La ciberseguridad adquiere cada vez más relevancia en distintos ámbitos, incluso llegando a considerarse como una prioridad. Como lo manifestamos en nuestro informe ‘Tendencias 2016: (In) Security Everywhere’, uno de los pronósticos considera el desarrollo de nuevas legislaciones, regulaciones o iniciativas en la materia a nivel internacional.
La directiva NIS proporciona las medidas legales para aumentar el nivel de ciberseguridad en la Unión Europea
Recientemente la Unión Europea adoptó la Directiva NIS para la seguridad de redes y sistemas de información, la primera pieza para comenzar a legislar en materia de ciberseguridad dentro de los países miembros. Sin duda, se trata de una importante iniciativa que muestra el camino a seguir en otras regiones del mundo.
Nuevas legislaciones para la ciberseguridad
Partiendo de la importancia que representan las redes, servicios y sistemas de información para la sociedad actual, su fiabilidad y seguridad resultan esenciales en las actividades económicas, sociales y de mercado interno de cualquier país. Además, el aumento en la magnitud, frecuencia e impacto de los incidentes de seguridad representan una importante amenaza para los estados-naciones.
Por ello, el pasado 6 de julio el Parlamento Europeo adoptó la mencionada ‘Directiva sobre seguridad de redes y sistemas de información’ que tiene como propósito llevar a un mismo nivel de desarrollo las capacidades de ciberseguridad de todos los Estados miembros. Así, se propone garantizar que el intercambio de información y la cooperación resulten eficientes, incluso a nivel transfronterizo.
La Directiva NIS entrará en vigor en agosto próximo; a partir de entonces los países miembros tendrán 21 meses para considerarla en sus leyes nacionales y seis meses más para identificar a los operadores de servicios esenciales dentro de sus respectivos territorios. En este sentido, la directiva proporciona las medidas legales para aumentar el nivel de ciberseguridad en la Unión Europea.
¿Qué considera la Directiva NIS?
A grandes rasgos, las legislaciones derivadas de la Directiva NIS instan a los Estados miembros a estar equipados y preparados para dar respuesta a incidentes de gran escala, por ejemplo, a través de un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y una autoridad nacional competente en la materia.
Un propósito importante es la creación de una red CSIRT dentro de los países, para promover una rápida y eficaz cooperación, que atienda los incidentes y permita el intercambio de información relacionada con riesgos de seguridad. Otro objetivo de mayor alcance es el desarrollo de una cultura de seguridad en todos los sectores que son fundamentales para la economía y la sociedad de los países miembros.
Por esta razón, se busca proteger sectores estratégicos que dependen en gran medida de las Tecnologías de Información y Comunicación, como el sector energético, transporte, financiero, salud o infraestructura digital. Las empresas de estos sectores (identificadas como operadores de servicios esenciales), deberán aplicar las medidas de protección previstas en la directiva. Además, deberán notificar a la autoridad nacional sobre los incidentes de seguridad considerados como graves.
Aspectos principales para la seguridad de los Estados
Como ya se mencionó, la directiva establece medidas con miras a lograr un alto nivel de seguridad común en las redes y sistemas de información de los países miembros de la Unión Europea, con el fin de mejorar el funcionamiento del mercado interior, por lo que los países deberán realizar las siguientes tareas principales:
- Establecer obligaciones para todos los Estados miembros en busca de adoptar una estrategia nacional sobre la seguridad de redes y sistemas de información.
- Crear un grupo de cooperación estratégica e intercambio de información entre los Estados miembros.
- Crear una red de Equipos de Respuesta a Incidentes de Seguridad Informática (red CSIRT), para contribuir en la rapidez y eficacia de la cooperación operativa.
- Establecer y notificar los requisitos de seguridad para operadores de servicios esenciales (como el energético, financiero, salud, etc.) y proveedores de servicios digitales (como motores de búsqueda, comercio electrónico o cómputo en la nube).
- Determinar obligaciones para las autoridades nacionales competentes de cada Estado miembro, de los puntos de contacto únicos y los CSIRT, en las tareas relacionadas con la seguridad de redes y sistemas de información.
A partir de estas iniciativas se pretende evitar los incidentes que puedan impedir las actividades económicas o causar daños a la infraestructura, pérdida de confianza de los usuarios o la interrupción del funcionamiento de los sistemas y redes críticos.
El camino por recorrer en la legislación sobre ciberseguridad
Sin duda, las legislaciones contribuyen en gran medida para que las organizaciones (públicas o privadas) comiencen a adoptar medidas de protección, enfocadas a mantener la confidencialidad, integridad y disponibilidad de la información (tanto de terceros como interna). En el ámbito organizacional, se pretende que los negocios mantengan la continuidad, pero en una escala mayor se busca el funcionamiento y la seguridad de los estados-naciones. Su aplicación resulta obligatoria.
A medida que la ciberseguridad siga aumentando en importancia, también lo harán las legislaciones y esta tendencia. Si bien no se cuenta con iniciativas de esta naturaleza en otras regiones, ya se han dado pasos importantes, tal como lo muestra el estudio realizado por el Banco Interamericano de Desarrollo (BID) y la Organización de los Estados Americanos (OEA), donde se evaluó el nivel de ciberseguridad para Latinoamérica.
Aunque en el informe titulado “Ciberseguridad: ¿Estamos preparados en América Latina y el Caribe?” se llega a la conclusión de que los países latinoamericanos se encuentran poco preparados para contrarrestar las amenazas informáticas, los aspectos analizados a través del nivel de madurez propuesto en el estudio, concuerdan con los establecidos en la Directiva NIS, y en ambos casos las iniciativas pretenden mantener un país funcionando social y económicamente.
En los próximos años se deberá seguir trabajando en el desarrollo de marcos legislativos sobre ciberseguridad, donde parte importante de las iniciativas se relacionan con aspectos como la creación de organizaciones de coordinación (como los CSIRT), desarrollo de estrategias nacionales de ciberseguridad y en la protección de infraestructura crítica de los países. En otros elementos, se debe considerar el fomento a la educación y formación sobre temas de seguridad, incluso en el desarrollo de una cultura de seguridad que permee a cualquier usuario de la tecnología.