Seguridad en las redes a nivel europeo

El pasado 6 de Julio fue aprobada por el Parlamento Europeo la Directiva sobre seguridad de las redes y de la información (SRI)[1], que entrará en vigor el próximo agosto y que tendrá que ser transpuesta a las regulaciones internas de los países miembros en el plazo de 21 meses, por lo se aplicará de forma práctica en el mes de mayo de 2018. Y decimos “de forma práctica” porque a partir de ese momento ya se ha previsto que, ante un incumplimiento nacional, se aplicarán sanciones efectivas, proporcionales y disuasorias.

La necesidad de una protección que tiene que ir más allá del ámbito interno es acorde a las múltiples herramientas que proporciona Internet, la gran velocidad a la que se desarrolla y la infinidad de posibilidades que nos otorga su expansión. Nos referimos a una defensa frente a los incidentes que tienen lugar en el ámbito cibernético diariamente y que minan la confianza del consumidor y del empresario, del ciudadano y del gobernante: virus, suplantación de identidad, fallos técnicos…y un largo etcétera. Habida cuenta que estos ataques se han incrementado en el 2015 en un 38% respecto del 2014[2] y que cada vez son más las empresas que prestan sus servicios a través –o valiéndose en gran parte- de Internet, esta Directiva es tan ineludible como ambiciosa, siendo una de las propuestas legislativas –a nivel europeo- prioritarias para el presente año. Y así debe ser  conociendo que estos ataques cibernéticos causan daños a las empresas europeas y a la economía en general de cientos de miles de millones de euros cada año[3] y que, de existir absoluta seguridad en el mundo cibernético, no habría límite alguno en su evolución.

El objetivo, desarrollar una política internacional, un estándar común de seguridad cibernética que asegure un entorno digital fiable. Para ello será necesaria una creciente cooperación entre los países de la Unión Europea, que estará garantizada por la creación de un órgano supranacional, una entidad de cooperación que tendrá como finalidad el intercambio de información y la asistencia a los países miembros. A nivel nacional, también se tendrá que crear un órgano competente para la vigilancia de la correcta aplicación de la Directiva. Otras obligaciones son las relativas a señalarse en cada uno de los países miembros las empresas  esenciales de determinados sectores, para lo que se conceden por la Directiva 6 meses más de los otorgados para ser transpuesta a la ley nacional. Paralelamente, deberán ser reportados –por aquellas empresas que se puedan encuadrar en la lista que facilita la Directiva-  todos aquellos incidentes que se consideren graves. No se libran empresas  de renombre tales como Facebook, Paypal o Amazon, además de los mencionados “operadores de servicios esenciales” mencionados.

Muchos ven con recelo que esta “declaración de intenciones” pueda realmente aplicarse a un instrumento global y rápidamente mutable como es Internet, y más siendo necesaria para ello la coordinación entre una pluralidad de empresas y gobiernos de la Unión Europea. La realidad es que se ha dado cobertura formal y legal a un gran proyecto que solo con el tiempo nos mostrará sus resultados.

Escrito por Ana Grau, abogada en el departamento procesal de Adarve abogados.

[1] The Directive on security of network and information systems -the NIS Directive- 2013/0027/COD

[2] Encuesta de PwC: “The global State of Information Security Survey 2016” Global State of Information Security® Survey 2016.

[3] European Commission – Fact Sheet: Commission boosts cybersecurity industry and steps up efforts to tackle cyber-threats.