Europea

Durante las últimas décadas, los servicios electrónicos, las nuevas tecnologías, los sistemas de información y las redes se han incorporado a nuestra vida cotidiana.

Es de conocimiento común que los incidentes deliberados que causan la interrupción de los servicios de TI y las infraestructuras críticas constituyen una grave amenaza para su funcionamiento y, en consecuencia, para el funcionamiento del mercado interior y la Unión Europea.

Este riesgo, combinado con el hecho de que las contramedidas existentes en términos de herramientas y procedimientos de seguridad no están suficientemente desarrolladas en la UE, y ciertamente no son comunes en todos los Estados miembros, hizo necesario un enfoque integral a nivel de la Unión, con respecto a la seguridad de redes y sistemas de información.

Asegurar la red y los sistemas de información en la Unión Europea es esencial para mantener en funcionamiento la economía en línea y garantizar la prosperidad. La Unión Europea trabaja en varios frentes para promover la resiliencia cibernética.

Analizamos aquí las distintas normativas en materia de ciberseguridad existentes en la UE.

Marco normativo de ciberseguridad en la UE

La principal norma aprobada por la UE sobre ciberseguridad es la Directiva 2016/1148 1 sobre seguridad de redes y sistemas de información (Directiva NIS).

Directiva NIS

Esta ley es la primera legislación horizontal adoptada a nivel de la Unión Europea (UE) para la protección de redes y sistemas de información en toda la Unión. En la misma se indican las medidas necesarias para lograr un elevado nivel de seguridad de las redes y sistemas de información dentro de la UE que permita un mejor funcionamiento del mercado interior.

La Directiva NIS se publicó en julio de 2016. Sin embargo, la UE ha abordado los problemas de seguridad cibernética de manera integral desde 2004, cuando se fundó ENISA (Agencia de la Unión Europea para Seguridad de Redes e Información), una nueva agencia especializada de la UE.

La propia Directiva NIS tiene sus raíces en la Comunicación de la Comisión de 2009, que se centra en la prevención y la sensibilización y define un plan de acción inmediata para fortalecer la seguridad y la confianza en la sociedad de la información.

A esto le siguió, en 2013, una Comunicación conjunta publicada por la Comisión y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad sobre la Estrategia de Ciberseguridad de la Unión Europea.

De 2013 a 2015, la Comisión, el Consejo y el Parlamento debatieron intensamente el borrador presentado por la Comisión y estos debates dieron lugar a la Directiva NIS que entró en vigor en agosto de 2016. El plazo para la transposición nacional por parte de los Estados miembros de la UE fue hasta mayo de 2018.

Estructura

La Directiva NIS consta de 27 artículos.

Los artículos 1 a 6 establecen su alcance y sus definiciones principales, incluida una aclaración adicional con respecto a la identificación de operadores de servicios esenciales.

Del artículo 7 al 10 describen los marcos nacionales que cada Estado miembro debe adoptar para la seguridad de las redes y los sistemas de información. Estos marcos incluyen, entre otros,

  • Obligación de los Estados miembros de introducir una estrategia nacional y designar autoridades nacionales competentes (incluido un único punto de contrato y los equipos de respuesta a incidentes de seguridad informática (CSIRT)
  • Creación del Grupo de Cooperación

El mecanismo de cooperación se proporciona en el Capítulo III y más específicamente en los artículos 11 a 13.

Se establecen los requisitos de seguridad y para notificar los incidentes que deben cumplir los operadores de servicios esenciales y proveedores de servicios digitales en los artículos 14 a 18.

La adopción de normas y el proceso de notificación voluntaria se tratan en los artículos 19 y 20. Finalmente, los artículos 21 a 27 incluyen las disposiciones finales de la Directiva.

En términos de estructura, este artículo se divide en siete capítulos:

  • los primeros tres capítulos discuten las partes afectadas de la Directiva y sus obligaciones en virtud de sus disposiciones,
  • los capítulos cuatro y cinco establecen las obligaciones de los Estados miembros con respecto a la estrategia nacional, así como la cooperación a nivel de la UE ,
  • el papel crítico de ENISA en la implementación de la Directiva, ya que esto se ve reforzado por la propuesta de un nuevo Reglamento sobre ENISA (Ley de Ciberseguridad de la UE), se presenta en el capítulo 6.
  • la relación inevitable de la Directiva con El Reglamento general de Protección de Datos de la UE se establece en el capítulo 7 final.

Operadores de servicios esenciales

La Directiva NIS afecta a dos categorías de empresas, bajo un enfoque claramente diferenciado en términos de obligaciones impuestas a cada una de ellas:

  • Operadores de servicios esenciales
  • Proveedores de servicios digitales.

Con respecto a la primera categoría, que es operadores de servicios esenciales, su definición incluye una entidad pública o privada que se activa en sectores específicos, como el sector de la energía, el transporte, la banca y la salud, y que al mismo tiempo cumple algunos criterios esenciales que lo califican como una entidad de ese tipo.

En consecuencia, no todos los operadores de servicios esenciales entran en el ámbito de aplicación de la Directiva NIS. Los Estados miembros tienen la tarea de identificarles como tales.

Una vez que una entidad se clasifica como uno de los tipos enumerados en el anexo II de la Directiva NIS, el siguiente paso recae en los Estados miembros, que son responsables de llevar a cabo un proceso de identificación, a fin de determinar qué empresas individuales cumplen los criterios adicionales de la definición de operadores de servicios esenciales.

A este respecto, los Estados miembros pueden ampliar las obligaciones de seguridad y notificación previstas para los operadores de servicios esenciales a entidades pertenecientes a otros sectores y subsectores distintos de los enumerados en el anexo de la Directiva NIS. Varios sectores adicionales, que no se mencionan en el anexo, han sido presentados por diferentes Estados miembros, incluidos, entre otros, las administraciones públicas, el sector postal, el sector alimentario, la industria química y nuclear.

Requisitos de seguridad

Debe asegurarse por los Estados miembros que los operadores de servicios esenciales adopten las adecuadas medidas, técnicas y organizativas, para gestionar los riesgos existentes en la seguridad de los sistemas de información y la red que usan.

Las medidas deben ser adecuadas para evitar y reducir el impacto de fallos o ataques que afecten la seguridad de sus sistemas. El objetivo principal debe ser garantizar la continuidad de dichos servicios.

Sin embargo, ¿cómo puede alcanzarse una perspectiva común de todos los Estados miembros en lo que respecta a estos requisitos de seguridad?

Según la Directiva, los Estados miembros tienen la obligación de aprobar una estrategia nacional sobre este tema. Sin embargo, el enfoque específico de la transposición nacional de la Directiva corresponde a cada Estado miembro.

Para que las disposiciones nacionales sobre requisitos de seguridad se alineen en la mayor medida posible, la Comisión alienta a los Estados miembros a seguir el documento de orientación desarrollado por el Grupo de Cooperación. En este documento se establecen algunos principios generales que todos los Estados miembros deben tener en cuenta al adoptar medidas de seguridad. Estas medidas deben ser efectivas, personalizadas, compatibles, proporcionadas, concretas y verificables.

Requisitos de notificación

Los requisitos de seguridad que deben ser adoptados por los operadores de servicios esenciales están acompañados por otra obligación que es notificar a las autoridades competentes cualquier incidente que tenga un impacto en la continuidad de los servicios (esenciales) que proporciona un operador.

En consecuencia, los operadores de servicios esenciales no deben notificar incidentes menores, sino solo incidentes graves que afecten la continuidad del servicio esencial.

Se establece una lista de parámetros que deben tenerse en cuenta al determinar la importancia del impacto de un incidente:

  • número de usuarios afectados,
  • duración del incidente y
  • extensión geográfica con respecto al área afectada por el incidente.

Una vez más, la coherencia en los enfoques nacionales, en lo que respecta al proceso de notificación, es esencial. Como en el caso de los requisitos de seguridad, el Grupo de Cooperación ha publicado un documento de referencia sobre este tema.

Proveedores de servicios digitales

El segundo tipo de entidades a las que se aplica la Directiva NIS son los proveedores de servicios digitales.

Estos incluyen cualquier persona jurídica que ofrezca un servicio digital y más específicamente un mercado en línea, un motor de búsqueda en línea o un servicio de computación en la nube.

Su regulación se justifica debido al hecho de que muchas empresas dependen de estos proveedores para la prestación de sus propios servicios. Y por ello, una parada del servicio digital podría tener importantes efectos para las actividades económicas y sociales esenciales en la UE.

Cabe señalar que la Directiva NIS no exige que los Estados miembros identifiquen a los proveedores de servicios digitales, lo que garantiza un enfoque global.

Tres tipos de proveedores de servicios digitales entran dentro del alcance de la Directiva NIS:

  • proveedores de mercados en línea,
  • proveedores de motores de búsqueda en línea y
  • distribuidores de servicios de computación en la nube.
Requisitos de seguridad

La Directiva describe las medidas de seguridad que los proveedores de servicios digitales deben tomar para mitigar los riesgos que amenazan la seguridad de la red y los sistemas de información que utilizan para la prestación de su servicio.

Los elementos que un proveedor de servicios digitales debe tener en cuenta al identificar y adoptar medidas de seguridad para su red son:

  • Seguridad de los sistemas e instalaciones
  • Manejo de incidentes
  • Gestión de la continuidad del negocio
  • Monitoreo, auditoría y pruebas
  • Cumplimiento de las normas internacionales.

La Comisión aprobó un Reglamento de Implementación que especifica más estos elementos. Se consideró esencial la necesidad de una medida legislativa adicional que aclare las disposiciones de la Directiva NIS, en lo que respecta a las obligaciones de los proveedores de servicios digitales.

La razón de esto es que los proveedores de servicios digitales, a diferencia de los operadores de servicios esenciales, son libres de tomar medidas técnicas y organizativas que consideren apropiadas para gestionar el riesgo que representa la seguridad de sus sistemas. Con este fin, las directrices y aclaraciones proporcionadas por el Reglamento de aplicación contribuyen a que los proveedores de servicios digitales de la Unión adopten un enfoque común al abordar esta cuestión.

Requisitos de notificación

Para que un proveedor de servicios digitales proteja la seguridad de su red y sistema de información, se debe seguir un procedimiento de notificación de incidentes.

Los Estados miembros se asegurarán de que los proveedores de servicios digitales notifiquen a la autoridad competente o al CSIRT cualquier incidente con un impacto sustancial en la prestación de su servicio.

Los parámetros que deben tenerse en cuenta para determinar si el impacto de un incidente es sustancial son:

  • número de usuarios afectados por el incidente, en particular usuarios que confían en el servicio para la prestación de sus propios servicios;
  • duración del incidente;
  • distribución geográfica con respecto al área afectada por el incidente;
  • alcance de la interrupción del funcionamiento del servicio;
  • alcance del impacto en las actividades económicas y sociales.

Cooperación en la UE: Grupo de Cooperación, la red CSIRT

El Grupo de Cooperación, establecido en virtud de la Directiva NIS, estará presidido por la Presidencia del Consejo de la Unión Europea. Reunirá a representantes de los Estados miembros, la Comisión (en calidad de secretaría) y ENISA.

Dentro de las funciones encomendadas al Grupo están:

  • posibilitar el intercambio de información y la cooperación estratégica entre los Estados miembros y
  • favorecer el desarrollo de la confianza.

El Grupo de Cooperación se ha reunido siete veces a partir de febrero de 2017.

También se establece la creación de una red de CSIRT nacionales. La red CSIRT estará compuesta por representantes de los CSIRT de los Estados miembros y del CERT-EU (el Equipo de respuesta ante emergencias informáticas para las instituciones, agencias y organismos de la UE).

Entre las tareas dentro de las competencias de la red CSIRT están:

  • Intercambio de información sobre los servicios, las operaciones y las capacidades de cooperación de los CSIRT
  • Intercambio de información relacionada con incidentes y riesgos asociados
  • Identificación de una respuesta coordinada a un incidente
  • Prestación de apoyo para los Estados miembros al abordar incidentes transfronterizos.

La Comisión participa en la Red CSIRT como observador. ENISA proporciona servicios de secretaría, apoyando activamente la cooperación entre los CSIRT. Dos años después de la entrada en vigor de la Directiva NIS y cada 18 meses a partir de entonces, la Red CSIRT producirá un informe que evaluará los beneficios de la cooperación operativa, incluidas conclusiones y recomendaciones.

Ley de Ciberseguridad (EU Cybersecurity Act)

Esta ley de Ciberseguridad se aprobó por la UE en marzo de 2019. Con ella se pretende renovar y fortalecer la Agencia de Seguridad Cibernética de la UE (ENISA) y establecer un marco de certificación de ciberseguridad en toda la UE para productos, servicios y procesos digitales.

Nuevo mandato para ENISA

ENISA, la Agencia de la UE para la ciberseguridad, ahora es más fuerte. La Ley de Ciberseguridad de la UE otorga un mandato permanente a la agencia, más recursos y nuevas tareas.

Se le atribuye una función esencial en la elaboración y el mantenimiento del marco europeo de certificación de ciberseguridad. Debe organizar las bases técnicas para esquemas de certificación concretos y comunicar en una web específica los esquemas de certificación y los certificados otorgados.

ENISA también tiene el mandato de aumentar la cooperación operativa a nivel de la UE , ayudando a los Estados miembros de la UE que lo soliciten para manejar incidentes de ciberseguridad y apoyando la coordinación de la UE en caso de ciberataques y crisis transfronterizas a gran escala.

Esta tarea se basa en el papel de ENISA como secretaría de la red nacional de equipos de respuesta a incidentes de seguridad informática (CSIRT), establecido por la Directiva sobre seguridad de redes y sistemas de información (Directiva NIS).

Marco europeo de certificación de ciberseguridad

Se establece por primera vez en toda la UE un marco de certificación de ciberseguridad aplicable a servicios, procesos y productos de TIC.

Esto supone importantes beneficios para todas las empresas que realizan actividades dentro de la UE. Solo tendrán que certificar sus productos, procesos y servicios de TIC una vez y esos certificados se admitirán en toda la Unión Europea.

RGPD

El Reglamento General de Protección de Datos de la UE (RGPD) es un marco regulatorio para la protección de datos y la privacidad que entró en vigor el 25 de mayo de 2018.

Para los profesionales de seguridad cibernética, el impulso para la protección de datos y la gestión de la información no es nuevo. Aunque el nivel de detalle, los requisitos sobre notificación de violación de datos y las multas en el RGPD imponen mucho más enfoque.

Hay cinco artículos o cláusulas individuales que tienen requisitos específicos de seguridad cibernética:

  • ¿Cómo te proteges frente a accesos no autorizados, pérdidas o daños?
  • ¿Cómo aseguras y demuestras que proteges los datos?
  • ¿Qué medidas adoptas para protegerte contra las amenazas externas, robos de datos o accesos no autorizados?
  • ¿Qué pasos adoptas para protegerte de ataques internos a los datos?
  • ¿Puedes notificar cualquier brecha de seguridad detalladamente antes de 72 horas?

Para la monitorización y las operaciones de seguridad en las empresas que cumplen con el RGPD, existe un mayor enfoque en la prevención de violaciones de seguridad y privacidad. Además, es imprescindible poder responder rápidamente cuando se produce un problema, comprenderlo y tomar medidas.

Como mínimo, las empresas que manejan datos personales deberán:

  • Monitorizar continuamente la evidencia y los registros en torno a las transacciones de datos y las infracciones con la recopilación, el procesamiento y el almacenamiento integrales de los registros de actividad;
  • Detectar y responder a los problemas rápidamente para cumplir con las reglas de notificación y reducir las multas demostrando controles efectivos, supervisión y contención de las infracciones;
  • Lograr un cumplimiento demostrable del RGPD, así como satisfacer las necesidades comerciales.

Otras normas

Aparte de las leyes anteriores en materia de ciberseguridad, debemos tener en cuenta otras normas dentro de la UE que hacen referencia también a este tema.

Anteproyecto para una respuesta de emergencia rápida

El anteproyecto de la Comisión para una respuesta de emergencia rápida proporciona un plan en caso de un ciberincidente o crisis transfronteriza a gran escala.

Establece los objetivos y modos de cooperación entre los Estados miembros y las instituciones de la UE para responder a tales incidentes y crisis. Y explica cómo los mecanismos existentes de gestión de crisis pueden hacer un uso completo de las entidades de ciberseguridad existentes a nivel de la UE.

Medidas para garantizar el proceso electoral

En septiembre de 2018, la Comisión emitió un paquete de medidas para apoyar elecciones europeas libres y justas, que incluye una recomendación sobre redes de cooperación electoral, transparencia en línea, protección contra incidentes de ciberseguridad y lucha contra campañas de desinformación.

En abril de 2019, antes de las elecciones europeas, el Parlamento Europeo, los Estados miembros de la UE, la Comisión y ENISA llevaron a cabo una prueba en vivo de su preparación.

Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad

En 2018, basándose en la Ley de Seguridad Cibernética, la Comisión Europea propuso la creación de una Red de Centros de Competencia en Seguridad Cibernética y un nuevo Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad para invertir en una capacidad de seguridad cibernética más fuerte y pionera en la UE.

Medidas sobre ciberseguridad de redes 5G

La Comisión Europea ha recomendado un conjunto de medidas y pasos operativos para garantizar un alto nivel de ciberseguridad de las redes 5G en toda la UE.

Ciberdefensa

El marco para una respuesta diplomática conjunta de la UE a las actividades cibernéticas maliciosas (la «caja de herramientas de la diplomacia cibernética») establece las medidas en virtud de la Política Exterior y de Seguridad Común, incluidas las medidas restrictivas que pueden utilizarse para fortalecer la respuesta de la UE a las actividades que perjudican sus intereses políticos, de seguridad y económicos.