¡¡ NOS SENTIMOS CIBERSEGUROS !!
En los últimos años, vemos como
nuestra presencia online se va incrementando exponencialmente, llegando a
constituir la principal vía de comunicación en nuestro día a día. Por tanto,
como extensión a esa circunstancia, nuestra vida al completo se está “mudando”
a la WorldWideWeb y, con ello, la problemática derivada de las relaciones
jurídicas y personales. Ante tal situación, se hace necesaria una actualización
legal en estos asuntos, lo cual ha abordado la UE en época estival, para que
vayamos madurándolo en los trasiegos aeroportuarios.
Así, el pasado 19 de julio se publicó
de forma oficial en el Diario de la UE la Directiva
2016/1148, de 6 de julio de 2016, relativa a las medidas destinadas a
garantizar un elevado nivel común de seguridad de las redes y sistemas de
información en la Unión. Siguiendo la tradición de acronimia propia de la
informática, a esta normativa se la conoce como “Directiva NIS”.
En algunos de los Considerandos, se
hace patente la necesidad de atajar el incremento de incidentes de seguridad
que tienen lugar en las fronteras de la Unión Europea, pues demostrado está que
tienen entidad suficiente para soslayar la actividad económica, generar
notables pérdidas financieras, menoscabar la confianza del usuario y causar
grandes daños a la economía de la Unión.
En lo que respecta a España, el
pasado año el CCN-CERT combatió 18.232 ciberincidentes, es decir, un 41% más
que en 2014, de los cuales 430 tuvieron una peligrosidad calificada como “muy
alta” o “crítica”. Por si fuera poco, auguran una tendencia alcista, pues la
capacidad de los atacantes para sortear los sistemas de seguridad se supera de
manera vertiginosa, con lo que las previsiones no son muy halagüeñas, atisbando
un mantenimiento en las prácticas de Ransonware
y Cryptoware tanto a empresas como
particulares. Y ustedes se preguntarán para qué sirven entonces estas medidas.
Pues bien, tienen varios objetivos, entre los cuales destacan dos: evitarlos
con medios técnicos y concienciar a los usuarios tanto en la aplicación de
medidas de seguridad como en la idea de que el pago del rescate no es siempre
la mejor opción. Se trata de una lucha común de autoridades y particulares, con
objeto de acabar con estas extorsiones económicas que acucian a inocentes
internautas con pocos conocimientos en seguridad informática básica.
Pero no se queda ahí cosa, también
tienen motivaciones estratégicas. Por ejemplo, los ataques a Administraciones
Públicas. Y, por último (por ahora), la tendencia prevista va en
correspondencia lógica con nuestros recientes hábitos de conectividad. Me
refiero al afamado IoT (internet de
las cosas), tecnología gracias a la cual podemos adquirir una nevera, reloj,
pulsera, etc., que ya no tienen únicamente sus funciones habituales, sino que
nos permiten estar permanentemente conectados a la internet, a la par que
recopilar datos personales supuestamente anonimizados, con el objetivo de mejorar
nuestra experiencia y vida diaria. ¿Qué ocurre con esos datos? Pues, para no
variar, que pueden ser interceptados en su camino a sernos de utilidad y, así,
pasan a ser de utilidad económica para los ciberdelincuentes.
En cuanto al contenido de esta
normativa, principalmente dispone lo siguiente: cada Estado miembro deberá
disponer de una estrategia nacional de seguridad de las redes y sistemas de
información que fije los objetivos estratégicos y las medidas concretas que se
hayan de aplicar; será de aplicación a los operadores de servicios esenciales,
públicos o privados, que se identifiquen por los Estados miembros al cumplir
los requisitos establecidos en la citada norma, así como a los proveedores de
servicios digitales indicados en ésta; un proveedor de servicios digitales se
considerará sometido a la jurisdicción del Estado miembro en el que se
encuentre su establecimiento principal; los EE.MM. velarán por que las
entidades sujetas a la Directiva notifiquen sin dilación indebida a la
autoridad competente o al CSIRT los incidentes que tengan efectos significativos
en la continuidad de los servicios que prestan. Adicionalmente, a fin de
determinar la importancia de los efectos de un incidente se atenderá, según los
casos, a parámetros como el número de usuarios afectados, la duración del
incidente o la extensión geográfica, con respecto a la zona afectada por el
incidente, el grado de perturbación de funcionamiento del servicio e, incluso,
el alcance del impacto sobre las actividades económicas y sociales. Por último,
se aborda el régimen sancionador que deberá determinarse por cada Estado
miembro debiendo ser, en todo caso, sanciones efectivas, proporcionadas y
disuasorias.
Consecuentemente, se espera la
transposición nacional de los EE.MM. de esta Directiva europea, con objeto de
garantizar el nivel de seguridad requerido por ésta. En nuestro caso, podría
implicar una modulación de la actual normativa estatal de seguridad nacional,
de infraestructuras críticas, o la referente a los servicios de la sociedad de
la información y del comercio electrónico (la LSSICE). Por su parte, la
Estrategia Nacional de Ciberseguridad deberá adaptarse a la nueva normativa.
Igualmente y para concluir, confiamos
en que exista la coordinación necesaria entre la adaptación nacional al nuevo
Reglamento Europeo de Protección de Datos y la transposición interna del
contenido de la Directiva NIS en lo relativo al tratamiento de datos
personales. Y digo confiamos porque la presentación no ha resultado de lo más
prometedor, ya que en la misma Directiva NIS, de publicación posterior al RGPD,
se habla de la Directiva 95/46/CE, derogada por éste. Crucemos los dedos y
pensemos que los comienzos siempre son duros.
No hay comentarios:
Publicar un comentario