Las lagunas en la legislación europea sobre seguridad cibernética

Alberto Iglesias
27 AGO 2012

La Unión Europea está realizando en los últimos tiempos ingentes esfuerzos para mejorar la seguridad en la Red y garantizar la transparencia en caso de que una empresa u organismo sufra un ataque a sus sistemas.

Pero a pesar de las numerosas iniciativas que están llevando a cabo las entidades comunitarias, siguen existiendo graves lagunas en este terreno, muchas propiciadas por la implementación que cada país hace de las normas europeas y otras motivadas por las maniobras de las empresas a la hora de ocultar sus incidentes cara a la opinión pública y sus clientes.

En ese sentido, la agencia europea Enisa ha hecho público un informe en que analiza la actual y futura legislación comunitaria en materia de medidas de seguridad y denuncia de incidentes. En él, este organismo destaca algunos importantes hechos acontecidos el pasado año (la tormenta Dagmar que destruyó millones de enlaces de comunicación escandinavos o el fallo en un de centro de datos británico que interrumpió millones de comunicaciones empresariales en todo el mundo) que han puesto de manifiesto la incapacidad de la legislación en este campo.

¿Cuáles son las causas de que cada vez se produzcan más ataques? El organismo europeo achaca este fenómeno, como ya hemos mencionado anteriormente, a que las empresas no reportan las incidencias o ni siquiera detectados. Así, los coautores del estudio, Marnix Dekker y Karsberg Chris, afirman que los incidentes cibernéticos “son los más comúnmente mantenidos en secreto cuando se descubren, dejando a los clientes y a los responsables políticos en la oscuridad acerca de la frecuencia, el impacto y las raíces del problema”.

Una nueva legislación europea sobre ciberseguridad

Para evitar este tipo de maniobras, la nueva legislación europea cubre las cláusulas de notificación obligatoria de incidentes en el artículo 13 a del paquete Telecom, el artículo 4 de la Ciberseguridad en la Unión Europea Directiva sobre privacidad electrónica, el artículo 15 sobre la propuesta de regulación de la identificación electrónica, y los artículos 30, 31, 32 de la reforma de Protección de Datos.

CLAVE: La nueva estrategia de ciberseguridad de la Unión Europea

Sin embargo, de los numerosos ejemplos que menciona el estudio, tan sólo uno estaba dentro del alcance del mandato de los reguladores nacionales, lo que indica que hay lagunas en la regulación, que desde Enisa sitúan en el intercambio de informes de incidentes en la UE.

“Se ha progresado mucho recientemente: un grupo de trabajo de Enisa para los reguladores nacionales ha desarrollado tanto un conjunto común de medidas de seguridad así como un formato de reporte de incidentes”, ha explicado la agencia en una nota oficial. “Esto permitirá una aplicación más uniforme del artículo 13a. Enisa acaba de recibir informes de los reguladores acerca de 51 grandes incidentes, que describen el impacto, causas, medidas adoptadas y lecciones aprendidas”.