro, que informen a las autoridades sobre los incidentes que tengan un impacto significativo en la seguridad de los servicios que prestan. Pensemos en el perjuicio que un incidente puede tener sobre la disponibilidad del servicio, la privacidad de los clientes o sobre la seguridad pública.
En este segmento se incluyen las empresas de servicios financieros y los mercados de valores; de generación, transporte y distribución de energía (como un oleoducto o una refinería); del transporte aéreo, ferroviario y marítimo; de tratamiento y distribución de agua; y del sector de la sanidad (como hospitales). Sin embargo, no afecta a los operadores de telecomunicaciones, dado que ya estaban obligados a informar de incidencias en la Directiva 2002/21/EC.
Como no podría ser de otra manera, la Directiva NIS también afecta a las empresas de servicios a través de Internet y de infraestructura digital, como las plataformas de comercio electrónico, los motores de búsqueda o los proveedores de servicios de cloud. Sin embargo, otros proveedores de servicios, como los relacionados con las redes sociales (por ejemplo, Twitter o Facebook), no quedan sujetos a la norma.
La directiva contempla multas que pueden llegar a ser muy elevadas
Identificación y clasificación
La identificación y selección de los operadores esenciales de cada país corresponde a los gobiernos nacionales. En España están clasificadas 93 empresas, que representan alrededor de 300 infraestructuras críticas, aunque por cuestiones obvias de seguridad y confidencialidad, la lista está bajo llave. En cualquier caso, todas ellas tendrán que endurecer su resistencia a ciberataques y establecer planes de reacción, incluyendo planes de gestión que tiendan a prevenir los sucesos más frecuentes. También se les exigirá una evaluación exhaustiva de posibles riesgos a partir de cómo un ataque de este tipo podría afectar a sus infraestructuras.
El establecimiento de los nuevos requisitos abre la posibilidad, por otra parte, a la generación de negocios satelitales, orientados a acompañar a las empresas en su adaptación y a ayudar a la administración en la supervisión, como por ejemplo, las auditorías.
Para propiciar el cumplimiento de los criterios de seguridad por parte de estas empresas, la directiva contempla multas, que pueden llegar a ser muy elevadas en los casos más graves. Este es un tema que inquieta a las compañías pues, en este punto, la directiva es muy ambigua y siembra la incertidumbre en cuanto a qué criterios utilizará la autoridad nacional para desarrollar el régimen sancionador.
La inquietud del sector privado ante este asunto está sobre la mesa. No obstante, la ciberseguridad es una materia sobre la que existe un excelente marco de entendimiento entre los sectores público y privado. De hecho, poco antes de la aprobación de la NIS, la Comisión Europea puso en marcha una asociación público-privada sobre ciberseguridad con el objetivo de fomentar la cooperación en I+D, que se espera que desencadene una inversión de 1 800 millones de euros de aquí a 2020.
Otro de los retos de la NIS es su gran transversalidad, pues debe ensamblarse con otras normativas europeas, como el recién aprobado Reglamento europeo de Protección de Datos adaptado a la era digital, y con las diferentes leyes nacionales vinculadas a la seguridad y datos, así como a las propias de cada sector empresarial. En España serían, entre otras, la Ley de Protección de Infraestructuras Críticas (PIC), la Ley de Protección de Datos (LOPD), la Estrategia de Ciberseguridad y leyes específicas de energía, transporte o agua.
Más allá de las obligaciones y retos, lo que es claro y positivo para todos es que la cooperación en la lucha cibernética no ha hecho más que empezar.