Bruselas propone mejorar la ciberdefensa de los países europeos

La Alta Representante de Política Exterior y de Seguridad Común de la UE señala que se debe obligar por ley a crear «un nivel mínimo de capacidades nacionales»

La Alta Representante de Política Exterior y de Seguridad Común de la UE, Catherine Ashton, y la Comisión Europea han propuesto este jueves obligar por ley a los Estados miembros a crear «un nivel mínimo de capacidades nacionales» para garantizar la seguridad de las redes y de la información ante la evidencia de la creciente vulnerabilidad de Europa por el aumento de los ataques cibernéticos y la cibercriminalidad.

Bruselas ha propuesto que los Estados miembros designen autoridades competentes encargadas de la seguridad de las redes y sistemas de información, que creenEquipos de Respuesta a Incidentes de Seguridad de la Información (CERT) que «funcionen correctamente» con medios «adecuados» técnicos, financieros y de recursos humanos y se doten de estrategias nacionales y planes de cooperación, que determinen la responsabilidades y procedimientos para mantener o resturar la operatividad de las redes y sistemas de información.

Ashton ha recordado que unos 150.000 virus informáticos circulan a diario y una cifra similar de ordenadores resultan comprometidos y ha instado a los Estados miembros a cooperar más para responder al creciente problema de ciberataques y más cooperación civil-militar.

La perturbación de infraestructuras informáticas críticas puede provocar en la próxima década pérdidas a la economía por valor de 250.000 millones de dólares, según datos del Foro Económico Mundial, mientras que el cibercrimen puede traducirse en pérdidas por valor de 290.000 millones de euros anuales.

La propuesta de directiva sobre seguridad de las redes propone crear una red de cooperación a nivel europeo para permitir el intercambio de información coordinada y seguro entre Estados miembros sobre riesgos y para la detección y respuesta a ataques en caso necesario en base a un plan de cooperación europeo que deberá definir el formato y procedimientos para dicho intercambio y los criterios para evaluar los riesgos de incidentes, todavía pendiente de elaborar.

Plazo de año y medio

En el marco de la red de cooperación propuesta, los Estados miembros, que tendrían un plazo de año y medio para trasponer la directiva en sus legislaciones una vez adoptada, circularán alertas tempranas de riesgos o incidentes cuando éstos aumenten de forma rápida o puedan hacerlo, excedan o puedan exceder la capacidad de respuesta nacional o afecten o puedan afectar a más de un Estado miembro.

Quieren obligar a las empresas a evaluar riesgos de sufrir ciberataques

También deberán garantizar una respuesta coordinada frente a incidentes, publicar de forma regular información desclasificada de dichas alertas y cooperar e intercambiar información con organismos relevantes como el Centro Europeo contra el Cibercrimen. Bruselas también propone evaluaciones regulares sobre capacidades y nivel de preparación entre los Estados miembros.

Otra de las propuestas más novedosas de la directiva consistiría en obligar a empresas de sectores clave como el energético, de transportes y salud, así como a bancos y bolsas de valores, además de plataformas de comercio electrónico, redes sociales y de servicios de computación en la nube entre otros, así como a las administraciones públicas, a evaluar los riesgos de ciberataques o interrupción de las redes y que adopten «medidas apropiadas y proporcionales para garantizar» su seguridad con medios técnicos y operacionales, sobre todo para prevenir y minimizar el impacto de incidentes. En la actualidad, sólo las empresas de telecomunicaciones están obligadas a adoptar medidas de gestión de riesgo y comunicar a las autoridades públicas los incidentes de seguridad.

Visto bueno de los 27

Si sale adelante la directiva, que requiere el visto bueno de los Veintisiete y del Parlamento Europeo, las empresas de sectores clave y las autoridades públicas estarán obligadas a informar a las autoridades competentes nacionales en seguridad de redes de cualquier incidente serio que comprometa la seguridad de sus redes y sistemas de información o afecten de forma significativa la continuidad de servicios críticos y el suministro de bienes.

Eso sí, las microempresas quedarán excluidas para no imponer una carga desproporcionada en los operadores más pequeños. La directiva propone que las autoridades nacionales competentes de la seguridad de las redes tengan poder para investigar casos de incumplimiento de estas obligaciones de las administraciones públicas o operadores y plantea sanciones «efectivas, proporcionales y disuasivas».

«Europea seguirá siendo vulnerable sin un esfuerzo sustancial para reforzar las capacidades públicas y privadas, los recursos y sistemas para prevenir, detectar y abordar incidentes de ciberseguridad», advierte Bruselas en la estrategia, que acompaña a la propuesta legislativa, para promover la seguridad de las redes y las capacidades de ciberdefensa en la UE.

Combatir eficazmente a los cibercriminales

La estrategia, presentada también en rueda de prensa esta jueves conjuntamente por Ashton, la comisaria del Interior, Cecilia Malmström, y de Agenda Digital, Neelie Kroes, está basada en cinco prioridades estratégicas que pasan por lograr la ciberresistencia, reducir de forma drástica la cibercriminalidad, desarrollar una política de ciberdefensa y capacidades para la Política Común de Seguridad y Defensa, así como medios industriales y tecnológicos para garantizar la ciberseguridad y establecer una política internacional de ciberdefensa que promueva los valores de la UE.

El Centro Europeo contra la Cibercriminali-dad será «el punto central»

«Tenemos que combatir eficazmente a los cibercriminales para garantizar que nuestros ciudadanos se benefician de un Internet libre y seguro», ha defendido Malmström, tras advertir de la creciente amenaza «tanto en frecuencia como magnitud» y ha dejado claro que el Centro Europeo contra la Cibercriminalidad será «el punto central» para estrechar la cooperación con los Estados.

El Ejecutivo comunitario pide que la Agencia Europea de Seguridad de las Redes y la Información (ENISA), creada en 2004, asista a los países a desarrollar «capacidades de ciberresistencia fuertes, especialmente reforzando el conocimiento sobre la seguridad y la resistencia de los sistemas de control industrial, transporte e infraestructuras energéticas» y estudiará este año la viabilidad de crear un Equipo o varios de Respuesta a Incidentes Informáticos para Sistemas de Control Industrial de la UE.

Ashton ha instado en el marco de la estrategia a los Estados miembros y a la Agencia Europea de Defensa a que colaboren para evaluar los requisitos de ciberdefensa necesarios y promover el desarrollo de capacidades y tecnologías centradas en la detección, respuesta y pronta recuperación frente a ciberamenazas «sofisticadas», explotando las posibilidades de cooperación con la OTAN y otras organizaciones y socios internacionales. También ha defendido desarrollar un marco de política de ciberdefensa de la UE para proteger las redes de las misiones europeas en el exterior.

Fuente: ABC