Ciberseguridad y regulaci¨®n: un dif¨ªcil binomio

La aproximaci¨®n a un tema como la ciberseguridad, tan complejo como esencial en la transformaci¨®n digital que vivimos, no tiene sentido si no se realiza desde una perspectiva global. No cabe un an¨¢lisis geogr¨¢ficamente limitado, el punto de partida debe ser lo m¨¢s amplio posible. Su regulaci¨®n, en consecuencia, ha debido ser adaptada para acompasar esta realidad y dar soporte, forma y cohesi¨®n a los mecanismos e iniciativas que en la ¨²ltima d¨¦cada se han puesto en marcha para regular este ¨¢mbito en permanente evoluci¨®n.

As¨ª, el pasado 6 de Julio fue aprobada por el Parlamento Europeo la Directiva sobre seguridad de las redes y de la informaci¨®n (SRI). Esta directiva deber¨¢ ser transpuesta a las regulaciones internas de los pa¨ªses miembros en el plazo de 21 meses, por lo que no se aplicar¨¢ de forma pr¨¢ctica hasta el mes de mayo de 2018, previ¨¦ndose sanciones para aquellos pa¨ªses que no lo lleven a cabo. La directiva pretende la creaci¨®n (e imposici¨®n) de un marco europeo desde el que combatir los incidentes que tienen lugar en el ¨¢mbito cibern¨¦tico: virus, suplantaci¨®n de identidad, fallos t¨¦cnicos¡­y un largo etc¨¦tera. Habida cuenta que estos ataques se han incrementado en el 2015 en un 38% respecto del 2014, esta Directiva es tan ineludible como ambiciosa, siendo una de las propuestas legislativas prioritarias del presente a?o a nivel europeo.

El objetivo de la Directiva es desarrollar una pol¨ªtica internacional aplicable a todas las industrias y empresas, un est¨¢ndar com¨²n de seguridad cibern¨¦tica que asegure un entorno digital fiable. La m¨¢xima perseguida es considerar la seguridad un proceso y no un estado, lo que obliga a las empresas a desarrollar herramientas que les permitan reaccionar tanto frente a los riesgos conocidos como frente a los que est¨¢n por conocer. Al fin y al cabo se parte de que seguridad no es sin¨®nimo de protecci¨®n absoluta, sino el desarrollo de un sistema apto para responder frente a todo aquel que opere contrariamente al marco legal aprobado, reflejo de la pol¨ªtica ya asumida por el Parlamento Europeo. La necesaria cooperaci¨®n internacional se intentar¨¢ garantizar con la creaci¨®n de un ¨®rgano supranacional que tendr¨¢ como finalidad el intercambio de informaci¨®n y la asistencia a los pa¨ªses miembros.? Su implantaci¨®n a nivel nacional, asimismo, implicar¨¢ crear un ¨®rgano competente para la vigilancia de la correcta aplicaci¨®n de la Directiva.

En cuanto a la consecuencia directa de su aplicaci¨®n, cada uno de los pa¨ªses miembros tendr¨¢ que se?alar las empresas esenciales de determinados sectores. Todas las empresas que se puedan encuadrar en la lista que facilita la Directiva tendr¨¢n que informar sobre aquellos incidentes que se puedan calificar de graves. No se libran empresas de renombre tales como Facebook, Paypal o Amazon, adem¨¢s de los mencionados ¡°operadores de servicios esenciales¡±.

Conociendo que estos ataques cibern¨¦ticos causan da?os a las empresas europeas y a la econom¨ªa en general de cientos de miles de millones de euros cada a?o, excesivo ha sido el tiempo en desarrollar un marco legal que ampare esta realidad. Individualizando por industrias, por ejemplo, a muchos ha sorprendido que el sector del gas y el petr¨®leo haya sido el que m¨¢s incidentes cibern¨¦ticos haya sufrido el pasado a?o, seguido de cerca por el sector tecnol¨®gico y el de las telecomunicaciones. En el otro lado de la balanza, la industria farmac¨¦utica destaca por haber incrementado enormemente las medidas? de seguridad para evitar estos resultados. Cabe preguntarse, empero, si ser¨¢ realmente la norma ¨²til para aquellos que la necesitan o si en cambio llega tarde y siempre estar¨¢ un paso por detr¨¢s de las medidas desarrolladas por los perjudicados. El temor es que pueda entonces convertirse en un obst¨¢culo para el libre desarrollo de la realidad cibern¨¦tica a la que est¨¢ destinada a regular y proteger.

Ciertamente se ve con recelo que esta ¡°declaraci¨®n de intenciones¡± pueda realmente aplicarse a un instrumento global y cambiante como es Internet, m¨¢xime cuando es necesario para ello la coordinaci¨®n entre una pluralidad de empresas y gobiernos de la Uni¨®n Europea. Este escepticismo se une al inherente a cualquier Directiva europea, ya que suelen adolecer de gran lentitud en su aplicaci¨®n. La presente directiva se enfrenta no solo a las dificultades regulares de cualquier norma que afecte a una pluralidad de estados y entidades, sino al velozmente mutable monstruo de internet y de la era digital.

Por ¨²ltimo, cabe destacar que paralelamente a la v¨ªa legal el 91% de las empresas afectadas han adoptado estructuras operativas favorables a la ciberseguridad. Son los perjudicados, con o sin Directiva, los que antes desarrollan v¨ªas para garantizarse esta seguridad en el desarrollo de su actividad. Ello no le resta vigencia al ideal perseguido por esta iniciativa legislativa: proveer de una regulaci¨®n de amplio espectro que posibilite, proteja y catalice las iniciativas en ciberseguridad que dan amparo y protecci¨®n a un n¨²mero cada vez mayor de usuarios y realidades.