La nueva Ley de Ciberseguridad Europea, cada vez más cerca
El primer borrador de la ley de ciberseguridad es de 2013, y no se espera que sea de obligado cumplimiento hasta dentro de un par de años.
La Comisión Europea ha acordado un borrador de ley que busca mejorar la cooperación entre las naciones en contra de los ciberdelincuentes y forzar a las compañías de sectores clave a que desvelen si han sufrido un ciberataque, como de hecho ya ocurre en Estados Unidos, por ejemplo.
A través de un comunicado se explica que las negociaciones entre el Parlamento, el Consejo y la Comision Europea para elaborar la que será la primera legislación en toda la Unión Europea en materia de ciberseguridad, busca: mejorar las capacidades de ciberseguridad de los estados miembros; mejorar la cooperación de los estados miembros en materia de ciberseguridad; y pedir a los operadores de servicios esenciales en los sectores de energía, transporte, banca y salud, así como proveedores de servicios digitales clave como cloud computing y motores de búsqueda, tomar las medidas de seguridad adecuadas e informar de incidentes a las autoridades esenciales.
El último punto es quizá el más destacado, ya que no sólo hace referencia a las utilities, como pueda ser una Endesa, o un Gas Natural Fenosa, ni a las entidades bancarias o relacionadas con la salud, sino a algunos gigantes de Internet como Google o Microsoft, y toda una serie de proveedores de servicios cloud, como puedan ser AWS o un Claranet. Estas empresas tendrán, necesariamente, que informar de un incidente de seguridad si son atacadas.
Para Günteher H. Oettinger, Comisario para la Economía y la Sociedad Digital, la firma de este acuerdo “constituye un gran paso en la mejora de la resistencia de nuestras redes y sistemas de información en Europa, uno de los objetivos de la estrategia de ciberseguridad europea y piedra angular de nuestros esfuerzos por crear un Mercado Único Digital (Digital Single Market)”.
Explican los expertos que para mejorar la ciberseguridad la Comisión Europea supervisará la creación de lo que se conoce como un CSIRTs Network, Computer Security Incident Response Teams, con el fin de establecer una cooperación efectiva ante un incidente de seguridad.
Próximos pasos
Tras la firma de este acuerdo político, el texto tendrá que ser aprobado formalmente por el Parlamento Europeo y el Consejo. Después se publicará oficialmente y los Estados miembros tendrán 21 meses para implementar la Directiva en sus leyes nacionales, y seis meses más para identificar a los operadores de los servicios esenciales.
En el comunicado oficial también se explica que la Comisión se basará en lo conseguido esta semana para poner en marcha una asociación entre poderes públicos y privados en materia de ciberseguridad en 2016, “tal y como se anunció en la estrategia Digital Single Market del pasado mes de mayo”.