Lograr la máxima ciberseguridad es un objetivo interminable, al que las autoridades de la Unión Europea dedican mucho tiempo y esfuerzo, y que se traduce en normas reguladoras, como la Directiva NIS para la seguridad de las redes y sistemas de información. Esta se considera la piedra angular sobre la que comenzar a legislar sobre este asunto, en todos los Estados miembros y, sin duda, se trata de una importante iniciativa que muestra el camino a seguir a otras regiones del mundo.
Todo parte de la importancia que han cobrado las redes, servicios y sistemas de información para la sociedad actual. La fiabilidad y seguridad resultan esenciales en cualquier actividad económica, sociales y de mercado, en un Estado moderno. Además, el aumento en la magnitud, frecuencia e impacto de los incidentes de seguridad representa una gran amenaza para todos ellos que, en ocasiones, se enfrentan a un problema para ellos poco conocido.
Quizás por ello, el Parlamento Europeo adoptó en julio de 2016 esta Directiva sobre seguridad de redes y sistemas de información que se marca como principal propósito llevar a un mismo nivel de desarrollo las capacidades de ciberseguridad de todos los Estados miembros. Así, se propone garantizar que el intercambio de información y la cooperación resulten eficientes, incluso a nivel transfronterizo.
En estos momentos, la Directiva NIS debe trasladarse a las legislaciones nacionales de los países miembros y, a finales de este año, deberán identificar a los operadores de servicios esenciales dentro de sus respectivos territorios.
Pero debe sortear aún algunos escollos. El primero, y más importante sin duda, es la dificultad de aterrizar una Ley en un terreno que ya está plagado de regulaciones y de potenciales conflictos competenciales entre diversos ministerios.
Así, tendrá que hacerse un sitio, sin interferir, con la nueva Ley de Protección de Datos (GDPR), la Ley de Protección de Infraestructuras Críticas, el Esquema Nacional de Seguridad, el futuro Reglamento de Seguridad Privada, y diversas regulaciones sectoriales, como las de banca o telecomunicaciones.
En este sentido, la directiva proporciona las condiciones mínimas para que todos sus Estados miembros estén preparados para dar respuesta a incidentes de gran escala, por ejemplo, a través de un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y una autoridad nacional competente en la materia.
Un propósito importante es la creación de una red CSIRT dentro de los países, para promover una rápida y eficaz cooperación, que atienda los incidentes y permita el intercambio de información relacionada con riesgos de seguridad. Otro objetivo de mayor alcance es el desarrollo de una cultura de seguridad en todos los sectores que son fundamentales para la economía y la sociedad de los países miembros, como el sector energético, transporte, financiero, salud o infraestructura digital. Las empresas de estos sectores (identificadas como operadores de servicios esenciales), deberán aplicar las medidas de protección previstas en la directiva. Además, deberán notificar a la autoridad nacional cualquier incidente de seguridad considerado grave.
La directiva establece medidas que mejoren el funcionamiento del mercado interior, y los Estados deberán alinear su estrategia nacional sobre seguridad informática con las comunitarias, intercambiar información y facilitar la coordinación de los CSIRT, establecer y notificar los requisitos de seguridad a los operadores de servicios esenciales (como el energético, financiero, salud, etc.) y proveedores de servicios digitales (como motores de búsqueda, comercio electrónico o cómputo en la nube).
El objetivo último de la normativa pasa por evitar incidentes que puedan impedir las actividades económicas o causar daños a la infraestructura, pérdida de confianza de los usuarios o la interrupción del funcionamiento de los sistemas y redes críticos.
Sin duda, las legislaciones contribuyen en gran medida para que las organizaciones (públicas o privadas) comiencen a adoptar medidas de protección, enfocadas a mantener la confidencialidad, integridad y disponibilidad de la información (tanto de terceros como interna). En el ámbito organizativo, se pretende que los negocios mantengan la continuidad, pero en una escala mayor se busca el funcionamiento y la seguridad de los Estados. Y su aplicación resulta obligatoria.