¡¡ NOS SENTIMOS CIBERSEGUROS !!

¡¡ NOS SENTIMOS CIBERSEGUROS !!

En los últimos años, vemos como nuestra presencia online se va incrementando exponencialmente, llegando a constituir la principal vía de comunicación en nuestro día a día. Por tanto, como extensión a esa circunstancia, nuestra vida al completo se está “mudando” a la WorldWideWeb y, con ello, la problemática derivada de las relaciones jurídicas y personales. Ante tal situación, se hace necesaria una actualización legal en estos asuntos, lo cual ha abordado la UE en época estival, para que vayamos madurándolo en los trasiegos aeroportuarios.

Así, el pasado 19 de julio se publicó de forma oficial en el Diario de la UE la Directiva 2016/1148, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Siguiendo la tradición de acronimia propia de la informática, a esta normativa se la conoce como “Directiva NIS”.

En algunos de los Considerandos, se hace patente la necesidad de atajar el incremento de incidentes de seguridad que tienen lugar en las fronteras de la Unión Europea, pues demostrado está que tienen entidad suficiente para soslayar la actividad económica, generar notables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión.

En lo que respecta a España, el pasado año el CCN-CERT combatió 18.232 ciberincidentes, es decir, un 41% más que en 2014, de los cuales 430 tuvieron una peligrosidad calificada como “muy alta” o “crítica”. Por si fuera poco, auguran una tendencia alcista, pues la capacidad de los atacantes para sortear los sistemas de seguridad se supera de manera vertiginosa, con lo que las previsiones no son muy halagüeñas, atisbando un mantenimiento en las prácticas de Ransonware y Cryptoware tanto a empresas como particulares. Y ustedes se preguntarán para qué sirven entonces estas medidas. Pues bien, tienen varios objetivos, entre los cuales destacan dos: evitarlos con medios técnicos y concienciar a los usuarios tanto en la aplicación de medidas de seguridad como en la idea de que el pago del rescate no es siempre la mejor opción. Se trata de una lucha común de autoridades y particulares, con objeto de acabar con estas extorsiones económicas que acucian a inocentes internautas con pocos conocimientos en seguridad informática básica.

Pero no se queda ahí cosa, también tienen motivaciones estratégicas. Por ejemplo, los ataques a Administraciones Públicas. Y, por último (por ahora), la tendencia prevista va en correspondencia lógica con nuestros recientes hábitos de conectividad. Me refiero al afamado IoT (internet de las cosas), tecnología gracias a la cual podemos adquirir una nevera, reloj, pulsera, etc., que ya no tienen únicamente sus funciones habituales, sino que nos permiten estar permanentemente conectados a la internet, a la par que recopilar datos personales supuestamente anonimizados, con el objetivo de mejorar nuestra experiencia y vida diaria. ¿Qué ocurre con esos datos? Pues, para no variar, que pueden ser interceptados en su camino a sernos de utilidad y, así, pasan a ser de utilidad económica para los ciberdelincuentes.

En cuanto al contenido de esta normativa, principalmente dispone lo siguiente: cada Estado miembro deberá disponer de una estrategia nacional de seguridad de las redes y sistemas de información que fije los objetivos estratégicos y las medidas concretas que se hayan de aplicar; será de aplicación a los operadores de servicios esenciales, públicos o privados, que se identifiquen por los Estados miembros al cumplir los requisitos establecidos en la citada norma, así como a los proveedores de servicios digitales indicados en ésta; un proveedor de servicios digitales se considerará sometido a la jurisdicción del Estado miembro en el que se encuentre su establecimiento principal; los EE.MM. velarán por que las entidades sujetas a la Directiva notifiquen sin dilación indebida a la autoridad competente o al CSIRT los incidentes que tengan efectos significativos en la continuidad de los servicios que prestan. Adicionalmente, a fin de determinar la importancia de los efectos de un incidente se atenderá, según los casos, a parámetros como el número de usuarios afectados, la duración del incidente o la extensión geográfica, con respecto a la zona afectada por el incidente, el grado de perturbación de funcionamiento del servicio e, incluso, el alcance del impacto sobre las actividades económicas y sociales. Por último, se aborda el régimen sancionador que deberá determinarse por cada Estado miembro debiendo ser, en todo caso, sanciones efectivas, proporcionadas y disuasorias.

Consecuentemente, se espera la transposición nacional de los EE.MM. de esta Directiva europea, con objeto de garantizar el nivel de seguridad requerido por ésta. En nuestro caso, podría implicar una modulación de la actual normativa estatal de seguridad nacional, de infraestructuras críticas, o la referente a los servicios de la sociedad de la información y del comercio electrónico (la LSSICE). Por su parte, la Estrategia Nacional de Ciberseguridad deberá adaptarse a la nueva normativa.

Igualmente y para concluir, confiamos en que exista la coordinación necesaria entre la adaptación nacional al nuevo Reglamento Europeo de Protección de Datos y la transposición interna del contenido de la Directiva NIS en lo relativo al tratamiento de datos personales. Y digo confiamos porque la presentación no ha resultado de lo más prometedor, ya que en la misma Directiva NIS, de publicación posterior al RGPD, se habla de la Directiva 95/46/CE, derogada por éste. Crucemos los dedos y pensemos que los comienzos siempre son duros. 

Cecilio Criado Ruz

Abogado
FERNÁNDEZ-PALACIOS ABOGADOS