Las grandes empresas que oculten un ciberataque podr¨¢n ser sancionadas
El Gobierno prev¨¦ supervisar la seguridad de los sistemas inform¨¢ticos de las compa?¨ªas
Las empresas operadoras de servicios esenciales (como electricidad o transporte) y las proveedoras de servicios digitales que, por razones de imagen u otras, no notifiquen sin dilaci¨®n ciberataques significativos o no adopten medidas para evitarlos podr¨¢n ser castigadas por vez primera con ¡°sanciones efectivas, proporcionadas y disuasorias¡±. As¨ª figura en el borrador de decreto ley que ultima el Gobierno para trasponer a la legislaci¨®n espa?ola la Directiva 016/1148 de Seguridad de las Redes y Sistemas de Informaci¨®n de la UE ¡ªla directiva NIS¡ª.
Los ciberataques masivos y a escala global de los pasados 12 de mayo y 27 de junio, a trav¨¦s de los virus WannaCry y Petya, que secuestraron cientos de miles de ordenadores y exigieron el pago de rescate por liberarlos, dejaron en evidencia la vulnerabilidad de las redes de informaci¨®n de las que dependen cada vez m¨¢s las sociedades avanzadas.
Aunque los efectos en Espa?a de ambos ciberataques fueron limitados, confirmaron la necesidad de disponer cuanto antes de un instrumento legal que permita a la Administraci¨®n garantizar que este tipo de empresas adoptan las medidas para proteger sus sistemas de informaci¨®n de los ataques de los hackers o que, al menos, son lo bastante resilentes para garantizar la continuidad en la prestaci¨®n del servicio.
En el caso del WannaCry, el parche de seguridad que tapaba la vulnerabilidad por la que se col¨® el ransomware fue distribuida por Microsoft el pasado 14 de marzo, pero muchas empresas a¨²n no lo hab¨ªan instalado.
El Gobierno trabaja ya en un instrumento legal que le dotar¨¢ de capacidad para supervisar la seguridad de los sistemas inform¨¢ticos de estas compa?¨ªas, imponerles la adopci¨®n de medidas preventivas e incluso sancionarlas si no las aplicaran o incumplieran la obligaci¨®n de notificar ciberataques significativos.
Tres autoridades nacionales y un solo punto de contacto
La directiva NIS obliga a crear un punto de contacto ¨²nico para la coordinaci¨®n y cooperaci¨®n con la UE y ¡°una o m¨¢s autoridades nacionales¡±. En Espa?a, el punto de contacto ser¨¢ previsiblemente el Consejo Nacional de Ciberseguridad, con el Departamento de Seguridad Nacional como secretar¨ªa permanente, aunque esta funci¨®n la ejerce ahora la Oficina de Coordinaci¨®n Cibern¨¦tica del Ministerio del Interior.
Se ha renunciado a crear una ¨²nica ¡°autoridad nacional¡± a la que corresponder¨ªa la competencia de supervisi¨®n y sanci¨®n. El Ministerio de Presidencia ser¨¢ la autoridad para las redes de la Administraci¨®n; Interior para los proveedores de servicios esenciales; y Energ¨ªa para servicios digitales. Se mantienen los Equipos de Respuesta a Incidentes de Seguridad Cibern¨¦tica (CSIRT), responsables de gestionar ciberataques, que se integrar¨¢n en la red europea: el Centro Criptol¨®gico Nacional (CCN), dependiente del CNI, y el de Seguridad e Industria, operado por el INCIBE (Instituto Nacional de Ciberseguridad), adem¨¢s del Mando de Ciberdefensa.
Se trata de un real decreto ley en cuya elaboraci¨®n participan el Departamento de Seguridad Nacional, el Ministerio del Interior, el servicio secreto CNI y la Secretar¨ªa de Estado de Sociedad de la Informaci¨®n y Agenda Digital, que coordina los trabajos. Su objetivo es trasponer la llamada directiva NIS del Parlamento Europeo y el Consejo, que debe estar incorporada a la legislaci¨®n de los estados miembros en mayo pr¨®ximo.
La Directiva NIS obliga a elaborar un listado de los operadores de servicios esenciales y de los proveedores de servicios digitales, p¨²blicos y privados, y a comunicarlos a la Comisi¨®n Europea. Aunque no especifica cu¨¢les son, un anexo enumera los sectores afectados: energ¨ªa (electricidad, crudo y gas), transporte (a¨¦reo, mar¨ªtimo, ferrocarril y carretera), financiero (banca y mercados), sanitario, agua potable e infraestructura digital.
La Administraci¨®n podr¨¢ realizar auditor¨ªas de seguridad a las operadoras de servicios esenciales e imponerles ¡°instrucciones vinculantes¡± para subsanar las deficiencias detectadas; y supervisar a posteriori a los prestadores de servicios digitales y exigirles que adopten medidas para cumplir los requisitos en materia de seguridad.
Ambos tipos de compa?¨ªas estar¨¢n obligadas a comunicar ¡°sin dilaci¨®n indebida¡± a las autoridades responsables los ¡°incidentes con efecto perturbador significativo¡±; es decir, que afecten a la continuidad del servicio.
La gravedad del ciberataque depender¨¢ del n¨²mero de usuarios afectados, la dependencia de otros sectores del servicio que presta la entidad atacada, su cuota de mercado, la repercusi¨®n del incidente, su duraci¨®n o extensi¨®n geogr¨¢fica. Las autoridades espa?olas comunicar¨¢n estos incidentes a sus hom¨®logas de los dem¨¢s Estados de la UE que puedan resultar afectados. Esta informaci¨®n ser¨¢ confidencial, pero la Administraci¨®n podr¨¢ informar al p¨²blico u obligar al operador afectado a que lo haga ¡°cuando la concienciaci¨®n social sea necesaria para evitar un incidente o gestionar uno ya producido¡±.
Dos ciberataques globales
M¨¢s de 350.000 operadores de 180 pa¨ªses fueron infectados por el virus WannaCry. La infecci¨®n se inici¨® el 12 de mayo en Reino Unido, donde resultaron afectados 16 hospitales, y Espa?a, donde fue atacada Telef¨®nica, entre otras compa?¨ªas. En Francia, la firma automovil¨ªstica Renault tuvo que paralizar varias plantas.
El 27 de junio, se propag¨® el virus Petya (en realidad una variante del malware ya conocido con este nombre), m¨¢s sofisticado y peligroso que el anterior. En Espa?a resultaron afectadas empresas como Maersk (log¨ªstica), DLA Piper (abogados), Mondelez (alimentaci¨®n) y Saint-Gobain (construcci¨®n). Los sistemas del Banco Central de Ucrania o la petrolera rusa Rosnef tambi¨¦n fueron atacados.
Entre los aspectos que deber¨¢ concretar el decreto ley est¨¢n las sanciones que deber¨¢n afrontar las empresas privadas prestadoras de servicios esenciales o digitales por no notificar ciberataques significativos o no tomar las medidas para evitarlos, ya que la directiva europea solo indica que ser¨¢n ¡°efectivas, proporcionadas y disuasorias¡±. Fuentes gubernamentales se?alan que las sanciones ser¨¢n graduales, en funci¨®n de la repercusi¨®n que tenga el incidente de seguridad o del nivel de incumplimiento, pero no quisieron concretarlas alegando que este aspecto a¨²n no se ha cerrado.
Dado el car¨¢cter transnacional de los principales proveedores de servicios digitales (como buscadores), la directiva obligar¨¢ a estas compa?¨ªas a designar a un representante en un pa¨ªs de la UE, a cuya jurisdicci¨®n quedar¨¢n sometidas.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
Sobre la firma
