Por Ana Grau
Abogada en Adarve
La aproximación a un tema como la ciberseguridad, tan complejo como
esencial en la transformación digital que vivimos, no tiene sentido si
no se realiza desde una perspectiva global. No cabe un análisis
geográficamente limitado, el punto de partida debe ser lo más amplio
posible. Su regulación, en consecuencia, ha debido ser adaptada para
acompasar esta realidad y dar soporte, forma y cohesión a los mecanismos
e iniciativas que en la última década se han puesto en marcha para
regular este ámbito en permanente evolución.
Así, el pasado 6 de Julio fue aprobada por el Parlamento Europeo la Directiva sobre seguridad de las redes y de la información (SRI)[1].
Esta directiva deberá ser transpuesta a las regulaciones internas de
los países miembros en el plazo de 21 meses, por lo que no se aplicará
de forma práctica hasta el mes de mayo de 2018, previéndose sanciones
para aquellos países que no lo lleven a cabo. La directiva pretende la
creación (e imposición) de un marco europeo desde el que combatir los
incidentes que tienen lugar en el ámbito cibernético: virus,
suplantación de identidad, fallos técnicos…y un largo etcétera. Habida
cuenta que estos ataques se han incrementado en el 2015 en un 38%
respecto del 2014[2],
esta Directiva es tan ineludible como ambiciosa, siendo una de las
propuestas legislativas prioritarias del presente año a nivel europeo.
El objetivo de la Directiva es desarrollar una política internacional
aplicable a todas las industrias y empresas, un estándar común de
seguridad cibernética que asegure un entorno digital fiable. La máxima
perseguida es considerar la seguridad un proceso y no un estado, lo que
obliga a las empresas a desarrollar herramientas que les permitan
reaccionar tanto frente a los riesgos conocidos como frente a los que
están por conocer. Al fin y al cabo se parte de que seguridad no es
sinónimo de protección absoluta, sino el desarrollo de un sistema apto
para responder frente a todo aquel que opere contrariamente al marco
legal aprobado, reflejo de la política ya asumida por el Parlamento
Europeo. La necesaria cooperación internacional se intentará garantizar
con la creación de un órgano supranacional que tendrá como finalidad el
intercambio de información y la asistencia a los países miembros. Su
implantación a nivel nacional, asimismo, implicará crear un órgano
competente para la vigilancia de la correcta aplicación de la Directiva.
En cuanto a la consecuencia directa de su aplicación, cada uno de los
países miembros tendrá que señalar las empresas esenciales de
determinados sectores. Todas las empresas que se puedan encuadrar en la
lista que facilita la Directiva tendrán que informar sobre aquellos
incidentes que se puedan calificar de graves. No se libran empresas de
renombre tales como Facebook, Paypal o Amazon, además de los mencionados
“operadores de servicios esenciales”.
Conociendo que estos ataques cibernéticos causan daños a las empresas
europeas y a la economía en general de cientos de miles de millones de
euros cada año[3],
excesivo ha sido el tiempo en desarrollar un marco legal que ampare
esta realidad. Individualizando por industrias, por ejemplo, a muchos ha
sorprendido que el sector del gas y el petróleo haya sido el que más
incidentes cibernéticos haya sufrido el pasado año, seguido de cerca por
el sector tecnológico y el de las telecomunicaciones. En el otro lado
de la balanza, la industria farmacéutica destaca por haber incrementado
enormemente las medidas de seguridad para evitar estos resultados. Cabe
preguntarse, empero, si será realmente la norma útil para aquellos que
la necesitan o si en cambio llega tarde y siempre estará un paso por
detrás de las medidas desarrolladas por los perjudicados. El temor es
que pueda entonces convertirse en un obstáculo para el libre desarrollo
de la realidad cibernética a la que está destinada a regular y proteger.
Ciertamente se ve con recelo que esta “declaración de intenciones”
pueda realmente aplicarse a un instrumento global y cambiante como es
Internet, máxime cuando es necesario para ello la coordinación entre una
pluralidad de empresas y gobiernos de la Unión Europea. Este
escepticismo se une al inherente a cualquier Directiva europea, ya que
suelen adolecer de gran lentitud en su aplicación. La presente directiva
se enfrenta no solo a las dificultades regulares de cualquier norma que
afecte a una pluralidad de estados y entidades, sino al velozmente
mutable monstruo de internet y de la era digital.
Por último, cabe destacar que paralelamente a la vía legal el 91% de
las empresas afectadas han adoptado estructuras operativas favorables a
la ciberseguridad. Son los perjudicados, con o sin Directiva, los que
antes desarrollan vías para garantizarse esta seguridad en el desarrollo
de su actividad. Ello no le resta vigencia al ideal perseguido por esta
iniciativa legislativa: proveer de una regulación de amplio espectro
que posibilite, proteja y catalice las iniciativas en ciberseguridad que
dan amparo y protección a un número cada vez mayor de usuarios y
realidades.
[1]The Directive on security of network and information systems -the NIS Directive- 2013/0027/COD
[2]Encuesta de PwC: “The global State of Information Security Survey 2016” Global State of Information Security® Survey 2016.
[3]European Commission – Fact Sheet: Commission boosts cybersecurity industry and steps up efforts to tackle cyber-threats.
