La protección de datos personales ha sido una preocupación durante más de 20 años en la UE y en Bélgica, y se considera en Europa como un derecho humano.
La ciberseguridad es una preocupación más reciente, dado el papel vital que desempeñan las redes digitales y los sistemas y servicios de tecnología de la información en la sociedad actual.
Esto se demuestra por la frecuencia creciente y el daño potencial espectacular que pueden tener las violaciones de seguridad, como el ataque del ransomeware WannaCry.
Los requisitos de protección de datos y seguridad cibernética se superponen en cierta medida, por ejemplo, en la obligación de mantener seguros los datos personales y transferirlos solo si están adecuadamente protegidos. Pero también hay reglas distintas de ciberseguridad que se aplican a la infraestructura crítica, incluso si no se usa para procesar datos personales.
Bélgica ha realizado avances significativos en la lucha contra las amenazas a la ciberseguridad, que afectan a los ciudadanos, las empresas y las administraciones por igual en la era digital.
Vamos a analizar aquí las principales normas y organismos belgas en materia de ciberseguridad.
Indice
Legislación
La división del trabajo entre la UE y sus estados miembros significa que la legislación de la UE proporciona un marco para los requisitos reglamentarios comunes en materia de protección de datos y ciberseguridad.
Su objetivo es promover el mercado interior único al permitir a las empresas adoptar un enfoque común en materia de ciberseguridad en toda la UE. Pero cada estado miembro es responsable de la aplicación operativa y el cumplimiento de estos requisitos. Y de cómo organiza a las autoridades públicas responsables de estas tareas.
Ley de protección de datos de 30 de julio de 2018
Existen amplias excepciones al RGPD para que no se aplique a la política externa, la seguridad o el derecho penal. Una directiva separada adoptada al mismo tiempo que el RGPD rige las responsabilidades de protección de datos y notificación de violación de datos de las autoridades públicas que procesan datos personales en el contexto del derecho penal.
El nuevo RGPD requiere una serie de cambios que otorgan a las autoridades reguladoras un poder significativamente mayor y están destinados a promover una aplicación coherente y efectiva en toda la UE. Esta norma fue adaptada en Bélgica por la Ley de Protección de datos de julio de 2018.
Las APD nacionales tendrán mayores poderes de investigación y aplicación, con la capacidad de imponer altas multas por infracciones del RGPD. Por el contrario, el DPA belga actualmente no está autorizado a imponer multas y debe remitir un caso a la oficina del fiscal público.
Habrá un mecanismo (ventanilla única) para identificar un DPA principal para supervisar un negocio establecido en varios Estados miembros.
Directiva sobre seguridad de redes y sistemas de información (NISD)
Esta norma regula por primera vez los estándares de ciberseguridad para infraestructura esencial a nivel de la UE.
El NISD se aplica solo a las entidades designadas del sector público y privado responsables de la infraestructura esencial en sectores específicos. No se extiende a sistemas de información gubernamentales que no sean los utilizados para operar infraestructura esencial.
Por el momento, la Directiva general de protección de datos (DPD) de la UE requiere que todos los estados miembros tengan una autoridad de supervisión, más comúnmente conocida como Autoridad de Protección de Datos (DPA). Y establece un grupo de trabajo a nivel de la UE que se compone de representantes de las APD designadas por cada estado miembro, el Supervisor Europeo de Protección de Datos que supervisa las actividades de procesamiento de los organismos de la UE y un representante de la Comisión Europea.
Bélgica está en proceso de implementar la Directiva de redes y sistemas de información de la UE 2016/1148 (la ‘Directiva NIS’).
Directiva de Privacidad electrónica
También hay una directiva específica aplicable a los proveedores de servicios de comunicaciones públicas, la Directiva de privacidad electrónica, que las autoridades reguladoras de comunicaciones electrónicas o DPA nacionales son responsables de hacer cumplir.
Impone requisitos similares pero más específicos como el DPD a los proveedores de servicios de comunicación electrónica disponibles públicamente en relación con la seguridad y la protección de datos. También requiere notificación en caso de riesgos de seguridad de red o violaciones de datos.
Una regulación relacionada ha establecido la Agencia de Seguridad de Redes e Información de la UE (ENISA), que actualmente es responsable de desarrollar experiencia y orientación en seguridad cibernética y de apoyar a los estados miembros y las instituciones de la UE en la protección de la seguridad cibernética, pero no para la aplicación operativa.
Plan de Respuesta a Emergencias Cibernéticas
En Bélgica, el Primer Ministro anunció en mayo de 2017 que el gobierno está preparando legislación para transponer el NISD.
Las agencias existentes se han reestructurado para hacer que el Centro de Ciberseguridad de Bélgica (CCB) sea la autoridad central para la seguridad cibernética en Bélgica y otorgar a CERT.be, dentro del CCB, la responsabilidad operativa de coordinar la respuesta y brindar apoyo en caso de un incidente cibernético.
El CCB recibirá una nueva autoridad de control y aplicación, pero los detalles aún no se han publicado.
En los últimos meses, Bélgica ha lanzado varios programas para informar al público sobre los riesgos de ciberseguridad y para promover soluciones.
El CCB y el gobierno prepararon un Plan Nacional de Respuesta a Emergencias Cibernéticas, que se adoptó en mayo de 2017. El Plan ayuda a formular una respuesta adecuada en función del impacto del incidente, y prevé la coordinación entre varios servicios belgas para mitigar los incidentes lo más rápido posible.
Además, el Centro ha implementado un ‘sistema de alerta temprana’ que es una plataforma automatizada compartida que permite el intercambio proactivo de información sobre incidentes y amenazas entre la infraestructura crítica.
La Coalición Belga de Seguridad Cibernética, una colaboración intersectorial entre autoridades públicas, empresas, organizaciones profesionales y universidades, lanzaron un kit de concientización sobre seguridad cibernética interna en febrero de 2017.
La Coalición también publicó una Guía de seguridad cibernética para las PYME en diciembre de 2016 y una Guía de gestión de incidentes de seguridad cibernética a finales de 2015, que contiene orientación sobre cómo prevenir, detectar , comunicar y manejar incidentes de ciberseguridad. A partir de 2018, CERT.be ofrecerá sus servicios 24/7 a empresas y sectores clave.
Organismos
La DPA (Comisión para la Protección de la Privacidad) belga existe desde 1992.
El Instituto Belga de Servicios Postales y Telecomunicaciones (BIPT) supervisa la seguridad de las redes y servicios públicos de comunicaciones electrónicas. En 2014, el BIPT emitió una decisión que especifica cuándo y cómo los operadores deben notificar un incidente de seguridad.
En 2014, un Real Decreto estableció el Centro de Ciberseguridad de Bélgica (CCB). Incluye un equipo informático de respuesta a emergencias (CERT.be) creado en 2010, que es responsable del soporte operativo de ciberseguridad. Además, las normas más generales en Bélgica rigen la seguridad y la protección de la infraestructura crítica.
El NISD requiere que los estados miembros designen una o más autoridades competentes para monitorear la aplicación de la Directiva:
- un organismo responsable de coordinar las cuestiones de redes y sistemas de información que actúa como un único punto de contacto para la cooperación transfronteriza a nivel de la UE; y
- un equipo de respuesta a incidentes de seguridad informática (CSIRT) destinado a garantizar la capacidad efectiva para hacer frente a incidentes y garantizar una cooperación eficiente a nivel de la UE.
Una entidad puede desempeñar los tres roles, pero la organización de las agencias nacionales de ciberseguridad se deja a la ley nacional.
En Bélgica, CERT.be se actualizará y recibirá la responsabilidad de CSIRT.
El NISD también promueve la cooperación activa entre las agencias de ciberseguridad a nivel de la UE. Se establecerá un grupo de cooperación, compuesto por representantes de los Estados miembros, la CE y ENISA, para:
- intercambiar las mejores prácticas,
- discutir la preparación de la seguridad cibernética y
- evaluar las estrategias nacionales de NIS, donde se solicite.
ENISA tendrá la responsabilidad de ayudar a los Estados miembros y a la CE proporcionando su experiencia y facilitando el intercambio de mejores prácticas.
Obligaciones de las empresas en materia de ciberseguridad
Dados los cambios sustanciales existentes, las empresas ya están en el proceso de evaluar las medidas que deben tomar para garantizar el cumplimiento de las nuevas normas de ciberseguridad de la UE.
La Ley de Protección de datos exige que todas las empresas que procesan datos personales implementen medidas técnicas y organizativas apropiadas, como la seudonimización y el cifrado, para garantizar un nivel de seguridad adecuado al riesgo.
También se exige que las empresas notifiquen una violación de seguridad que probablemente genere un riesgo para los derechos y libertades de las personas involucradas. El incumplimiento de estas obligaciones puede estar sujeto a una multa.
Las DPA ahora estarán facultadas para llevar a cabo auditorías de protección de datos. Y exigirán a las empresas que brinden acceso a sus instalaciones, a su equipo de TI y a todos los datos personales para el desempeño de sus tareas.
El incumplimiento de una petición de DPA puede estar sujeto a una multa o a la imposición de una prohibición temporal o permanente de operaciones de procesamiento específicas.
Las empresas que entran dentro del alcance del NISD tienen dos obligaciones que son similares a las de la normativa de Protección de datos.
- Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado para el riesgo. Esto incluye prevenir y minimizar el impacto de incidentes que afectan la seguridad de sus sistemas de información para garantizar su continuidad.
- Notificar los incidentes que afecten sus servicios sin demora indebida a la autoridad competente. Una autoridad competente puede requerir que OES y DSP proporcionen la información necesaria para evaluar su seguridad. Incluidas políticas de seguridad documentadas y evidencia de implementación efectiva. Las autoridades competentes también pueden emitir instrucciones vinculantes a OES para remediar sus operaciones.
Sectores más afectados por la normativa de ciberseguridad
El NISD se aplica solo a los operadores de servicios esenciales (OES) en sectores específicos que incluyen:
- energía,
- transporte,
- banca,
- infraestructura del mercado financiero,
- atención médica,
- suministro y distribución de agua potable e
- infraestructura digital
Los Estados miembros deben identificar las OES establecidas en su territorio con base en los criterios proporcionados por el NISD. Están obligados a consultar entre sí cuando una empresa ofrece un servicio esencial en varios estados miembros.
El NISD también se aplica a los proveedores de servicios digitales (DSP) (es decir, mercados en línea) como eBay o Amazon; motores de búsqueda en línea como Google o Bing; y servicios de computación en la nube. Para estos operadores, los Estados miembros no pueden ir más allá de las obligaciones de NISD en términos de requisitos de seguridad y notificación y servicios de computación en la nube.
Sector financiero
En el sector de servicios financieros, el Banco Nacional de Bélgica (BNB) se ha centrado en aumentar la resiliencia cibernética mejorando la gestión de riesgos e intensificando el uso de pruebas internas dentro de las empresas para evaluar el nivel de preparación de ciberseguridad.
En enero de 2016, el BNB adoptó una circular sobre gestión de riesgos cibernéticos que es vinculante para las infraestructuras del mercado financiero (FMI) establecidas en Bélgica.
El Banco de Pagos Internacionales y la Organización Internacional de Comisiones de Valores publicaron recomendaciones similares sobre este tema en junio de 2016.
El BNB lleva a cabo controles para determinar si las FMI establecidas en Bélgica cumplen con estas reglas. En particular, la circular requiere que las empresas:
- adopten un plan de seguridad que cubra la integridad de los datos,
- tengan en cuenta las normas y expectativas de informes,
- establezcan criterios para identificar actividades y recursos críticos,
- apliquen medidas de capacitación específicas y medidas de control interno donde se emplean subcontratistas.
Las FMI deben crear un sistema de gobierno para mantener la complejidad de sus sistemas de TI a un nivel manejable y evitar daños a la seguridad de los datos. También deben evaluar al personal con acceso a los datos por su integridad, confiabilidad y conocimiento sobre la seguridad de los datos.
Principales ciberactividades penalizadas
La Directiva sobre delitos cibernéticos estableció cuatro delitos principales:
- acceso ilegal a los sistemas de información;
- interferencia ilegal del sistema;
- interferencia ilegal de datos; y
- interceptación ilegal.
La Directiva también tipifica como delito producir, vender, adquirir para su uso, importar, distribuir o poner a disposición software diseñado o adaptado principalmente para cometer estos delitos. Esto incluye poner a disposición una contraseña de ordenador, código de acceso o datos similares a través de los cuales se puede acceder a un sistema de información con la intención de cometer cualquiera de estos delitos.
Los Estados miembros deben tomar las medidas necesarias para garantizar que estos delitos se castiguen con sanciones penales efectivas, proporcionadas y disuasorias.
La Directiva sobre delitos informáticos también establece normas sobre una mayor cooperación entre las autoridades competentes.
Los Estados miembros deben garantizar que tienen un punto de contacto nacional operativo y que hacen uso de la red existente de puntos de contacto operativos disponibles. Y asegurarse de tener procedimientos establecidos para que las solicitudes urgentes de asistencia reciban una respuesta dentro de las ocho horas, al menos en cuanto a si la solicitud será respondida, de qué forma y con qué tiempo.
Actualmente, la ley penal belga establece que el pirateo y el sabotaje cibernético son delitos penales (las sanciones son de hasta dos años de prisión por el primer delito y cinco años por el segundo, con sanciones de hasta 25.000 euros en cada caso). El fraude cibernético y la falsificación cibernética también son delitos penales, con posibles sanciones en cada caso de hasta cinco años de prisión y hasta 100.000 euros.
Certificación en ciberseguridad
En diciembre de 2018, las instituciones de la UE llegaron a un acuerdo político sobre la Ley de Ciberseguridad de la UE, con el objetivo de fortalecer la capacidad de la UE y los Estados miembros para abordar incidentes y aumentar la ciberseguridad.
Una vez adoptada formalmente, la Ley establecerá un marco armonizado para los certificados de ciberseguridad de la UE para productos, procesos y servicios de TIC que serán válidos en toda la UE (y resolverá los mecanismos de certificación parcheados actuales que se basan principalmente en las normas ISO).
La certificación requerirá la implementación del principio de seguridad por diseño en productos y servicios de TIC, que serán validados por organismos independientes y acreditados en función de un conjunto definido de criterios y después de los cuales se puede emitir la certificación. El objetivo final del mecanismo de certificación es ayudar a aumentar la protección efectiva contra las violaciones de datos.
Ejemplos de ciberataques
El número de incidentes cibernéticos está aumentando rápidamente en Bélgica: se reportan 35 casos por día. Además, su empresa puede ser una posible víctima de virus y ataques de piratería.
Vamos a ver algunos de los principales ciberataques sufridos en el país.
Ciberataque a la empresa Asco
Asco, un fabricante de piezas de aviones con sede en Zaventem (Bélgica), confirmó la noticia de que ha cerrado las operaciones tras un ataque cibernético en los servidores de la compañía.
Se trató de un ataque de ransomware, un tipo de malware que apaga el sistema de la víctima hasta que paguen por una clave que les permitirá reanudar operaciones.
Inmediatamente después del ataque, Asco llamó a expertos internos y externos que examinaron la situación para encontrar una solución. La compañía también notificó a las autoridades y confirmó no existía evidencia del robo de información.
Aunque los ataques de ransomware generalmente son solo por dinero, una empresa como Asco, que tiene conexiones en el sector de defensa, también podría ser un objetivo para el espionaje informático.
Altran Bélgica, víctima de un ciberataque
La compañía de servicios de ingeniería e I+D Altran en Bélgica fue víctima de un ciberataque el 24 de enero de 2019.
Para proteger a sus clientes, empleados y socios, inmediatamente cerraron su red de TI y todas las aplicaciones. La empresa indicó que la seguridad de sus clientes y de los datos es y siempre será su principal prioridad.
Movilizaron a expertos forenses y expertos técnicos globales de terceros, y la investigación llevada a cabo con ellos no ha identificado datos robados ni casos de propagación del incidente a sus clientes.
El plan de recuperación se desarrolló como se esperaba y se movilizaron todos los equipos técnicos.
Durante todo el proceso, Altran ha estado en contacto con sus clientes, autoridades gubernamentales y reguladores relevantes.