El Diario Oficial de la Unión Europea ha publicado el nuevo Reglamento 2019/881, que trata aspectos clave referentes a la ciberseguridad. Su entrada en vigor tendrá lugar el próximo 27 de junio y pretende dar un salto sustancial en cuanto a la mejora de la protección frente a vulnerabilidades cibernéticas. Desglosamos sus aspectos más destacables.
La Transformación Digital que están experimentando los procesos y servicios de las empresas a ritmo casi vertiginoso hace que las leyes y regulaciones referidas a la misma tengan que redactarse o modificarse con cierta frecuencia para adaptarse a la coyuntura actual.
La ciberseguridad se ha convertido en un aspecto clave en este sentido. Cada vez se producen más ciberataques que pueden crear grandes problemas a empresas, organismos públicos y particulares.
Según un informe de F5 Labs, que muestra los resultados de los ciberataques recibidos en Europa desde diciembre de 2018 hasta marzo de 2019, el Viejo Continente recibe más ciberataques que otras zonas del planeta. Es reseñable el hecho de que la mayor parte de ataques informáticos que recibe la UE provengan del interior de sus fronteras, situándose los Países Bajos como su principal fuente de origen.
Además, la cada vez más necesaria interconexión e integración de diferentes tecnologías y dispositivos abre la puerta a nuevas vulnerabilidades.
Anteriormente, la legislación referente a la ciberseguridad era competencia de cada país, pero el hecho de que estas amenazas no entendiesen de fronteras hizo necesario el desarrollo de un marco legal que vertebrase una gestión de la ciberseguridad a nivel europeo.
En este ambiente se ha desarrollado el Reglamento Europeo 2019/881, que trata un aspecto tan actual y trascendente como el de la ciberseguridad a todos los niveles dentro de los países de la Unión Europea.
Esta nueva ley sobre ciberseguridad, que deroga al Reglamento 526/2013, consta de dos ejes principales sobre los que se desarrolla. Por una parte pone las bases de la estructura y funcionamiento de la Agencia Europea para la Ciberseguridad (ENISA) y, por otra, define los estándares que permitirán certificar la ciberseguridad de las TIC dentro de la Europa de los 28.
La Agencia Europea para la Ciberseguridad (ENISA)
La Agencia Europea de Seguridad de las Redes y de la Información fue fundada en 2004 con el objetivo de establecer medidas de seguridad informática para el bienestar de los ciudadanos.
Con sede en Grecia, esta agencia de la Unión Europea trabaja tanto con gobiernos como con entidades privadas. Sus actividades primordiales se centran en el estudio y desarrollo de actividades y políticas relacionadas con la ciberseguridad en todos sus ámbitos, pudiendo destacar:
- Elaboración de capacidades de ciberseguridad.
- Mejorar la cooperación entre gobiernos, instituciones y organismos de la Unión Europea.
- Diseño y realización de ejercicios de ciberseguridad.
- Redacción de informes sobre la situación actual europea en materia de ciberseguridad.
- Normalización y certificación de la ciberseguridad.
- Actividades para la concienciación y divulgación.
Con el nuevo Reglamento Europeo 2019/881 se pretende que ENISA se encargue de aglutinar a todos los países miembro convirtiéndose en el organismo de referencia en temas de ciberseguridad, reduciendo la fragmentación existente.
Para conseguir este objetivo se han redefinido sus actividades, organigrama, equipos de trabajo y las partidas presupuestarias destinadas a la agencia.
El marco europeo de certificación de la ciberseguridad
Como hemos comentado, esta ley se planteaba como uno de sus objetivos unificar criterios para la normalización de las medidas de ciberseguridad, un paso más en la creación de un mercado único digital europeo.
Para que los productos y servicios de índole tecnológica gocen de todas las garantías de seguridad, será necesario definir esquemas que certifiquen su ciberseguridad. Estos esquemas deberán ser apropiadamente definidos (objetivos, elementos, niveles de aplicación, procesos de adopción, evaluación, revisión, etc.).
Complementariamente, se publicarán listas de productos, servicios y procesos que hayan sido evaluados según las condiciones de ciberseguridad exigidas en dichos esquemas. Toda esta información, incluidos los esquemas, serán publicados en la web de ENISA.
Los fabricantes que deseen acogerse a estas medidas, deberán cumplir con ciertos requisitos, entre los que podemos destacar:
- Proporcionar a los usuarios recomendaciones referentes a la instalación, configuración, funcionamiento y mantenimiento de su producto o servicio.
- Tener disponible sus actualizaciones.
- Enviar al usuario información sobre posibles problemas de ciberseguridad.
- Dar acceso a registros donde se plasmen las vulnerabilidades del producto o servicio.
Esta certificación de la ciberseguridad tendrá, salvo excepciones, carácter voluntario y servirá como método para la autoevaluación de la empresa en materia de seguridad informática.
En una sociedad cada vez más digital, proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos que se almacenan, procesan y/o circulan se ha convertido en uno de los principales caballos de batalla de las autoridades nacionales e internacionales.
Fruto de esta voluntad de mejora en ciberseguridad ha surgido la nueva ley de Seguridad Cibernética de la Unión Europea, que reforma las estructuras y los mecanismos de trabajo implicados en este aspecto.
Seguiremos trabajando en conseguir la seguridad digital de los procesos de firma en las empresas. Avances como el que hace ahora la Unión Europea suponen grandes pasos para todas las personas físicas y jurídicas de nuestra Comunidad. ¡Os seguiremos informando!